Избранное

Локализация ПДн: как понять, где реально хранятся данные сайта/CRM

    1 июня 2026 года

    Локализация персональных данных - это не только вопрос, где расположен сервер. Данные с сайта, форм, CRM, почты, аналитики и интеграций могут проходить через разные сервисы и подрядчиков. В статье объясняем, как бизнесу понять, где реально хранятся и обрабатываются ПДн, что проверить в первую очередь и почему без инвентаризации потоков данных легко ошибиться.

     

    В этой статье:

     

    Что такое локализация ПДн простым языком

    Локализация персональных данных — это требование, связанное с обработкой персональных данных граждан России с использованием баз данных, находящихся на территории Российской Федерации. В актуальной редакции 152-ФЗ при сборе персональных данных, в том числе через интернет, не допускается запись, систематизация, накопление, хранение, уточнение и извлечение персональных данных граждан РФ с использованием баз данных за пределами России, кроме предусмотренных законом исключений.

    Для бизнеса это не означает простое правило “всё иностранное запрещено”. Важно смотреть на конкретные процессы: какие данные собираются, где они первично записываются, какие системы участвуют, кому данные передаются, где находятся базы и какие действия выполняют подрядчики или сервисы.

    Поэтому локализация ПДн — это не только юридический вопрос и не только задача хостинга. Это стык сайта, CRM, почты, аналитики, рекламных инструментов, интеграций, договоров с подрядчиками и внутренних процедур компании.

    Почему “сервер в России” еще не ответ

    Многие компании считают, что если сайт размещен на российском хостинге, вопрос закрыт. Но персональные данные могут не ограничиваться хостингом сайта. Форма заявки может отправлять данные в зарубежный сервис рассылок, CRM может храниться в облаке за пределами России, виджет онлайн-чата может передавать контакты стороннему провайдеру, а интеграция с рекламной аналитикой — собирать идентификаторы и события пользователя.

    Даже если основной сервер находится в России, нужно понять всю цепочку. Что происходит после того, как пользователь оставил имя, телефон, email или комментарий в форме? Данные сразу попадают в базу сайта? Отправляются на почту менеджеру? Создают сделку в CRM? Передаются в мессенджер, телефонию, сервис уведомлений или систему сквозной аналитики?

    Без такой картины компания может быть уверена, что “у нас всё локально”, но фактически часть обработки идет через внешние сервисы, о которых давно забыли. Особенно часто это происходит после доработок сайта, смены CRM, подключения маркетинговых инструментов или работы нескольких подрядчиков одновременно.

    Где данные могут оказаться на практике

    Самые очевидные точки — формы на сайте: заявка, обратный звонок, регистрация, подписка, заказ, личный кабинет, чат, форма подбора услуги. Но после отправки формы данные обычно двигаются дальше.

    Они могут попасть в CRM, на электронную почту, в телефонию, сервис рассылок, онлайн-чат, систему аналитики, рекламный кабинет, таблицу менеджера, мессенджер, Helpdesk, облачное хранилище или к подрядчику, который обслуживает сайт. Иногда цепочка выглядит так: форма на сайте — почта — CRM — уведомление в мессенджер — задача в системе управления проектами — экспорт в таблицу. Каждая точка важна.

    Отдельно стоит проверить резервные копии и логи. Бывает, что рабочая база перенесена, а старые бэкапы, тестовые копии, выгрузки и логи с персональными данными остались в другом месте. Для локализации и защиты ПДн такие “забытые” копии тоже имеют значение.

    Как провести инвентаризацию потоков ПДн

    Инвентаризацию лучше начинать не с документов, а с реального пути данных. Возьмите каждую точку сбора: форма на сайте, CRM, заявка по email, звонок, чат, личный кабинет, рассылка. Для каждой точки ответьте на вопросы: какие данные собираем, зачем, куда они записываются, кто имеет доступ, какие сервисы участвуют, где находятся базы, сколько данные хранятся и как удаляются.

    Полезно составить простую карту потоков. Не обязательно сразу делать сложную схему. Достаточно таблицы: источник данных, состав ПДн, система хранения, страна/площадка хранения, получатели, подрядчики, правовое основание, срок хранения, ответственный. Такая таблица быстро показывает, где есть пробелы.

    После технической карты нужно сопоставить ее с документами: политикой обработки ПДн, согласием, договорами с подрядчиками, поручениями на обработку, уведомлением в Роскомнадзор, внутренними регламентами. Частая проблема — на сайте написано одно, в CRM происходит другое, а подрядчик фактически имеет доступ к третьему.

    Что проверить в сайте и CRM

    На сайте нужно проверить все формы, виджеты, скрипты, интеграции, цели аналитики, обработчики заявок, настройки отправки писем, хранилище базы сайта, резервные копии и тестовые версии. Иногда старая форма, которая визуально почти не используется, продолжает собирать данные или отправлять их в давно забытый сервис.

    В CRM важно понять, где физически и юридически размещается сервис, кто является поставщиком, есть ли обработка через подрядчиков, какие интеграции подключены, кто имеет доступ, как выгружаются данные, где хранятся вложения и история переписки. Отдельно проверьте роли пользователей: часто бывшие сотрудники, внешние подрядчики или временные аккаунты сохраняют доступ дольше, чем нужно.

    Не стоит забывать о почте. Даже если CRM настроена правильно, заявки могут дублироваться на личные или внешние почтовые ящики, пересылаться подрядчикам или попадать в общие ящики без контроля доступа. Для бизнеса это удобно, но с точки зрения ПДн и ИБ такая схема требует внимания.

    Типовые ошибки бизнеса

    Первая ошибка — проверять только хостинг сайта. На практике данные часто уходят дальше: в CRM, почту, аналитику, чат, телефонию и сервисы уведомлений.

    Вторая ошибка — считать, что за всё отвечает подрядчик. Подрядчик может администрировать сайт или CRM, но оператором персональных данных обычно остается компания, которая собирает данные для своих целей.

    Третья ошибка — забывать про тестовые среды, резервные копии и выгрузки. В них могут лежать реальные персональные данные, хотя доступ и защита там слабее, чем в рабочей системе.

    Четвертая ошибка — переписывать политику обработки ПДн без технической проверки. Документ может выглядеть аккуратно, но не соответствовать реальным потокам данных.

    Пятая ошибка — панически переносить “всё подряд”, не разобравшись в процессах. Гораздо полезнее сначала понять, какие данные где обрабатываются и какие действия действительно нужны.

    Когда нужен аудит

    Аудит нужен, если компания не может уверенно ответить, где хранятся данные из сайта и CRM, кто имеет доступ, какие сервисы участвуют в обработке и что происходит после отправки формы. Это нормальная ситуация для бизнеса, где сайт и CRM развивались постепенно, а интеграции подключались по мере необходимости.

    Особенно полезен аудит после смены сайта, CRM, подрядчика, хостинга, сервиса рассылок или телефонии. Также его стоит провести перед подачей или обновлением уведомления в Роскомнадзор, перед запуском личного кабинета, интернет-магазина, рекламной кампании с формами лидогенерации или новым сбором клиентских данных.

    Хороший аудит не сводится к фразе “сервер должен быть в России”. Он показывает реальные потоки ПДн, технические и организационные пробелы, лишние передачи, забытые копии, проблемные доступы и документы, которые нужно привести в соответствие с фактической работой компании.

    FAQ

    Что такое локализация персональных данных?

    Это требование, по которому при сборе персональных данных граждан РФ определенные действия с такими данными должны выполняться с использованием баз данных, находящихся на территории России, с учетом исключений, предусмотренных законом.

    Достаточно ли разместить сайт на российском хостинге?

    Не всегда. Нужно проверить не только хостинг, но и CRM, формы, почту, онлайн-чаты, аналитику, рассылки, телефонию, подрядчиков, резервные копии и интеграции.

    Как понять, где реально хранятся данные с сайта?

    Нужно пройти путь каждой формы: куда отправляется заявка, где она записывается, кто получает уведомления, какие сервисы подключены, где хранятся копии и кто имеет доступ.

    CRM с иностранным поставщиком всегда запрещена?

    Нельзя отвечать одним словом. Нужно смотреть, какие персональные данные обрабатываются, где находятся базы, какие действия выполняются, есть ли трансграничная передача и какие исключения или правовые основания применимы.

    Что такое инвентаризация потоков ПДн?

    Это описание реального движения персональных данных: от точки сбора до хранения, передачи, доступа, резервного копирования и удаления. Она помогает увидеть фактическую картину, а не только документы.

    Когда нужно проверять локализацию ПДн?

    При запуске сайта, CRM, личного кабинета, рекламных форм, интеграций, смене подрядчика, подключении облачных сервисов, а также при подготовке документов по ПДн или уведомления в Роскомнадзор.

    Чем мы можем помочь

    Мы можем помочь разобраться, где на самом деле хранятся и обрабатываются персональные данные в ваших цифровых сервисах, без паники и формального переписывания документов.

    • Провести аудит сайта, форм, CRM, почты, аналитики, чатов и интеграций на предмет потоков ПДн.
    • Составить карту обработки персональных данных: где собираются, хранятся, передаются и удаляются данные.
    • Проверить хостинг, облачные сервисы, подрядчиков, резервные копии и тестовые среды.
    • Сопоставить реальную техническую схему с политикой обработки ПДн, согласиями и уведомлением в Роскомнадзор.
    • Подготовить перечень рисков и практичных шагов: что исправить в первую очередь, что можно сделать позже.
    • Помочь привести сайт, CRM и связанные сервисы к более понятной и управляемой схеме обработки ПДн.