Перейти к содержанию
инструкция 12 декабря 2026 По состоянию на 12 декабря 2026

Политика для CRM-системы: 1С, Битрикс24

Политика обработки персональных данных в CRM — обязательный документ по ч. 2 ст. 18.1 ФЗ-152. Без неё оператор получает штраф по ч. 3 ст. 13.11 КоАП до 60 000 ₽, а при проверке РКН — предписание устранить нарушение немедленно.
1С:CRM, Битрикс24 и любая другая CRM-система фиксирует имена, телефоны, email, историю сделок и переписку клиентов. Каждое из этих действий — обработка персональных данных. Политика определяет, зачем собираются данные, кто имеет к ним доступ и как они защищены.
→ Если вы юрист и проверяете комплаенс компании с CRM — эта инструкция покажет, что должно быть в политике, как её оформить и какие согласия переделать после 01.09.2025.

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024: 18 частей вместо 7, оборотный штраф за повторную утечку до 500 млн ₽. Параллельно ФЗ-156 от 24.06.2025 изменил ст. 9 ФЗ-152 — с 01.09.2025 согласие на обработку ПДн оформляется отдельным документом. Если политика для CRM написана до этих изменений, она не соответствует действующим требованиям. Ниже — пошаговый порядок приведения документа в норму.

Шаг 1. Определите состав ПДн в вашей CRM

Прежде чем писать политику, установите, какие данные реально хранятся в системе. Это не формальность: состав ПДн определяет категорию обработки, уровень защищённости ИСПДн и перечень мер по ст. 19 ФЗ-152.

Типовые данные в CRM-системах делятся на три группы. Первая — общие ПДн: ФИО контактного лица, должность, рабочий телефон и email, наименование организации, история взаимодействия. Вторая — данные физических лиц — покупателей: имя, личный телефон, домашний адрес, дата рождения, история заказов. Третья — специальные или биометрические категории: если в CRM хранятся фотографии клиентов, записи звонков с идентификацией голоса или медицинские данные пациентов — требования резко возрастают по ст. 10 и ст. 11 ФЗ-152.

«Ст. 10 ФЗ-152 запрещает обработку специальных категорий ПДн (состояние здоровья, национальность, религиозные убеждения) без явного письменного согласия субъекта или иного основания из п. 2 той же статьи.»

Для Битрикс24 проверьте: модули телефонии (записи звонков), CRM-формы на сайте (сбор данных через браузер), интеграции с мессенджерами и почтой, поля кастомных карточек. Для 1С:CRM — конфигурацию базы, дополнительные реквизиты контрагентов, журналы взаимодействий.

Итог шага: список полей CRM с отнесением каждого к категории ПДн. Этот список станет основой раздела «Состав обрабатываемых ПДн» в политике.

Шаг 2. Установите цели и правовые основания обработки

Ст. 5 ФЗ-152 требует, чтобы каждое действие с ПДн преследовало конкретную, заранее определённую цель. Обработка сверх этой цели — нарушение, за которое предусмотрен штраф по ч. 1 ст. 13.11 КоАП от 150 000 до 300 000 ₽.

Типовые цели для CRM: исполнение договора с клиентом (п. 5 ч. 1 ст. 6 ФЗ-152), выполнение законодательно установленных обязанностей (п. 2 ч. 1 ст. 6), маркетинговые коммуникации по согласию субъекта (п. 1 ч. 1 ст. 6). Смешивать базы с несовместимыми целями запрещает ст. 5 ФЗ-152: нельзя использовать данные из договорной CRM для рекламных рассылок без отдельного согласия.

«Ст. 5 ФЗ-152 — принцип несовместимости: не допускается объединение баз, созданных для несовместимых целей. Один и тот же массив данных нельзя использовать одновременно для исполнения договора и для таргетированной рекламы.»

Для каждой цели укажите правовое основание из ч. 1 ст. 6 ФЗ-152 и перечень действий: сбор, запись, хранение, передача третьим лицам (например, службе доставки или колл-центру на аутсорсе). Это содержание раздела «Цели, основания и состав обработки» в политике.

Юрист проверяет комплаенс компании с CRM?

Если вы анализируете соответствие 152-ФЗ и видите, что политика не обновлялась после ФЗ-156 от 24.06.2025 — согласия, оформленные вместе с договором или офертой, с 01.09.2025 не соответствуют новым требованиям. Каждое такое согласие создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП до 700 000 ₽. Юристы DATUM соберут комплект ОРД под ключ: политика, согласия, приказы, поручения обработчикам.

Собрать ОРД под ключ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Как составить политику обработки ПДн для CRM-системы?

Ч. 2 ст. 18.1 ФЗ-152 определяет обязательные разделы политики. Документ должен быть опубликован в открытом доступе — на сайте или на информационном стенде. Отсутствие публикации — самостоятельный состав по ч. 3 ст. 13.11 КоАП.

Обязательные разделы политики для оператора с CRM:

  • Общие положения: наименование и реквизиты оператора, ФИО ответственного по ст. 22.1 ФЗ-152, дата вступления в силу.
  • Принципы обработки: ссылка на ст. 5 ФЗ-152, перечисление принципов своими словами применительно к деятельности компании.
  • Цели и основания: таблица «цель — правовое основание — состав ПДн — категория субъектов» (вместо таблицы в HTML — структурированный список).
  • Права субъектов: перечень прав по ст. 14–21 ФЗ-152, порядок подачи запроса, срок ответа — 10 рабочих дней по ст. 20 ФЗ-152 с возможностью продления на 5 рабочих дней.
  • Меры защиты: описание организационных и технических мер по ст. 19 ФЗ-152 без раскрытия конфигурации.
  • Передача третьим лицам: перечень обработчиков (интеграторы CRM, облачные сервисы, колл-центры) и основания передачи по п. 3 ст. 6 ФЗ-152.
  • Трансграничная передача: если данные уходят за рубеж через облачную инфраструктуру CRM — уведомление РКН по ст. 12 ФЗ-152.
  • Порядок уничтожения: сроки и способ уничтожения ПДн по достижении целей.
«Ч. 2 ст. 18.1 ФЗ-152 — оператор обязан опубликовать политику в отношении обработки ПДн и обеспечить неограниченный доступ к ней. Неисполнение — штраф по ч. 3 ст. 13.11 КоАП от 30 000 до 60 000 ₽ для юридического лица.»

Объём политики — от 5 до 15 страниц для среднего оператора. Документ не должен быть декларативным: каждый раздел содержит конкретные сроки, перечни и ссылки на нормы.

Шаг 4. Проверьте уведомление в реестре РКН

До начала обработки ПДн оператор обязан уведомить Роскомнадзор по ст. 22 ФЗ-152. Форма — Приказ РКН №180 от 28.10.2022, подача через pd.rkn.gov.ru с УКЭП или через ЕСИА. Включение в реестр занимает до 30 дней.

Три типичных нарушения при уведомлении для операторов с CRM:

  • Уведомление не подано вовсе — штраф по ч. 10 ст. 13.11 КоАП от 100 000 до 300 000 ₽.
  • Уведомление подано, но реальная обработка шире заявленной: добавились новые цели, новые категории субъектов или новые обработчики. Ст. 22 ФЗ-152 обязывает уведомлять об изменениях в течение 10 рабочих дней.
  • В уведомлении не указана трансграничная передача, хотя CRM работает на зарубежных серверах или использует иностранные интеграции (Salesforce, HubSpot, зарубежный облачный модуль Битрикс24).

Для Битрикс24 в облачной версии (Bitrix24.ru) серверы находятся в России — трансграничная передача по общему правилу отсутствует. Для коробочной версии с размещением на зарубежном хостинге — уведомление РКН по ст. 12 ФЗ-152 обязательно до начала передачи.

Шаг 5. Переоформите согласия после 01.09.2025

ФЗ-156 от 24.06.2025 изменил ч. 1 ст. 9 ФЗ-152: с 01.09.2025 согласие на обработку ПДн должно быть оформлено отдельным документом. Его нельзя включать в текст договора, оферты, пользовательского соглашения или регистрационной формы CRM.

«Ч. 1 ст. 9 ФЗ-152 в ред. ФЗ-156 от 24.06.2025 (действует с 01.09.2025): согласие субъекта на обработку ПДн не может быть объединено с другими документами. Обратной силы норма не имеет — согласия, полученные до 01.09.2025, переоформлять не требуется.»

Что изменить в процессе сбора данных через CRM-формы:

  • CRM-форма на сайте: чекбокс согласия — отдельный элемент с отдельным текстом, не встроенный в условия использования сервиса.
  • Согласие на маркетинговые рассылки: отдельный документ с реквизитами по ст. 9 ФЗ-152 (цель, состав ПДн, срок, способ отзыва).
  • Согласие на передачу данных партнёрам или обработчикам: если передача не охватывается договором или законом — отдельное согласие.
  • Согласие на распространение ПДн (публикация отзывов, кейсов, фото): отдельный документ по ст. 10.1 ФЗ-152.

Ранее полученные согласия, включённые в текст договора или оферты до 01.09.2025, продолжают действовать. Но при обновлении форм или заключении новых договоров после этой даты — требование об отдельном документе применяется.

Если юрист обнаружил, что согласия в CRM-формах встроены в текст договора или оферты — каждая новая регистрация после 01.09.2025 создаёт нарушение ч. 2 ст. 13.11 КоАП (штраф до 700 000 ₽). Срок для исправления не установлен, но РКН вправе выдать предписание в ходе любой проверки. Юристы DATUM проведут аудит форм сбора данных и обновят ОРД.

Заказать аудит 152-ФЗ

Шаг 6. Назначьте ответственного и оформите внутренние приказы

Ст. 22.1 ФЗ-152 обязывает оператора-юрлицо назначить лицо, ответственное за организацию обработки ПДн. Назначение оформляется приказом руководителя. Без этого документа при проверке РКН — нарушение ст. 18.1 ФЗ-152 и основание для штрафа.

Минимальный комплект внутренних документов для оператора с CRM:

  • Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152 с описанием его полномочий.
  • Приказ об утверждении политики обработки ПДн и перечня лиц, допущенных к обработке.
  • Соглашение о конфиденциальности с каждым сотрудником, имеющим доступ к CRM.
  • Договор (поручение) на обработку ПДн с вендором CRM или интегратором по п. 3 ст. 6 ФЗ-152 — если они обрабатывают данные от имени оператора.
  • Регламент реагирования на инциденты: 24 часа на первичное уведомление РКН по ч. 3.1 ст. 21 ФЗ-152, 72 часа на отчёт о расследовании по Приказу РКН №187.
  • Журнал учёта обращений субъектов.
«Ст. 22.1 ФЗ-152: оператор-юрлицо обязан назначить лицо, ответственное за организацию обработки ПДн. Это лицо подотчётно непосредственно исполнительному органу оператора и не может быть освобождено от ответственности за нарушения, допущенные при его непосредственном участии.»

Для Битрикс24 отдельно проверьте: настроены ли права доступа к CRM по ролям, ведётся ли журнал действий пользователей, включена ли двухфакторная аутентификация. Это элементы технических мер по ст. 19 ФЗ-152 и Приказу ФСТЭК №21.

Что подготовить

  • Политика обработки ПДн с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152, опубликованная на сайте или стенде.
  • Уведомление в реестре операторов РКН (pd.rkn.gov.ru) с актуальным составом обработки, целями и обработчиками.
  • Отдельные согласия субъектов по ст. 9 ФЗ-152 в редакции ФЗ-156 (с 01.09.2025 — не встроенные в договор).
  • Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152.
  • Договоры-поручения с вендорами CRM и интеграторами по п. 3 ст. 6 ФЗ-152.

Типовые ситуации при проверке юристом

Ситуация 1: политика есть, но устарела. Компания использует Битрикс24 с 2019 года. Политика опубликована на сайте, но написана до ФЗ-156: согласия встроены в форму регистрации вместе с пользовательским соглашением. При внутреннем аудите юрист выявил несоответствие новым требованиям. Стратегия: переработать разделы о согласиях, обновить CRM-формы, уведомить РКН об изменении в обработке, оформить новые согласия для активных клиентов при следующем обращении.

Ситуация 2: нет уведомления в реестре РКН. IT-компания внедрила 1С:CRM для управления сделками. Уведомление в РКН не подавали — считали, что данные только контрагентов-юрлиц. Однако в CRM хранятся ФИО и телефоны контактных лиц — физических лиц. Это обработка ПДн. При плановой проверке РКН — штраф по ч. 10 ст. 13.11 КоАП от 100 000 до 300 000 ₽ за отсутствие уведомления. Стратегия: подать уведомление через pd.rkn.gov.ru до проверки, разработать политику и ОРД.

Ситуация 3: поручение обработчику не оформлено. Компания использует Битрикс24 в интеграции с колл-центром на аутсорсе. Данные клиентов передаются оператору колл-центра — третьему лицу. Договор с ним не содержит раздела об обработке ПДн по п. 3 ст. 6 ФЗ-152. При жалобе субъекта РКН вправе квалифицировать это как обработку без законного основания — штраф по ч. 1 ст. 13.11 КоАП от 150 000 ₽. Стратегия: заключить договор-поручение с колл-центром, включить в него обязательные условия ч. 3 ст. 6 ФЗ-152.

Частые вопросы

1. Какие документы должны быть у оператора ПДн?

Минимальный комплект ОРД по ст. 18.1 ФЗ-152 включает: политику обработки ПДн, опубликованную на сайте; приказ о назначении ответственного по ст. 22.1; приказ об утверждении перечня лиц, допущенных к обработке; согласия субъектов по ст. 9 (отдельные документы с 01.09.2025 по ФЗ-156); договоры-поручения с обработчиками по п. 3 ст. 6 ФЗ-152; регламент реагирования на инциденты с процедурой уведомления РКН за 24/72 часа; журнал учёта обращений субъектов. Для CRM-оператора с удалённым колл-центром или интегратором — соглашение о конфиденциальности с каждым из них.

2. Как составить политику обработки ПДн?

Политика составляется по требованиям ч. 2 ст. 18.1 ФЗ-152 и включает: реквизиты оператора, цели и правовые основания обработки (ст. 6 ФЗ-152), состав ПДн по категориям субъектов, права субъектов (ст. 14–21 ФЗ-152) и порядок их реализации, описание технических и организационных мер защиты, сведения о трансграничной передаче и об обработчиках, сроки уничтожения ПДн. Шаблон из интернета требует адаптации: без указания реальных целей и реальных мер защиты политика становится формальным документом, который не снижает риски при проверке.

3. Кого назначить ответственным по ст. 22.1?

Ст. 22.1 ФЗ-152 не устанавливает требования к должности или образованию — это может быть штатный юрист, руководитель IT-отдела или отдельно привлечённый специалист (DPO-аутсорс). Главное: ответственный подотчётен исполнительному органу (директору), его полномочия закреплены приказом. Для малого бизнеса распространён вариант аутсорсинга функции ответственного по ст. 22.1 — внешний юрист принимает запросы субъектов, взаимодействует с РКН, поддерживает ОРД в актуальном состоянии.

4. Можно ли использовать шаблон политики из интернета?

Шаблон можно использовать как основу структуры, но не как готовый документ. РКН при проверке оценивает соответствие политики реальной деятельности оператора: цели обработки должны совпадать с фактическими операциями в CRM, состав ПДн — с полями системы, обработчики — с реальными контрагентами. Политика «на все случаи жизни» без привязки к конкретному оператору создаёт видимость комплаенса, но не защищает от штрафа по ч. 1 или ч. 3 ст. 13.11 КоАП при проверке.

5. Какие согласия нужны после 01.09.2025?

После 01.09.2025 (ФЗ-156 от 24.06.2025) согласие по ст. 9 ФЗ-152 оформляется отдельным документом. Для CRM-оператора это означает: форма сбора данных на сайте содержит чекбокс с отдельным текстом согласия — не совмещённый с пользовательским соглашением или офертой; согласие на маркетинговые рассылки — отдельный документ; согласие на передачу данных третьим лицам (если не охватывается договором или законом) — отдельный документ. Обязательные реквизиты: ФИО субъекта, контактные данные, наименование оператора, цель, перечень ПДн, срок согласия, способ отзыва.

6. Нужно ли переоформлять уведомление в РКН при переходе на новую CRM?

Да, если при переходе изменились цели обработки, состав ПДн, категории субъектов, перечень обработчиков или способы обработки. Ст. 22 ФЗ-152 обязывает уведомлять РКН об изменениях в течение 10 рабочих дней с момента их возникновения. Для обновления сведений используется та же форма через pd.rkn.gov.ru. Неуведомление об изменениях квалифицируется аналогично несвоевременному первичному уведомлению — штраф по ч. 10 ст. 13.11 КоАП от 100 000 до 300 000 ₽.

Итог

Политика обработки ПДн для CRM — это не формальная декларация, а рабочий документ, который фиксирует реальные цели, состав данных, обработчиков и меры защиты применительно к конкретной системе: 1С:CRM, Битрикс24 или иной. После 01.09.2025 добавляется требование об отдельных согласиях по ФЗ-156, а с 30.05.2025 действуют расширенные санкции по ст. 13.11 КоАП в редакции ФЗ-420. Комплект ОРД из 6 обязательных документов снижает риск штрафа при проверке РКН и при жалобах субъектов.

DATUM сопровождает операторов ПДн при разработке ОРД, аудите CRM-систем и взаимодействии с Роскомнадзором. Практика охватывает как облачные решения (Битрикс24), так и коробочные (1С:CRM, собственные CRM на базе 1С-Битрикс).

Услуги DATUM по теме

Смотрите также

КЗ
Кирилл Захаров
Партнёр · Цифровые продукты
Партнёр практики DATUM по цифровым продуктам. Специализация — политики конфиденциальности, согласия в интернет-магазинах и SaaS, cookies, трансграничные сервисы аналитики, программы лояльности.

12 декабря 2026 года