Алексей Ветров
Эксперт по защите данных IC-TECH
Да, нужно. Использование CRM (amoCRM, Bitrix24, 1С:CRM и др.) всегда связано с обработкой персональных данных: в систему вносятся ФИО клиентов, телефоны, e-mail, история заказов, иногда паспортные данные и реквизиты договоров.
Поэтому компания или ИП, работающие с CRM, обязаны зарегистрироваться в Роскомнадзоре как оператор персональных данных. Независимо от того, хранится CRM на своём сервере или в «облаке», обязанность подавать уведомление сохраняется.
Поэтому компания или ИП, работающие с CRM, обязаны зарегистрироваться в Роскомнадзоре как оператор персональных данных. Независимо от того, хранится CRM на своём сервере или в «облаке», обязанность подавать уведомление сохраняется.
Обоснование по законодательству
- ФЗ-152, ст. 3, п. 1: персональные данные — любая информация о физическом лице.
- ФЗ-152, ст. 22: оператор обязан уведомить Роскомнадзор до начала обработки ПДн.
- ФЗ-152, ст. 18.1 и 19: оператор обязан обеспечивать безопасность ПДн, в том числе в информационных системах.
Важно: CRM — это информационная система персональных данных (ИСПДн). А значит, на неё распространяются требования по защите и локализации ПДн в РФ.
Особые нюансы с CRM
- Облачные CRM (например, amoCRM, Bitrix24, МойСклад): важно убедиться, что данные хранятся на серверах в России. Если база на иностранном сервере — это нарушение локализации (ст. 18 ФЗ-152).
- Серверные CRM (например, 1С): оператор сам отвечает за меры защиты (пароли, антивирус, разграничение доступа, резервное копирование).
Пример формулировки для уведомления
- Категории субъектов: клиенты, сотрудники, контрагенты.
- Цели обработки: заключение и исполнение договоров, ведение клиентской базы, взаимодействие с клиентами, маркетинговые рассылки (при наличии согласия).
- Местонахождение базы данных: дата-центр CRM-провайдера в РФ или сервер компании.
Пример ситуации
Компания использовала amoCRM для ведения базы клиентов, но уведомление в Роскомнадзор не подавала. При проверке Роскомнадзор выявил сбор телефонов и e-mail клиентов через CRM. Итог: штраф для компании и для директора.
Рекомендации и выводы
- Да, CRM = работа с персональными данными → уведомление обязательно.
- Проверьте, где хранится база данных CRM: сервер в РФ или за границей.
- Подготовьте пакет документов по ПДн (политика, согласия, назначение ответственного, меры защиты).
- Если CRM используется для рассылок — нужно дополнительно согласие на маркетинговую обработку данных.
Нет времени разбираться в нюансах?
Услуга под ключ: подготовим, заполним и подадим уведомление в Роскомнадзор без ошибок, с учётом требований 2025 года.
