Хранение данных в России — что требует 152-ФЗ от SaaS-сервисов
Статья 18.1 (п. 5) 152-ФЗ требует, чтобы персональные данные российских граждан при первичном сборе записывались и хранились на серверах, расположенных в России. Это касается любого SaaS-сервиса, который вы используете для работы с клиентами — чата, CRM, email-рассылки, формы обратной связи.
Что 152-ФЗ говорит о месте хранения персональных данных?
Требование появилось в 2015 году и с тех пор жестче не менялось: база данных с персональными данными россиян должна физически находиться на территории России. Передача данных за рубеж (трансграничная передача) возможна, но только при соблюдении отдельных условий.
На практике это означает:
- Google Analytics / Mixpanel — если собирают ПД, нужна отдельная юридическая оценка
- Intercom, Zendesk, HubSpot — данные хранятся за рубежом, что создает правовые риски
- Российские SaaS (Нотифлоу, Битрикс24, amoCRM, RetailCRM) — данные хранятся в России
Где хранит данные Нотифлоу?
Нотифлоу хранит все пользовательские данные на серверах в России. Это явно прописано в публичной оферте и пользовательском соглашении, доступных на сайте notiflow.ru. При необходимости можно запросить документальное подтверждение для юридического отдела.
Как проверить, где хранит данные SaaS-провайдер?
Шаги для проверки:
- Прочитайте политику конфиденциальности и пользовательское соглашение — должно быть явно указано «данные хранятся на серверах в России» или «персональные данные обрабатываются в Российской Федерации»
- Уточните у провайдера в письменном виде — ответ по email создает документальный след
- Проверьте юридическое лицо — российское ИП/ООО с большей вероятностью работает на российской инфраструктуре
- Запросите сертификаты (при наличии): ФСТЭК, ФСБ, или ссылку на реестр операторов РКН
Если провайдер уклоняется от прямого ответа о местонахождении серверов — это красный флаг.
Какие риски при использовании зарубежного SaaS для работы с ПД?
Штраф РКН: до 6 миллионов рублей за повторное нарушение требования локализации (ст. 13.11 КоАП, редакция 2024 года). Первичное нарушение — до 300 000 рублей.
Блокировка: РКН имеет право требовать ограничения доступа к ресурсу, использующему нарушающий сервис.
Репутационные риски: при жалобе клиента на нарушение 152-ФЗ ваш бизнес несет ответственность, даже если данные обрабатывает подрядчик — по закону вы оператор персональных данных.
Достаточно ли декларации вендора о хранении в России?
Для внутренней проверки — да. Для юридической защиты при проверке РКН — желательно иметь письменное подтверждение: договор с указанием местонахождения серверов или сертификат. Если SaaS-сервис является обработчиком ПД по вашему поручению, заключите договор поручения обработки персональных данных (ст. 6, п. 3 152-ФЗ).
Что делать, если сейчас используется зарубежный SaaS?
Варианты:
- Перейти на российский аналог — для большинства инструментов есть российские замены
- Провести юридическую оценку — ряд инструментов (аналитика, A/B-тесты) может не собирать ПД напрямую и попасть под исключения
- Заключить договор трансграничной передачи — сложно, редко применимо к коммерческим SaaS
Часто задаваемые вопросы
Будет ли Google Analytics нарушением 152-ФЗ?
Однозначного ответа нет — зависит от конфигурации. Если вы используете Analytics только с анонимизированными данными (нет передачи ФИО, email, телефона) и включили IP-анонимизацию — риски снижены. Если Analytics собирает идентифицирующие данные или связан с CRM — это зона риска. Рекомендуется консультация с юристом по 152-ФЗ.
Нужно ли переподписывать согласия на обработку ПД при смене SaaS-провайдера?
Если меняется обработчик данных (т.е. третье лицо, которому вы передаете ПД по договору поручения) — да, об этом нужно уведомить пользователей. Обычно это делается через обновление политики конфиденциальности с указанием новой даты и перечня обработчиков.
Подключить чат, соответствующий 152-ФЗ — в кабинете Нотифлоу. Подробнее о требованиях к чату — в статье «152-ФЗ и чат на сайте» и на странице «Политика конфиденциальности».