Кейсы Полезные статьи Направления Тарифы О проекте
Войти Попробовать бесплатно

Передача ПДн в CRM и email-сервисы: договор поручения 152-ФЗ

Олег Никитин 11 мин чтения
Когда вы используете CRM, email-сервис или аналитику, вы передаёте данные клиентов третьему лицу — это требует специального договора поручения обработки. Без него штраф составит от 100 000 до 700 000 рублей. В статье рассказываем, что обязательно должно быть в договоре, как проверить, российский ли сервис, и почему иностранные CRM часто нарушают 152-ФЗ.

Если у вас есть CRM, email-рассылка, аналитика на сайте или Яндекс.Метрика — вы передаёте персональные данные клиентов третьему лицу. Закон об этом знает. И требует оформить это по определённым правилам. Пропустите хотя бы один пункт — и штраф готов.

Содержание:

  1. Что такое поручение обработки и кого это касается
  2. Пять пунктов, которые должны быть в договоре
  3. Российские CRM и иностранные: как проверить
  4. Какие сервисы использовать можно и нельзя
  5. Что делать, если расторгли договор с поставщиком
  6. Частые ошибки при работе с CRM и email-сервисами

Что такое поручение обработки и кого это касается

По 152-ФЗ поручение обработки — это договор, по которому один субъект передаёт данные другому. Передавать может только оператор (тот, кто определяет цели обработки). Получает данные подрядчик (тот, кто их обрабатывает по инструкции оператора). Договор обязателен и заключается в письменной форме.

Давайте разберёмся на примере.

У вас онлайн-школа. На сайте форма регистрации — вы собираете имя, email, номер телефона ученика. Вы — оператор. Ваша цель: узнать, кто хочет купить курс.

Потом вы кладёте эти данные в CRM (Битрикс24, AmoCRM, HubSpot). Теперь с данными работает CRM-поставщик — он подрядчик. Его цель не менять — он обрабатывает данные только по вашей инструкции: рассылает письма, отправляет SMS, считает метрики.

Или другой пример: вы собираете email для рассылки и используете Unisender или SendPulse. Поставщик email-сервиса — снова подрядчик.

Или на сайте стоит Яндекс.Метрика — это тоже передача данных. Яндекс здесь подрядчик.

По закону вы не можете передать данные подрядчику без договора. Если передадите — это нарушение ст. 6 152-ФЗ. Штраф от 100 000 до 700 000 рублей (по ч. 2 ст. 13.11 КоАП РФ, проверено: апрель 2026).

Сценарий Оператор Подрядчик Договор нужен?
На сайте форма регистрации → CRM Вы (онлайн-школа) CRM-поставщик ✅ Обязателен
Вы собрали email → email-сервис отправляет письма Вы Email-сервис ✅ Обязателен
На сайте Яндекс.Метрика Вы Яндекс ✅ Обязателен
Вы ведёте Excel с клиентами (никому не передаёте) Вы ❌ Не нужен

Пять пунктов, которые должны быть в договоре поручения

Договор поручения обработки должен содержать: 1) цель обработки, 2) состав данных, 3) обязательства подрядчика (в том числе по защите), 4) срок обработки, 5) как будут удалены данные после расторжения. Без этого договор не считается заключённым по закону.

Статья 6 152-ФЗ говорит: договор поручения обработки должен быть в письменной форме и определять цели, состав, способы обработки, обязательства подрядчика.

Вот пять обязательных элементов:

1. Цели обработки

Что именно подрядчик будет делать с данными.

❌ Плохо: «Обработка персональных данных»
✅ Хорошо: «Отправка маркетинговых писем, ведение базы учеников в CRM, расчёт метрик конверсии»

Чем конкретнее — тем лучше. Суды ценят это.

2. Состав персональных данных

Какие именно данные передаёте: имя, email, номер телефона, IP-адрес, поведение на сайте?

Если это CRM:

  • Имя и фамилия
  • Email-адрес
  • Номер телефона
  • История взаимодействия (кто, когда, что купил)
  • IP-адрес (опционально, но укажите)

Если это email-сервис — минимум email и имя.

3. Обязательства подрядчика по защите

Это критичный пункт. Подрядчик должен обязаться:

  • Не раскрывать данные третьим лицам (кроме как по требованию суда)
  • Защищать от неправомерного доступа (криптография, двухфакторная аутентификация на рабочих местах)
  • Уведомить вас об утечке в течение 24 часов
  • Хранить данные на защищённом сервере (в России — это обязательно, ст. 18 152-ФЗ)
  • Удалить данные по окончании договора

❌ Плохо: «Подрядчик обязуется обеспечить защиту»
✅ Хорошо: «Подрядчик обязуется: а) шифровать передачу данных TLS 1.3 или выше; б) ограничивать доступ к серверам аутентификацией; в) проводить аудиты безопасности не реже раза в год; г) уведомлять оператора о сбоях в течение 4 часов»

4. Срок обработки

Когда начинается передача данных и когда заканчивается. Может быть:

  • До расторжения договора
  • До достижения цели (например, «до конца курса»)
  • На неопределённый срок (если рассылка актуальна всегда)

Укажите явно.

5. Способ удаления данных при расторжении

Что произойдёт с данными, когда вы уходите от CRM или email-сервиса:

  • Удалить полностью в течение 30 дней
  • Выгрузить и передать оператору, потом удалить на сервере
  • Архивировать (только если нужно для налогов)

Лучше всего — полное удаление в течение 30 дней.

Где взять договор? Все крупные CRM и email-сервисы выкладывают готовый договор поручения на своём сайте или в личном кабинете. Ищите раздел «Юридические документы» или «Data Processing Agreement (DPA)».

Проблема: у иностранных сервисов договор часто не соответствует 152-ФЗ. О них ниже.

Российские CRM и иностранные: как проверить

Российские CRM обязаны хранить данные на серверах в России по ст. 18 152-ФЗ. Иностранные CRM (HubSpot, Pipedrive) этого не гарантируют — даже если подписывают договор. Перед подключением CRM спросите: где физически стоит сервер и есть ли у вас договор поручения обработки на русском.

Проблема с иностранными CRM.

Западные CRM часто используют глобальные серверные центры. Ваши данные о клиентах онлайн-школы могут лежать в США, Нидерландах или Сингапуре. Это нарушение ст. 18 152-ФЗ.

По закону персональные данные граждан РФ должны храниться на сервере в России. Это необходимо для контроля РКН и исполнения решений русских судов.

Мало того: иностранные CRM часто не готовы подписать договор поручения в полном виде, соответствующий российскому закону. Вместо этого предлагают собственный Data Processing Agreement (DPA), который ориентирован на GDPR (европейский закон).

Пример: HubSpot предлагает DPA, где говорится:

  • «Мы обрабатываем данные в США согласно Privacy Shield»
  • «Мы можем раскрыть данные правоохранительным органам США»
  • «Мы используем подпроцессоров (Google, Amazon) и не гарантируем, что вы это одобрили»

Это не подходит для 152-ФЗ.

Что делать?

Перед подключением CRM задайте три вопроса:

1. Где физически стоит сервер, на котором хранятся мои данные?

  • ✅ Хороший ответ: «На серверах в РФ, в дата-центре Москвы»
  • ❌ Плохой ответ: «В облаке», «В США», «Не уточняется»

2. Есть ли у вас договор поручения обработки, соответствующий статье 6 152-ФЗ?

  • ✅ Хороший ответ: они пришлют договор на русском с пятью обязательными пунктами
  • ❌ Плохой ответ: «Это есть в Terms of Service», «Мы работаем по GDPR»

3. Гарантируете ли вы, что данные не будут передаваться третьим лицам без моего разрешения?

  • ✅ Хороший ответ: «Да, данные обрабатываются только по вашей инструкции»
  • ❌ Плохой ответ: «Мы можем использовать анонимизированные данные для аналитики», «Мы не исключаем передачу правоохранительным органам»

Список популярных CRM и их статус:

CRM Сервер в РФ? Договор 152-ФЗ? Статус Альтернатива
Битрикс24 ✅ Да, Москва ✅ Есть ✅ Безопасен
Airtable ❌ США ⚠️ Только GDPR ❌ Рисковано Bitrix24
AmoCRM ✅ Да, Москва ✅ Есть ✅ Безопасен
Pipedrive ❌ Эстония ⚠️ Только EU ❌ Рисковано AmoCRM
HubSpot ❌ США ⚠️ Только GDPR ❌ Рисковано Bitrix24
Zoho ⚠️ Облако (США) ⚠️ Только GDPR ⚠️ Рисковано AmoCRM
Yandex CRM ✅ Да, Москва ✅ Есть ✅ Безопасен

Какие сервисы использовать можно и нельзя

Email-сервисы (Unisender, SendPulse, Яндекс.Маркетинг) должны храниться в РФ и иметь договор поручения. Запрещены: MailChimp, Klaviyo (США), т.к. они не гарантируют хранение в РФ. Для аналитики используйте только Яндекс.Метрику вместо Google Analytics.

Email-сервисы

✅ Можно использовать:

Unisender — российский сервис, сервер в России, договор поручения есть.

  • Минус: интерфейс не такой красивый как на западе
  • Плюс: полная поддержка 152-ФЗ

SendPulse — разработчик из Украины, но сервера в РФ, договор есть.

Яндекс.Маркетинг — российский, сервер в России, договор предоставляется.

EDCA (ранее E-mail Delivery Contact Automation) — российский, полностью соответствует закону.

❌ Нельзя использовать:

MailChimp — сервера в США, договор только по GDPR. При проверке РКН — штраф.

Klaviyo — американская, то же самое.

Brevo (MailerLite) — европейский, хранение в ЕС, а не в РФ.

ActiveCampaign — США, не гарантирует РФ.

Аналитика и трекеры

✅ Можно использовать:

Яндекс.Метрика — российская, сервер в России, данные защищены.

❌ Нельзя использовать:

Google Analytics — передача данных в США, нарушение ст. 18. С 2024 года РКН всё чаще штрафует за Google Analytics. Штраф: от 1 до 6 млн рублей.

Meta Pixel (Facebook Pixel) — то же самое.

GTM (Google Tag Manager) — хотя сам GTM может быть нейтрален, он часто передаёт данные в Google и Meta. Рисковано.

Форма на сайте для сбора контактов

Если у вас контактная форма на сайте — используйте:

✅ Bitrix24 (встроенные формы)
✅ Tilda (российский конструктор)
✅ Wix (хранение в РФ, если выбрали сервер Россия)
✅ Netlify Forms + Яндекс.Метрика

❌ Google Forms — передача в США.

Подробнее о других сервисах и требованиях 152-ФЗ читайте в статье 152-ФЗ для онлайн-школ: как не получить штраф до 6 млн рублей.

Что делать, если расторгли договор с поставщиком

Когда вы расторгаете договор с CRM или email-сервисом, подрядчик обязан удалить персональные данные в течение 30 дней. Требуйте в письме подтверждение удаления. Если сервис отказывает — пишите жалобу в РКН.

Сценарий: вы решили уйти от Bitrix24 и перешли на AmoCRM. Что будет с данными 100 000 клиентов в старой CRM?

По закону они должны быть удалены. Вот как это сделать правильно:

1. Выгрузите данные из старой CRM. Скачайте CSV или экспортируйте в новую систему (это должна позволить каждая CRM). Проверьте, что информация полностью перенеслась.

2. Напишите письмо подрядчику (бывшей CRM). Важно написать именно письмо — это ваше доказательство при проверке РКН.

Тема: Требование о удалении персональных данных при расторжении договора

Уважаемая команда [CRM],

По договору поручения обработки персональных данных от [дата], по просьбе оператора (ООО «Школа»), в течение 30 дней произвести полное удаление всех персональных данных учеников и слушателей в системе [CRM], включая:

  • Имена и фамилии
  • Email-адреса
  • Номера телефонов
  • Историю взаимодействия
  • IP-адреса
  • Все резервные копии

Прошу направить в течение 30 дней подтверждение о выполнении удаления (скрин настроек удаления или справку).

3. Ждите подтверждение. CRM должна вам ответить со скриншотом или справкой об удалении. Сохраняйте эту переписку.

4. Если они отказывают? Отправьте жалобу в РКН (pd.rkn.gov.ru). Подприятие рискует штрафом до 3 млн рублей за нарушение.

Важно: не просто закрывайте аккаунт. Многие CRM оставляют данные на архивных серверах в течение 90 дней «для восстановления». Требуйте явного удаления.

Частые ошибки при работе с CRM и email-сервисами

Владельцы онлайн-школ часто не подписывают договор поручения, используют запрещённые сервисы или не удаляют данные при уходе. Это нарушения, которые РКН ловит на уже «бесконтактных» проверках веб-сайта.

Ошибка 1: «Мы ничего не подписывали, просто используем CRM»

Если вы используете CRM без договора поручения обработки — это нарушение ст. 6 152-ФЗ, штраф 100 000–700 000 рублей.

Многие владельцы онлайн-школ думают: «Я кликнул на кнопку в CRM, это же автоматически означает согласие». Нет. Договор поручения — это отдельный документ.

Что делать: скачайте договор поручения обработки из личного кабинета CRM, подпишите его (факсимиле + печать или э-подпись), отправьте поставщику и попросите подтверждение.

Ошибка 2: «Мы используем Google Analytics, потому что красивая статистика»

Google Analytics передаёт данные в США. Это нарушение ст. 18 152-ФЗ. Штраф от 1 млн рублей (проверено: апрель 2026).

РКН проверяет это через код на сайте (достаточно найти <script> с google-analytics.com). Инспектор открывает ваш сайт, смотрит DevTools и находит GA.

Что делать: удалите Google Analytics прямо сейчас. Используйте Яндекс.Метрику. Это даже бесплатно и по русскому закону.

Ошибка 3: «Мы передали данные в HubSpot, потому что все его используют»

HubSpot красив и функционален, но сервера в США. Это нарушение.

Помимо того, что данные лежат за границей — у HubSpot нет договора поручения по 152-ФЗ. Они предлагают только GDPR.

Что делать: перейдите на AmoCRM или Bitrix24. Это русские CRM с полной поддержкой закона.

Ошибка 4: «Когда уходили от CRM, просто закрыли аккаунт»

Закрытие аккаунта не значит удаление данных. Многие CRM хранят их на резервных копиях.

Если при проверке РКН найдут, что ваши данные всё ещё на серверах бывшей CRM (может быть проверено через API или запрос) — штраф оператору (вам).

Что делать: требуйте письменного подтверждения удаления и сохраняйте переписку.

Ошибка 5: «Email-сервис говорит, что мне не нужен договор поручения»

Неправда. Договор нужен по закону. Если email-сервис отказывает — это красный флаг.

Что делать: либо найдите другой сервис, либо напишите юристу и требуйте договор в письменной форме.

Аналогичные ошибки часто встречаются при работе с политикой обработки персональных данных и при оформлении согласий на сайте.

Не хотите разбираться сами?

ЭдПрав проверит соответствие вашей CRM, email-сервиса и аналитики требованиям 152-ФЗ. Справочные вопросы к AI-юристу бесплатно, без ограничений. Персонализированная проверка с верификацией юристом от 396 руб. за запрос.

Попробовать бесплатно ->

Статья подготовлена на основе актуального законодательства РФ на апрель 2026. Для получения консультации по вашему конкретному случаю рекомендуем обратиться к специалисту.

Не хотите разбираться сами?

ЭдПрав проверит ваш сайт и подготовит все необходимые документы. От 396 ₽ за запрос.

Попробовать бесплатно →