Соответствие таск-трекера 152-ФЗ: чек-лист для B2B
Как проверить корпоративный таск-трекер на соответствие закону 152-ФЗ. Чек-лист по локализации персональных данных и защите от штрафов.
152-ФЗ и корпоративный таск-трекер: чек-лист соответствия для B2B-компаний
Безопасность данных в таск-трекере определяет физическая точка первой записи. Заверения в оферте зарубежного SaaS-провайдера не спасут от штрафов Роскомнадзора, если нарушено базовое правило локализации.
Классический сценарий: компания связывает CRM-систему с зарубежным таск-трекером через вебхуки, чтобы лиды падали сразу в карточки задач. Внутри — имена клиентов, контакты, технический аудит и файлы документов. В ИТ-отделе уверены: раз информация позже копируется во внутреннюю российскую базу, закон соблюдён. Но это ошибка. Первая точка фиксации трафика физически находится на серверах в США или Европе. С этого момента бизнес нарушает закон о первичной локализации персональных данных.
Что в таск-трекере признается персональными данными
Надеяться, что без паспортов и ИНН база чиста перед законом — иллюзия. Роскомнадзор трактует понятие персональных данных (ПДн) максимально широко. В корпоративном трекере под удар попадает почти всё:
Рабочие почты, имена, должности и структура подчинения сотрудников.
Аватарки пользователей. При определенном упорстве регулятор относит фотографии к биометрии, а штрафы за утечку таких данных для юрлиц теперь составляют от 25 миллионов рублей.
Комментарии менеджеров с номерами телефонов клиентов, прикреплённые резюме соискателей или голосовые сообщения к сделкам.
Логи таск-менеджера и история заказов, завязанные на конкретный ID.
Если интеграционные шлюзы или брокеры очередей (вроде Redis или Kafka) принимают входящий поток на зарубежных серверах до того, как информация запишется в РФ, регулятор сочтёт это незаконным сбором.
Первая запись должна физически происходить на серверах в границах РФ — обойти это требование схемами не выйдет.
Ловушки популярных платформ
Зарубежные гиганты вроде Jira, ClickUp или Trello физически не держат сервера в России. Покупка их облачной подписки автоматически ставит компанию вне закона. Даже стопроцентный сбор письменных согласий с клиентов и сотрудников не спасёт: трансграничную передачу разрешают проводить только после того, как база сначала запишется в нашей стране.
Попытки наколхозить промежуточные буферы в России для последующей пересылки на Запад усложняют ИТ-архитектуру и вешают интеграции. Любое обновление — например, смена номера телефона клиента в карточке задачи — требует моментальной синхронизации двух баз. На практике этот костыль постоянно падает, ломая процессы.
Решить проблему помогает переезд на отечественное ПО, развёрнутое в российском облачном контуре или на собственных серверах компании. Российские таск-трекеры изначально спроектированы под требования отечественного регулятора, а их инфраструктура физически находится в дата-центрах на территории РФ. Это автоматически закрывает вопрос с первичной локализацией и страхует от внезапных блокировок зарубежного софта.
Российский хостинг — жесткое техническое требование к IP-адресу сервера, которое перекрывает любые юридические декларации.
Практический чек-лист проверки таск-трекера
Чтобы защитить ИТ-ландшафт от проверок, ИТ-директору совместно с юристом стоит прогнать инфраструктуру по пяти базовым точкам:
География первой точки входа. Все формы на лендингах, виджеты обратной связи и вебхуки обязаны сохранять контакты сначала в базу на территории РФ. И только потом их можно каскадно передавать дальше.
Аудит связанных сервисов. Прицепом к трекеру обычно идут чат-боты, внешние календари и сервисы автоматических рассылок. Если субподрядчики крутят их за рубежом, риски удваиваются. Такие микросервисы тоже обязаны хоститься в РФ.
Удаление по первому требованию. По закону на очистку истории по запросу человека отводятся жёсткие 7 рабочих дней. Системе нужен регламент сквозного стирания: карточка, логи, комментарии, вложения — всё должно затираться полностью и без остаточных «хвостов» в резервных копиях.
Актуализация реестра Роскомнадзора. Сведения о трекере как о месте обработки ПДн обязаны фигурировать в реестре операторов. Поменяли софт или переехали на новое облако — нужно сразу подавать корректирующее уведомление во избежание штрафов за неактуальные данные.
Жесткое разграничение прав. Доступ к задачам, где мелькают персональные данные клиентов или соискателей, должен быть закрыт для всех, кроме непосредственных исполнителей.
Регулятор верит сетевой трассировке пакетов, а не обещаниям безопасности в футере сайта.
