Интеграция CRM с сайтом: где чаще всего нарушают закон о ПДн

Почему интеграция CRM с сайтом требует особого внимания

CRM-система является центральным хранилищем персональных данных клиентов — именно туда попадают данные из всех форм сайта, звонков, чатов и других каналов. Интеграция сайта с CRM — это точка, где технические решения напрямую влияют на соблюдение Федерального закона N 152-ФЗ "О персональных данных". Большинство проблем с ФЗ-152, выявляемых при проверках Роскомнадзора, связаны именно с CRM: неправильное местоположение серверов, отсутствие договоров, нарушение принципа минимизации и сроков хранения.

Нарушение 1: CRM расположена на зарубежных серверах без российского хранилища

Самое распространённое нарушение. Если сайт через API отправляет данные клиентов в Salesforce, HubSpot, Pipedrive или аналогичную зарубежную CRM, а никакого российского хранилища нет — это прямое нарушение требования локализации по статье 18.1 ФЗ-152. Данные граждан РФ записываются впервые на зарубежных серверах.

Как исправить

Вариант 1 (предпочтительный): перейти на российскую CRM. Российские CRM-системы с хранением данных в России: amoCRM (серверы в России), Bitrix24 в облачной версии с российскими серверами, RetailCRM (для e-commerce, серверы в России), 1С:CRM с развёртыванием на российском сервере.

Вариант 2: сохранять первичную запись в российской БД, затем передавать в зарубежную CRM. В этом случае на сайте данные из формы сначала записываются в российскую базу данных, и только после этого синхронизируются с зарубежной CRM через webhook или API. Дополнительно требуется соблюдение условий трансграничной передачи по статье 12 ФЗ-152.

Статья 18.1 ФЗ-152 требует, чтобы именно первичная запись персональных данных происходила с использованием баз данных, находящихся на территории Российской Федерации. Последующая передача в зарубежную систему допустима при соблюдении условий статьи 12 ФЗ-152, однако не отменяет обязанности первичной локализации.

Нарушение 2: отсутствие договора поручения обработки персональных данных

CRM-система является обработчиком персональных данных — она обрабатывает данные по поручению оператора (владельца сайта). По статье 6 ФЗ-152, обработка персональных данных третьими лицами допустима только на основании договора. Договор поручения обработки ПДн — это не абстрактный документ, а обязательный элемент правовой базы. Его отсутствие означает, что CRM-провайдер обрабатывает данные без законного основания.

Что должен содержать договор поручения

  • Перечень операций с персональными данными (запись, хранение, изменение, удаление)
  • Цели обработки данных
  • Перечень обрабатываемых категорий данных
  • Обязанность обработчика соблюдать конфиденциальность
  • Обязанность применять технические и организационные меры защиты
  • Запрет на передачу данных третьим лицам без разрешения оператора
  • Обязанность обработчика содействовать оператору в выполнении запросов субъектов

Где взять договор поручения для популярных CRM

Крупные CRM-системы, как правило, предоставляют стандартный DPA (Data Processing Agreement). Для российских систем (amoCRM, Bitrix24, RetailCRM) необходимо запросить договор поручения обработки ПДн у провайдера — они обязаны его предоставить. Для зарубежных систем — DPA доступен через настройки аккаунта или по запросу в службу поддержки.

Нарушение 3: CRM хранит данные без установленного срока

Принцип ограничения хранения из статьи 5 ФЗ-152 запрещает хранить персональные данные дольше, чем необходимо для достижения целей обработки. На практике CRM накапливает данные бессрочно: лиды пятилетней давности, клиенты, с которыми прекратились все отношения, отписавшиеся подписчики. Всё это нарушение закона.

Как организовать управление сроками хранения в CRM

Категория записей Рекомендуемый срок хранения Основание для удаления
Необработанные лиды (не перешедшие в клиента) 6-12 месяцев Истечение срока + автоматическое удаление
Данные клиентов (исполненные договоры) Срок договора + 3 года (срок исковой давности) Отсчёт с даты окончания договора
Данные клиентов (активные договоры) Срок действия договора Дата окончания договора
Отписавшиеся подписчики 30 дней после отписки Факт отписки
Запросы на удаление (обращения субъектов) 3 года для доказательной базы Только метаданные (факт запроса), не сами данные

Нарушение 4: массовая выгрузка данных без контроля доступа

CRM позволяет экспортировать данные в Excel или CSV. Если такая выгрузка доступна всем сотрудникам без ограничений — это нарушение требований к защите данных по статье 19 ФЗ-152 и Приказу ФСТЭК N 21. Персональные данные могут покинуть контролируемый периметр: попасть на личные компьютеры сотрудников, в личные облачные хранилища, передаться по незащищённым каналам.

Меры контроля доступа к данным CRM

  • Ограничьте экспорт данных: только уполномоченные лица могут выгружать базу клиентов
  • Ведите журнал выгрузок: кто, когда, какие данные экспортировал
  • Ограничьте видимость данных по ролям: менеджер видит только своих клиентов
  • Включите двухфакторную аутентификацию для доступа в CRM
  • Настройте уведомления о необычной активности (массовая выгрузка в нерабочее время)

Нарушение 5: CRM собирает избыточные данные

Статья 5 ФЗ-152 устанавливает принцип минимизации. CRM нередко заполняется данными, которые не нужны для бизнес-процессов: полные паспортные данные при отсутствии необходимости, дата рождения без использования для маркетинга или договора, сведения о семейном положении, фотографии, полученные в ходе переписки. Каждое поле CRM, содержащее персональные данные, требует правового основания для обработки.

Аудит полей CRM на соответствие принципу минимизации

Проведите ревизию всех полей CRM: для каждого поля определите, для какой цели собирается это данное, есть ли правовое основание, используется ли оно реально в работе. Поля, которые не используются или для которых нет правового основания — скрыть или удалить. Это снизит риски и уменьшит объём ответственности оператора.

Нарушение 6: не настроена процедура удаления данных по запросу

Статья 21 ФЗ-152 обязывает оператора в течение 30 дней удалить или уточнить персональные данные по обоснованному требованию субъекта. Если бизнес-процесс удаления из CRM не регламентирован, на практике запросы теряются или игнорируются. Штраф по статье 13.11 КоАП РФ за неудаление данных — до 500 000 рублей для юридических лиц.

Как организовать процедуру удаления

  1. Определите ответственного за обработку запросов на удаление (как правило, ответственный за ПДн)
  2. Настройте email или форму для приёма таких запросов — адрес должен быть указан в политике конфиденциальности
  3. Регламентируйте: в течение скольких дней запрос обрабатывается, кто даёт разрешение на удаление, как фиксируется факт удаления
  4. Удаление из CRM должно охватывать все связанные данные: основную карточку клиента, историю сделок, переписку, теги и комментарии
  5. Не забудьте про резервные копии: данные должны быть удалены и из них в разумные сроки

Нарушение 7: интеграция через третьи сервисы без договоров

Для интеграции сайта с CRM часто используются промежуточные сервисы: Albato, Make (бывший Integromat), n8n, Zapier. Каждый такой сервис, через который проходят персональные данные, становится обработчиком и требует договора поручения обработки ПДн. Если данные проходят через зарубежный Zapier или Make без российского хранилища — нарушение локализации.

Решение для интеграционных платформ

  • Российские альтернативы: Albato (российский сервис, серверы в РФ), n8n self-hosted на российском сервере
  • Для каждого промежуточного сервиса — заключить DPA или договор поручения обработки ПДн
  • Убедиться, что промежуточный сервис не хранит данные после передачи (только транзит)

Чек-лист: безопасная интеграция CRM с сайтом по ФЗ-152

  1. CRM размещена на серверах в России, или настроена первичная запись в российскую БД
  2. С провайдером CRM заключён договор поручения обработки персональных данных
  3. С каждым промежуточным сервисом интеграции заключён договор поручения обработки ПДн
  4. В CRM настроены сроки хранения данных: устаревшие записи удаляются автоматически
  5. Доступ к данным в CRM разграничен по ролям: сотрудник видит только нужные данные
  6. Экспорт данных из CRM ограничен и журналируется
  7. В CRM включена двухфакторная аутентификация
  8. Настроена процедура удаления данных по запросу субъекта (срок — не более 30 дней)
  9. Аудит полей CRM проведён — нет полей с данными без правового основания
  10. Политика конфиденциальности указывает CRM как обработчика данных

Требования к безопасности при передаче данных из форм в CRM

Канал передачи данных между сайтом и CRM должен быть защищённым. Это требование следует из статьи 19 ФЗ-152 и Приказа ФСТЭК N 21. Недопустимые способы передачи:

  • Передача данных по HTTP (незашифрованный канал)
  • Передача данных через webhook без аутентификации (любой может отправить запрос)
  • Передача через email в незашифрованном виде
  • Хранение API-ключей CRM в открытом виде в коде сайта (фронтенде)

Правильный подход: использование HTTPS для всех API-запросов, аутентификация запросов через API-ключ или токен (хранится на сервере, не в браузере), валидация данных на сервере перед отправкой в CRM, логирование ошибок интеграции для своевременного выявления проблем.

Российские CRM-системы: обзор вариантов

CRM Серверы в РФ Договор поручения ПДн Подходит для
amoCRM (облако) Да (при выборе российского сервера) Предоставляется по запросу Малый и средний бизнес, продажи, сервис
Bitrix24 (облако RU) Да Есть в условиях сервиса Комплексная автоматизация, любой размер бизнеса
Bitrix24 (коробка) Зависит от хостинга Нет (вы владеете кодом) Компании с собственной ИТ-инфраструктурой
RetailCRM Да Предоставляется Интернет-магазины, омниканальные продажи
1С:CRM Зависит от развёртывания В рамках договора 1С Компании с 1С:Предприятие, производство, торговля
HubSpot Нет (серверы в США) DPA доступен Нельзя использовать как основное хранилище ПДн граждан РФ
Salesforce Нет DPA доступен Нельзя использовать как основное хранилище ПДн граждан РФ

Передача данных в зарубежную CRM: когда это допустимо

Если по объективным причинам бизнес не может полностью отказаться от зарубежной CRM (например, она используется глобальным офисом компании), законная схема работы такова:

  1. Данные из формы сайта записываются первично в российскую базу данных или российскую CRM
  2. Из российской системы данные синхронизируются с зарубежной CRM через защищённый API
  3. Заключён договор поручения обработки ПДн с зарубежной CRM (DPA)
  4. Зарубежная страна входит в перечень стран с адекватным уровнем защиты (по приказу Роскомнадзора) или получено согласие субъектов на трансграничную передачу
  5. В политике конфиденциальности указана трансграничная передача с указанием страны и основания

Журнал обращений и логирование в CRM

Приказ ФСТЭК N 21 для уровня защищённости УЗ-3 требует реализации меры АУД (аудит безопасности) — регистрации событий безопасности. Применительно к CRM это означает: журналирование входов в систему (кто, когда, с какого IP), запись фактов доступа к данным клиентов, фиксирование изменений в карточках клиентов (кто изменил, что именно), запись фактов экспорта данных. Большинство современных CRM имеют встроенный журнал активности — убедитесь, что он включён и настроен.

Уведомление субъектов об обработке в CRM

Если данные клиента передаются в CRM-систему, пользователь должен быть об этом информирован. Это не требует отдельного уведомления для каждой передачи, но требует отражения в политике конфиденциальности и, опционально, в тексте согласия. Политика конфиденциальности должна содержать: наименование CRM как обработчика, перечень данных, передаваемых в CRM, цель передачи, ссылку на политику конфиденциальности CRM-провайдера. Пользователь, ознакомившись с политикой и давший согласие, считается информированным о передаче данных в CRM.

Аудит интеграций как часть ежегодной проверки ФЗ-152

Требования к безопасности персональных данных — это не разовая задача, а постоянный процесс. Интеграции CRM с сайтом нередко изменяются: добавляются новые формы, подключаются новые сервисы, меняются провайдеры. Каждое такое изменение требует проверки на соответствие ФЗ-152. Рекомендуется проводить плановый аудит интеграций не реже одного раза в год, а также при каждом существенном изменении технической инфраструктуры сайта.

Программа аудита интеграции CRM

  • Проверить актуальность договора поручения обработки ПДн с CRM-провайдером (не истёк ли срок действия, нет ли изменений в условиях)
  • Проверить местоположение серверов CRM (провайдер мог сменить инфраструктуру)
  • Убедиться, что все новые формы на сайте интегрированы через корректный канал (первичная запись в российскую БД)
  • Проверить актуальность списка сотрудников с доступом в CRM — удалить уволенных
  • Проверить настройки ролей — нет ли у рядовых сотрудников избыточного доступа
  • Проверить журнал активности CRM на предмет нестандартных операций
  • Убедиться, что устаревшие данные удаляются по расписанию

Сотрудники и CRM: организационные меры по ФЗ-152

Приказ ФСТЭК N 21 требует не только технических, но и организационных мер. Применительно к работе с CRM это означает:

  • Инструктаж сотрудников — все сотрудники, работающие с персональными данными в CRM, должны быть проинструктированы об обязанностях по ФЗ-152 и ответственности за нарушения
  • Соглашение о конфиденциальности — каждый сотрудник, имеющий доступ к CRM, должен подписать обязательство о неразглашении персональных данных
  • Приказ об обработке ПДн — приказ по организации должен определять перечень лиц, уполномоченных обрабатывать персональные данные, и объём их полномочий
  • Процедура при увольнении — при увольнении сотрудника его доступ к CRM должен быть отозван в течение рабочего дня

Что делать при утечке данных из CRM

Если произошла утечка персональных данных из CRM (взлом, внутренняя утечка, технический сбой), оператор обязан действовать по установленному протоколу. С 1 марта 2023 года введена обязанность уведомления РКН об инцидентах: первичное уведомление не позднее 24 часов с момента обнаружения, уточнённое уведомление с описанием причин и принятых мер — не позднее 72 часов. Уведомление направляется через портал Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) или через портал РКН.

Параллельно с уведомлением регулятора рекомендуется уведомить пострадавших субъектов данных о факте утечки — это не является обязательным по российскому законодательству, но является нормой деловой этики и снижает репутационные риски.

Итоговые рекомендации по интеграции CRM с сайтом

Интеграция CRM с сайтом — это зона, где технические решения напрямую определяют правовое положение оператора по ФЗ-152. Ключевые принципы: первичная запись данных всегда в российское хранилище, для каждого обработчика (CRM, промежуточные сервисы) — договор поручения обработки ПДн, сроки хранения данных регламентированы и соблюдаются автоматически, доступ к данным разграничен и журналируется. При выборе новой CRM или смене провайдера в первую очередь проверяйте местоположение серверов и наличие типового договора поручения обработки персональных данных. Это сэкономит время и предотвратит нарушения, которые иначе потребуют дорогостоящего исправления.

Страхование ответственности оператора ПДн

В мировой практике компании всё чаще используют страхование киберрисков для покрытия убытков от утечек персональных данных. В России этот инструмент пока не получил широкого распространения, однако ряд страховщиков предлагает продукты по киберстрахованию. Такой полис может покрывать: расходы на уведомление регулятора и пострадавших, расходы на расследование инцидента и восстановление систем, судебные расходы и штрафы. При наличии зрелой системы управления персональными данными, включая корректно настроенную CRM-интеграцию, страховая премия будет ниже, а вероятность успешного урегулирования страхового случая — выше.