CRM, облачные сервисы и 152-ФЗ: какие риски есть у бизнеса

CRM и облачные сервисы удобны для бизнеса, но именно они часто создают скрытые риски по 152-ФЗ. Компания видит только форму заявки и карточку клиента, а фактически персональные данные проходят через хостинг, конструктор сайта, CRM, телефонию, мессенджеры, рассылки, аналитику, рекламные пиксели и облачное хранилище. Если эти процессы не отражены в документах, политика и согласия не соответствуют реальности.

Особенно важно проверить, где происходит первичная запись и хранение данных граждан РФ. С 2025 года требования к локализации при сборе персональных данных стали жестче: при сборе персональных данных граждан РФ нельзя использовать базы данных за пределами РФ для ключевых операций записи и хранения, за исключением предусмотренных законом случаев. Это влияет на сайты, CRM, облака, виджеты и зарубежные SaaS.

• CRM: Bitrix24, amoCRM, Tilda CRM и другие системы;
• хостинг и конструктор сайта;
• онлайн-чаты, виджеты обратного звонка, квизы;
• телефония и call-tracking;
• email-рассылки и SMS-сервисы;
• облачные таблицы и хранилища;
• сервисы аналитики и рекламные пиксели;
• мессенджеры и боты;
• сервисы электронного документооборота.

По каждому сервису нужно понять: какие данные он получает, является ли он самостоятельным оператором или обработчиком по поручению, где находятся базы, есть ли трансграничная передача, можно ли удалить данные, кто имеет доступ, есть ли договор или пользовательское соглашение с условиями обработки персональных данных.

Если сервис только технически хранит данные по поручению компании, нужны условия поручения обработки. Если сервис сам определяет цели использования данных, ситуация сложнее: нужно понять, можно ли вообще передавать ему данные и как информировать субъектов.

Пользователь, оставляя заявку на сайте, обычно не знает, что его данные попадут в CRM, Telegram-уведомление, почту менеджера и аналитику. Поэтому политика и согласие должны честно описывать категории получателей или обработчиков. Не обязательно перечислять каждую систему в тексте под формой, но документы должны соответствовать фактическому процессу.

Если используется зарубежный сервис, нужно проверить два блока: трансграничную передачу и локализацию. Трансграничная передача может требовать отдельного уведомления Роскомнадзора. Локализация касается этапа сбора данных граждан РФ и использования баз данных за пределами РФ. Эти вопросы нельзя закрыть одной общей фразой в политике.

На практике риск часто возникает не в официальной CRM, а в бытовых инструментах: менеджеры выгружают заявки в таблицу, пересылают паспорта в чат, хранят документы на личном диске, отправляют клиентскую базу подрядчику в мессенджере. Даже если юридические документы на сайте хорошие, такие действия могут нарушать внутренний порядок обработки и создавать риск утечки.

• составить карту всех сервисов, через которые проходят данные;
• проверить локализацию и трансграничную передачу;
• обновить политику и согласия;
• заключить или дополнить договоры поручения с подрядчиками;
• ограничить доступ сотрудников к CRM и облакам;
• запретить хранение чувствительных документов в личных чатах и таблицах;
• настроить порядок удаления данных по запросу субъекта;
• подготовить план реагирования на инцидент.

CRM должна помогать продажам, а не создавать юридическую уязвимость. Правильная настройка документов и процессов позволяет сохранить удобство работы и одновременно снизить риск претензий Роскомнадзора.

Если нужно быстро понять, какие документы и действия нужны именно вашей компании, можно направить сайт, форму сбора данных, договоры с подрядчиками или письмо Роскомнадзора на предварительный разбор через kurnev.ru. Такой аудит помогает отделить реальные риски от формальных замечаний и подготовить понятный план исправлений.