Персональные данные и CRM в 2026: где бизнес уже нарушает 152-ФЗ (и не знает об этом)

CRM — это точка, где сегодня чаще всего возникают нарушения законодательства о персональных данных.

Мы видим это при проведении аудита IT-компаний, маркетплейсов и цифровых сервисов: данные собираются “на всякий случай”, маркетинг работает без корректных согласий, CRM интегрирована с десятками сервисов - и никто не контролирует, где именно происходит нарушение.

Если речь идет о группе компаний, то CRM часто «делится» между ними без всяких правовых оснований.

В 2026 году это уже не “теоретический риск”. Это причина проверок со стороны РКН, штрафов и блокировок.

В марте 2026 мы провели большой вебинар о рисках ПДн - посмотрите видео.

Почему CRM — зона повышенного риска

CRM аккумулирует весь критический слой данных о клиентах:

• ФИО, контакты, история взаимодействия;
• платежная информация;
• поведенческие данные;
• коммуникации с клиентами.

С точки зрения закона — это информационная система персональных данных (ИСПДн), на которую распространяется Федеральный закон № 152-ФЗ «О персональных данных».

CRM-системы подпадают под требования нескольких законов и подзаконных актов, например:

• Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ, который устанавливает базовые принципы и условия обработки ПДн;
• Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», которым установлены требования к защите данных в ИСПДн;
• Приказ ФСТЭК России от 18.02.2013 №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», закрепляющий меры безопасности и другие акты.

Но ключевая проблема не в законе.
Проблема — в том, как реально устроены бизнес-процессы в компании.

Вопросы, которые задают IT компании (и где скрываются риски)

На практике бизнес не говорит “у нас нарушение”.
Они задают вопросы:

• «Можно ли использовать данные из CRM для рассылок?»
• «Нужно ли отдельное согласие на маркетинг?»
• «Если клиент оставил email — можем ли мы ему писать?»
• «Как долго можно хранить данные?»
• «Нужно ли удалять старых клиентов?»

Отдельно - про интеграции:

• «Можно ли использовать иностранные CRM?»
• «Что делать, если данные хранятся за пределами РФ?»
• «Нужно ли оформлять поручения на каждую интеграцию?»

В большинстве случаев за этими вопросами скрывается одно: архитектура работы с персональными данными не выстроена

Важно! Нарушения в области ПДн могут помешать бизнесу включиться в белый список

5 типичных сценариев, где бизнес уже нарушает

Ключевые обязанности оператора (компании):

• получать согласие субъекта;
• обеспечивать безопасность данных;
• соблюдать цели обработки;
• локализовать базы данных.

Но вот 5 ошибок, которые допускают чаще всего:

1. Избыточный сбор данных

CRM собирает больше данных, чем нужно → нарушение принципа минимизации.

2. Маркетинг без отдельного согласия

Заявка ≠ согласие на рекламу.

3. Интеграции без договоров

Передача ПДн подрядчикам без поручений.

4. Иностранные CRM

Нарушение условия о локализации при хранении ПДн.

5. Бесконтрольное хранение

Данные хранятся годами без оснований.

Судебная практика: CRM — это персональные данные

Вопрос уже закрыт судами.

В деле № 1-8/2025 (Первомайский районный суд г. Кирова) указано: информация в CRM относится к персональным данным, поскольку позволяет идентифицировать лицо.

Любая клиентская база = ПДн

Но есть важный нюанс

Судебная практика показывает границы.

В деле № 33а-25520/2018 (Санкт-Петербургский городской суд) отмечено: IP-адреса и технические данные сами по себе могут не являться персональными данными, если не позволяют идентифицировать лицо.

Что это значит на практике

Ошибка бизнеса: “у нас просто технические данные”.

Реальность: если данные можно связать с человеком → это ПДн.

CRM почти всегда попадает под регулирование 152-ФЗ.

Как Роскомнадзор реально проверяет вашу работу с CRM

Компании думают, что проверяют документы.
На практике проверяют систему и процессы.

Что происходит:

1. Триггер проверки

• жалоба пользователя;
• утечка;
• маркетинговые рассылки.

Сейчас основной инструмент — внеплановые проверки.

2. Что запрашивают

• источники данных;
• тексты согласий;
• модель обработки;
• договоры с подрядчиками;
• описание ИСПДн.

3. Что смотрят по факту

• как работает CRM;
• какие интеграции подключены;
• куда уходят данные;
• где они хранятся.

То есть проверяют не бумагу, а реальность.

Почему CRM — главный источник риска

Потому что именно здесь сходятся:

• маркетинг;
• продажи;
• продукт;
• подрядчики;
• аналитика.

И именно здесь чаще всего “ломается” соответствие 152-ФЗ.

Как должна выглядеть корректная архитектура

Это не набор документов. Это система:

1. Определены цели обработки;
2. Разделены данные (сделка / маркетинг);
3. Настроены согласия;
4. Оформлены подрядчики;
5. Контролируются интеграции;
6. Обеспечена локализация.

Как мы работаем с обработкой ПДн в Зарцын и партнеры

Мы не делаем “формальный комплаенс”.

Мы:

• анализируем реальные процессы;
• разбираем CRM и интеграции;
• находим точки риска;
• выстраиваем рабочую модель.

Результат: система, которая выдерживает проверку.

Посмотрите видео, где мы рассказываем про наш подход

Кому это критично

• IT-компании;
• SaaS;
• маркетплейсы;
• бизнес с маркетингом;
• выручка от 100 млн ₽.

Частые вопросы (FAQ)

Можно ли писать клиенту после заявки?

Только при наличии корректного согласия на маркетинг.

Можно ли хранить данные “на будущее”?

Нет, нужен срок и цель.

Можно ли использовать иностранную CRM?

Только при соблюдении требований локализации.

Нужно ли оформлять подрядчиков?

Да, через поручение на обработку.

Если база уже собрана без согласий?

Это зона риска, требует переработки.

Главный вывод

Если у вас есть CRM — с высокой вероятностью у вас уже есть нарушения.

Вопрос не “есть ли риск”.
Вопрос — где именно он скрыт

Что делать дальше

Если у вас:

• есть CRM;
• есть маркетинг;
• есть клиентская база.

Почти всегда есть нарушения, которые не видны изнутри.

Мы проводим аудит CRM и персональных данных:

• выявляем реальные риски;
• даём конкретный план исправления;
• выстраиваем архитектуру под бизнес.

Оставить заявку на аудит

Получить аудит CRM и персональных данных – в 80% случаев на аудитах мы находим нарушения, которые могут привести к штрафам или блокировкам.

• покажем, где у вас риск штрафов;
• дадим план исправления.