EspoCRM и 152-ФЗ: как хранить данные клиентов законно
*Slug: /blog/espocrm-152-fz-bezopasnost/ | Дата: 2026-07-06*
HR-агентство из Москвы, 18 сотрудников. В 2024 году Роскомнадзор провёл проверку по жалобе: выяснилось, что данные кандидатов (ФИО, телефоны, резюме) хранятся в CRM-сервисе с серверами в Европе. Штраф по ч. 2 ст. 13.11 КоАП: 150 000 рублей. Плюс предписание об устранении нарушения в течение 30 дней.
Руководитель агентства позвонил в интеграционную компанию с одним вопросом: как быстро перевести данные на российские серверы и при этом не потерять историю кандидатов. Через шесть недель агентство работало на self-hosted EspoCRM, развёрнутом на VPS в московском дата-центре. Все данные в России. Повторных претензий не поступало.
Статья объясняет, что конкретно требует 152-ФЗ от компаний, которые хранят данные клиентов в CRM, и что нужно настроить в EspoCRM, чтобы работать без регуляторного риска.
Что требует 152-ФЗ: три ключевых обязательства
Закон «О персональных данных» объёмный, но для компании, использующей CRM-систему, критичны три статьи.
Статья 18, часть 5: хранение в России. При сборе персональных данных российских граждан компания обязана обеспечить запись, систематизацию, накопление, хранение и уточнение данных с использованием баз данных, находящихся на территории России. Это не рекомендация, это обязанность.
Под действие нормы попадают данные любого физического лица: потенциального клиента, который оставил заявку на сайте; кандидата, приславшего резюме; покупателя интернет-магазина; пациента медицинской клиники; сотрудника, анкета которого хранится в HR-модуле CRM.
Статья 19: технические меры защиты. Оператор обязан применять организационные и технические меры, обеспечивающие защиту персональных данных от несанкционированного или случайного доступа, изменения, блокирования, уничтожения, распространения. На практике это означает: контроль доступа по ролям, ведение журнала операций, шифрование при передаче, резервное копирование.
Статья 18.1: политика и документация. Компания обязана иметь внутренние документы: политику обработки персональных данных, перечень обрабатываемых данных, порядок реагирования на запросы субъектов. Роскомнадзор при проверке запрашивает эти документы в первую очередь.
Кому это обязательно знать
Требования 152-ФЗ распространяются на любую компанию, которая хранит данные физических лиц. В контексте CRM это означает следующее.
Медицинские клиники. Данные пациентов относятся к специальной категории по статье 10 закона: медицинская история, диагнозы, результаты анализов. Для специальных категорий требования к защите строже. Хранение таких данных в зарубежном облаке создаёт двойной риск: нарушение ст. 18 (хранение за рубежом) и нарушение ст. 10 (обработка спецкатегорий без надлежащих мер).
HR-агентства и кадровые отделы. Резюме содержат полный набор персональных данных: паспортные данные, адрес, семейное положение, фотография. Многие HR-системы и CRM хранят эти данные в облаках с зарубежными серверами.
Банки, МФО, страховые компании. Финансовые организации работают под двойным надзором: 152-ФЗ плюс требования Банка России. ЦБ отдельно регламентирует требования к информационной безопасности в Положении 382-П (для платёжных систем) и ГОСТ Р 57580.1. CRM-системы входят в периметр информационных систем, которые проверяет регулятор.
Интернет-магазины и e-commerce. Каждый покупатель является субъектом персональных данных. ФИО, адрес доставки, телефон, история заказов хранятся в CRM или системе управления клиентами.
Любой B2B-бизнес. Контакты клиентов: менеджер Иванов из компании ООО «Ромашка», телефон, email. Это персональные данные физического лица, а не юридического. Хранение таких данных также регулируется 152-ФЗ.
Почему облачный EspoCRM создаёт регуляторный риск
EspoCRM Cloud это официальный облачный сервис от создателей EspoCRM. Серверы находятся за пределами России. Это означает: данные, которые вы вносите в облачную версию, хранятся не в России.
Для проверки можно сделать traceroute до домена облачного инстанса или проверить геолокацию IP-адреса. Серверная инфраструктура EspoCRM Cloud находится в Европе.
Это не нарушение само по себе для данных, которые не подпадают под 152-ФЗ. Но если в вашей CRM хранятся данные физических лиц (клиентов, кандидатов, пациентов), требование статьи 18 нарушается.
Штрафы по КоАП РФ статье 13.11:
- Часть 2: обработка персональных данных без согласия в письменной форме: от 15 000 до 75 000 рублей для юридических лиц.
- Часть 5: невыполнение обязанностей оператора: от 30 000 до 150 000 рублей.
- Часть 9 (с 1 сентября 2024 года): нарушение требований о локализации данных в России: от 1 000 000 до 6 000 000 рублей при первичном нарушении, от 6 000 000 до 18 000 000 рублей при повторном.
С 2024 года размеры штрафов существенно выросли. Регуляторный риск стал значительно весомее, чем в предыдущие годы.
Как self-hosted EspoCRM решает задачу локализации
Self-hosted означает, что EspoCRM устанавливается на сервере, который вы контролируете. Если этот сервер находится в России, требование статьи 18 выполняется.
Выбор российского хостинга. Крупные российские VPS-провайдеры: Яндекс Cloud, Selectel, VK Cloud, Timeweb, Beget. Все они имеют дата-центры на территории России. При выборе хостинга проверяйте, что в договоре явно указано расположение серверов в России: это нужно для документального подтверждения при проверке.
Документальное подтверждение. При проверке Роскомнадзор запрашивает документы, подтверждающие место хранения данных. Договор с российским хостинг-провайдером с указанием адреса дата-центра является таким подтверждением. Сохраните договор в папке с документами по 152-ФЗ.
Полный контроль над данными. В self-hosted сценарии вы знаете, где физически хранятся данные, кто имеет доступ к серверу, как выполняется резервное копирование. Никакая третья сторона не имеет доступа к вашим данным без вашего ведома.
Настройка ролей и прав доступа в EspoCRM
Статья 19 требует ограничения доступа к персональным данным по принципу необходимости. В EspoCRM это реализуется через систему ролей.
Принцип минимальных привилегий. Каждый пользователь должен иметь доступ только к тем данным, которые нужны ему для работы. Менеджер по продажам не должен видеть данные сотрудников HR-модуля. Сотрудник склада не должен иметь доступ к финансовым данным клиентов.
Настройка ролей в EspoCRM. Раздел «Управление», пункт «Роли». Для каждой роли настраивается доступ к:
- сущностям (Контакты, Сделки, Аккаунты, Документы и другие);
- операциям (чтение, создание, редактирование, удаление);
- полям (можно скрыть конкретные поля от определённых ролей).
Практический пример: создать роль «Менеджер по продажам» с правом чтения и редактирования Контактов и Сделок, без доступа к Документам и HR-данным. Роль «HR-специалист» видит только кадровые записи.
Ограничение доступа к полям. EspoCRM позволяет скрыть отдельные поля от ролей. Поле «Паспортные данные» или «Медицинская история» может быть видно только роли «Главный врач» или «Кадровик», но не остальным пользователям.
Двухфакторная аутентификация. Встроена в EspoCRM начиная с версии 7.0. Пользователи с доступом к персональным данным должны использовать двухфакторную аутентификацию. Это снижает риск несанкционированного доступа при компрометации пароля.
Парольная политика. В настройках EspoCRM можно установить минимальную длину пароля, требования к сложности и срок действия. Для compliance рекомендуется: минимум 12 символов, срок смены 90 дней.
Логирование операций с персональными данными
Статья 19 требует ведения журнала действий с персональными данными. EspoCRM ведёт историю по каждой записи автоматически.
Stream (лента событий). У каждой записи в EspoCRM (контакт, сделка, аккаунт) есть лента событий: кто создал запись, кто и когда изменил поля, что именно изменилось (старое и новое значение). Эта история хранится в базе данных и доступна в интерфейсе.
Action Log (журнал действий администратора). Раздел «Управление», пункт «Журнал действий». Здесь фиксируются действия пользователей: входы в систему, создание и удаление записей, экспорт данных. Это полезно при расследовании инцидентов.
Экспорт логов. Для некоторых отраслевых требований необходимо хранить логи за определённый период (например, в финансовом секторе). Логи EspoCRM хранятся в таблицах базы данных MySQL/MariaDB. Для долгосрочного хранения можно настроить экспорт логов в отдельное хранилище через скрипт или стандартные средства резервного копирования.
Что фиксировать дополнительно. EspoCRM из коробки не фиксирует просмотр записи (только изменение). Если требуется полный аудит просмотров, это реализуется через кастомный модуль, который записывает в лог каждый факт открытия карточки контакта.
Шифрование и защита данных
SSL/TLS для передачи данных. Обязательно. Все данные между браузером пользователя и сервером EspoCRM должны передаваться по HTTPS. SSL-сертификат можно получить бесплатно через Let's Encrypt. При настройке self-hosted EspoCRM это первый шаг после установки.
Шифрование диска на уровне сервера. EspoCRM сам по себе не шифрует базу данных. Данные в MySQL хранятся в открытом виде на диске сервера. Для отраслей с высокими требованиями безопасности рекомендуется шифрование диска на уровне операционной системы (LUKS на Linux). Это дополнительная мера против физического доступа к серверному оборудованию.
Шифрование файлов вложений. Документы и файлы, прикреплённые к записям в EspoCRM, хранятся на диске сервера в папке uploads/. Для шифрования этих файлов нужно реализовать дополнительное решение на уровне файловой системы.
Пароли пользователей. EspoCRM хранит пароли пользователей в хешированном виде (bcrypt). Даже при получении доступа к базе данных злоумышленник не получит пароли в открытом виде.
Защита API. EspoCRM имеет API для интеграций. Если вы подключаете внешние системы через API, убедитесь, что используете токены, а не логин/пароль, и что токены хранятся в защищённом виде.
Резервное копирование по требованиям
152-ФЗ не устанавливает конкретную частоту резервного копирования, но требует обеспечить сохранность и восстанавливаемость данных. Роскомнадзор при инцидентах проверяет, были ли у компании работающие процедуры резервного копирования.
Рекомендуемая схема. Ежедневный дамп базы данных MySQL: `mysqldump --single-transaction`, архивация, перенос на внешнее хранилище. Хранить резервные копии минимум 30 дней. Папку uploads/ (вложения) включить в резервное копирование отдельно.
Хранение резервных копий. Нельзя хранить резервные копии только на том же сервере, где работает EspoCRM. Если сервер выйдет из строя, данные будут потеряны. Правильная схема: резервные копии на отдельном российском хранилище (например, Яндекс Object Storage, Selectel Cloud Storage) или на отдельном сервере в другом дата-центре.
Тестирование восстановления. Резервная копия, которую никогда не тестировали, не является рабочей резервной копией. Раз в квартал рекомендуется проводить тестовое восстановление данных из резервной копии на тестовую среду.
Уведомление об инцидентах. С 2022 года операторы персональных данных обязаны уведомлять Роскомнадзор об утечках в течение 24 часов с момента обнаружения (ст. 21.1). Наличие резервных копий и процедур восстановления фиксируется в документации по инцидент-менеджменту.
Чек-лист: EspoCRM для соответствия 152-ФЗ
Проверьте каждый пункт перед запуском системы в работу.
Инфраструктура:
- Сервер с EspoCRM находится в России (проверить договор с хостингом)
- В договоре указан адрес российского дата-центра
- Сервер доступен только через HTTPS (SSL-сертификат установлен)
- Установлен файрвол (закрыты все порты кроме 80, 443, SSH)
Доступ и аутентификация:
- Для каждого сотрудника создана отдельная учётная запись (нет общих логинов)
- Созданы роли с минимально необходимыми правами для каждого отдела
- Двухфакторная аутентификация включена для пользователей с доступом к персональным данным
- Парольная политика настроена (минимум 12 символов, смена раз в 90 дней)
Логирование и аудит:
- Stream (история изменений) включён для всех сущностей с персональными данными
- Action Log доступен администратору для проверки
- Определён ответственный за периодический аудит журнала действий
Резервное копирование:
- Настроено ежедневное резервное копирование базы данных
- Резервные копии хранятся на отдельном российском хранилище
- Проведено тестовое восстановление из резервной копии
- Резервные копии хранятся минимум 30 дней
Документация:
- Разработана политика обработки персональных данных
- Составлен перечень обрабатываемых персональных данных
- Назначен ответственный за защиту персональных данных в компании
- Получены согласия на обработку персональных данных от субъектов
Кейс: HR-агентство, Москва
Агентство по подбору персонала в сфере IT, 22 сотрудника, 6 800 кандидатов в базе. До 2024 года использовали облачную CRM с серверами в Германии. После проверки Роскомнадзора получили предписание об устранении нарушения (хранение данных российских граждан за рубежом) и штраф 150 000 рублей.
Руководство приняло решение перейти на self-hosted EspoCRM. Задача: перенести 6 800 карточек кандидатов с историей переписки и документами, не прерывая работу команды.
Что сделали. Развернули EspoCRM на VPS у Selectel (дата-центр Санкт-Петербург). Выгрузили данные из старой CRM в CSV, импортировали в EspoCRM. Кастомный модуль «Вакансия» был создан разработчиком за 4 дня: поля для статуса кандидата по каждой вакансии, воронка подбора, уведомления рекрутерам. Документы (резюме) перенесли вручную в пакетном режиме через API.
Результат: 38 дней с момента предписания до полной миграции. Все данные в России. Параллельно подготовили комплект документов: политика обработки персональных данных, согласия от кандидатов (рассылка через email с подтверждением).
Дополнительный эффект: новый модуль «Вакансия» дал рекрутерам инструмент, которого не было в старой CRM: воронка по каждой вакансии с визуальным отображением стадий. Время на подготовку отчёта для клиента по статусу подбора сократилось с 40 минут до 5 минут.
Стоимость проекта: 145 000 рублей (миграция данных, кастомный модуль, обучение). Сервер: 14 400 рублей в год. Предыдущая CRM стоила 78 000 рублей в год. Годовая экономия покрыла часть затрат на проект.
Вопросы, которые задают при настройке EspoCRM для 152-ФЗ
Нужно ли регистрироваться в Роскомнадзоре как оператор персональных данных?
В большинстве случаев да. Если компания обрабатывает персональные данные в целях, выходящих за рамки трудовых отношений или разового договора, требуется подача уведомления в Роскомнадзор через портал госуслуг. Медицинские, HR, торговые компании, как правило, обязаны пройти регистрацию.
Нужно ли шифровать базу данных EspoCRM целиком?
Закон требует технических мер защиты, но не конкретизирует обязательное шифрование баз данных для всех отраслей. Для обычного бизнеса (B2B-продажи, агентства) достаточно шифрования на транспортном уровне (HTTPS), правильного разграничения доступа и надёжного хостинга. Для медицины и финансов рекомендуется проконсультироваться с юристом о специфических требованиях.
Может ли Роскомнадзор проверить, где физически хранятся данные?
Да. При проверке инспекторы запрашивают документы (договоры с хостингом) и могут провести техническую проверку. В 2024-2025 годах число проверок выросло, особенно в медицинском и финансовом секторе.
Как обрабатывать данные иностранных клиентов?
Норма статьи 18 распространяется на данные российских граждан. Если ваш клиент — гражданин Германии, его данные можно хранить за рубежом. Но на практике смешивать хранилища сложно, и большинство компаний переносит все данные в Россию ради единообразия.
EspoCRM Enterprise даёт дополнительные возможности для compliance?
Enterprise-версия добавляет расширенную аналитику и некоторые дополнительные инструменты, но специфических compliance-функций сверх Community не содержит. Все необходимые для 152-ФЗ функции (роли, логирование, двухфакторная аутентификация, API для интеграций) доступны в Community Edition.
Работа с персональными данными клиентов требует от компании трёх вещей: данные в России, контроль доступа к ним, документация. EspoCRM в self-hosted сценарии закрывает первые два пункта технически. Документацию необходимо подготовить отдельно.
Хотите разобраться, насколько ваша текущая конфигурация EspoCRM соответствует требованиям? Получить консультацию: проверим настройки ролей, хранение данных и поможем подготовить чек-лист по вашей отрасли.
Есть вопрос по теме?
Расскажите про задачу — ответим что подойдёт.