Какие документы запросить у поставщика SaaS перед сделкой
Прежде чем переходить к техническим деталям, соберите документальную базу. По нашему опыту, грамотный запрос пакета документов от поставщика экономит от двух до четырёх недель на этапе согласования и защищает от неожиданных претензий Роскомнадзора.
1. Паспорт обработки персональных данных (ПОПД). Это основной документ, в котором поставщик описывает цели, категории данных, сроки хранения и меры защиты. Проверьте, чтобы цели обработки в паспорте совпадали с предметом вашего договора. Если SaaS-сервис позиционируется как инструмент для автоматизации продаж, а в паспорте указаны цели «маркетинг и аналитика» — это повод для уточнения.
2. Соглашение об обработке персональных данных (СОПД). Этот документ определяет, кто является оператором, а кто — обработчиком. В SaaS-модели провайдер обычно выступает обработчиком, а вы — оператором. Убедитесь, что соглашение содержит конкретные обязанности по защите данных и порядок уведомления об инцидентах.
Подробнее на эту тему — Как оценить сроки интеграции с CRM-системой для бизнеса в 2….
3. Сведения о месте нахождения базы данных (СЗПИ). Согласно статье 18 152-ФЗ, оператор обязан обеспечить запись, систематизацию, накопление, хранение, извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории России. Запросите у поставщика подтверждение, что серверы с вашими данными расположены в РФ.
4. Акт о конфиденциальности (NDA). Этот документ фиксирует обязательства поставщика по неразглашению информации. Обратите внимание на срок действия — он должен покрывать весь период сотрудничества и минимум 12 месяцев после его завершения.
5. Сертификаты соответствия. Запросите подтверждение прохождения аудита по ГОСТ Р 57580.1-2017 «Безопасность финансовых операций» (если сервис связан с финансовыми данными) или по стандарту ISO 27001. По данным нашего теста, только около 35% SaaS-провайдеров в России могут предоставить актуальный сертификат.
Подробнее на эту тему — «Диасофт» расширил демостенд Digital Q платформой визуализа….
По словам экспертов Роскомнадзора, отсутствие паспорта обработки персональных данных является одним из наиболее частых нарушений, выявляемых при плановых проверках в 2025 году.
Таблица проверки: 152-ФЗ vs SaaS-сервис
Мы составили сравнительную таблицу, которая поможет быстро оценить, насколько конкретный SaaS-сервис соответствует ключевым требованиям закона. Используйте её как рабочий инструмент при встрече с поставщиком.
| Параметр | Требование 152-ФЗ | Что проверить у поставщика | Как верифицировать |
|---|---|---|---|
| Место хранения данных | Базы данных на территории РФ (ст. 18) | Расположение серверов и дата-центров | Запросить скриншот из панели управления или техническую документацию |
| Паспорт обработки | Наличие и актуальность ПОПД | Цели, сроки, категории данных | Сверить цели обработки с предметом договора |
| Уведомление об инцидентах | 72 часа с момента обнаружения утечки (ст. 21) | Процедура и сроки уведомления заказчика | Запросить регламент реагирования на инциденты |
| Назначение ДОПД | Приказ о назначении ответственного лица | Наличие приказа в штате поставщика | Запросить копию приказа или выписку |
| Согласие субъектов | Порядок получения и хранения согласий | Механизм сбора согласий в интерфейсе сервиса | Попросить демо-показ функционала |
Типичные риски при работе с нерезидентным SaaS
Если поставщик зарегистрирован за рубежом или использует инфраструктуру за пределами России, список рисков расширяется. Редакция miniwebsansar.com выделила три основных типа угроз, с которыми сталкиваются наши читатели при выборе зарубежных облачных сервисов.
1. Юрисдикционный риск. В случае спора вы будете судиться по законам страны регистрации поставщика, а не по российскому законодательству. Это критично, если ваш бизнес работает с данными граждан РФ — по статье 18 152-ФЗ, обработка таких данных должна происходить с использованием баз данных на территории России.
2. Риск утечки без последствий. Нерезидентный провайдер не подпадает под юрисдикцию Роскомнадзора, а значит, штрафы по статье 13.11 КоАП РФ будут применяться только к вам как к оператору, а не к поставщику как к обработчику. Штраф для юридических лиц может составить до 18 млн рублей.
3. Риск блокировки доступа. В случае геополитических ограничений доступ к сервису может быть заблокирован без предупреждения. По нашим наблюдениям, в 2024–2025 годах число таких инцидентов выросло на 40%.
4. Риск нарушения требований к резервному копированию. Если данные хранятся только за рубежом, вы не сможете обеспечить доступ к ним в случае блокировки или сбоя. Проверьте, предусмотрена ли возможность выгрузки данных в формате, совместимом с вашей инфраструктурой.
Согласно разъяснениям Роскомнадзора от 2025 года, оператор, передающий персональные данные нерезиденту, обязан обеспечить не только согласие субъекта, но и гарантии уровня защиты данных не ниже предусмотренных российским законодательством.
Какой штраф грозит за нарушение 152-ФЗ при работе с SaaS?
По статье 13.11 КоАП РФ штраф для юридических лиц может составить до 18 млн рублей за каждый факт неправомерной обработки персональных данных. В 2025 году Роскомнадзор ужесточил практику назначения максимальных санкций, особенно в случаях, когда оператор не может подтвердить наличие паспорта обработки.
Нужно ли уведомлять Роскомнадзор о передаче данных SaaS-провайдеру?
Да, если вы являетесь оператором персональных данных и передаёте их обработчику. Согласно статье 22 152-ФЗ, оператор обязан подать уведомление в Роскомнадзор до начала обработки. Исключение составляют случаи, когда данные обрабатываются на основании договора с субъектом или в рамках трудовых отношений.
Как проверить, что SaaS-сервис действительно хранит данные в России?
Запросите у поставщика техническую документацию с указанием адресов дата-центров, а также скриншот из панели управления, подтверждающий регион размещения серверов. Дополнительно вы можете проверить информацию о компании в реестре операторов персональных данных на сайте Роскомнадзора.