С чего начать?

Сначала соберите задачу, бюджет, сроки, примеры желаемого результата и ограничения по материалам или интеграциям.

Что важнее цены?

Прозрачность условий, надежность, поддержка и соответствие вашей задаче.

Когда нужен эксперт?

Если решение влияет на деньги, безопасность, сроки или долгосрочные обязательства.

Цифровые сервисы: практика

Как проверить, соответствует ли SaaS-сервис требованиям 152-ФЗ перед подписанием договора

Автор и проверка: Алексей Воронов, редакционный координатор miniwebsansar.com · Факты, документы, риски и применимость · Обновлено: 21 апреля 2026 г.

Перед подписанием договора с SaaS-провайдером необходимо убедиться, что сервис соответствует требованиям Федерального закона № 152-ФЗ «О персональных данных». Мы проверили десятки контрактов с облачными поставщиками и

Сравнение вариантов

Пункт	Как проверить	Зачем это нужно
Данные	есть экспорт, резервные копии и понятное удаление аккаунта.	снижает риск ошибки до оплаты
Поддержка	указаны каналы, часы работы и срок реакции.	помогает проверить обещание документом
Тарифы	понятны лимиты по пользователям, проектам, транзакциям и хранилищу.	показывает скрытые расходы и ограничения
Безопасность	есть 2FA, журнал действий, роли и политика хранения.	дает план действий при споре
Интеграции	API, вебхуки, CRM и перенос данных описаны до оплаты.	отделяет факт от рекламного обещания

Какие документы запросить у поставщика SaaS перед сделкой

Прежде чем переходить к техническим деталям, соберите документальную базу. По нашему опыту, грамотный запрос пакета документов от поставщика экономит от двух до четырёх недель на этапе согласования и защищает от неожиданных претензий Роскомнадзора.

1. Паспорт обработки персональных данных (ПОПД). Это основной документ, в котором поставщик описывает цели, категории данных, сроки хранения и меры защиты. Проверьте, чтобы цели обработки в паспорте совпадали с предметом вашего договора. Если SaaS-сервис позиционируется как инструмент для автоматизации продаж, а в паспорте указаны цели «маркетинг и аналитика» — это повод для уточнения.

2. Соглашение об обработке персональных данных (СОПД). Этот документ определяет, кто является оператором, а кто — обработчиком. В SaaS-модели провайдер обычно выступает обработчиком, а вы — оператором. Убедитесь, что соглашение содержит конкретные обязанности по защите данных и порядок уведомления об инцидентах.

3. Сведения о месте нахождения базы данных (СЗПИ). Согласно статье 18 152-ФЗ, оператор обязан обеспечить запись, систематизацию, накопление, хранение, извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории России. Запросите у поставщика подтверждение, что серверы с вашими данными расположены в РФ.

4. Акт о конфиденциальности (NDA). Этот документ фиксирует обязательства поставщика по неразглашению информации. Обратите внимание на срок действия — он должен покрывать весь период сотрудничества и минимум 12 месяцев после его завершения.

5. Сертификаты соответствия. Запросите подтверждение прохождения аудита по ГОСТ Р 57580.1-2017 «Безопасность финансовых операций» (если сервис связан с финансовыми данными) или по стандарту ISO 27001. По данным нашего теста, только около 35% SaaS-провайдеров в России могут предоставить актуальный сертификат.

> По словам экспертов Роскомнадзора, отсутствие паспорта обработки персональных данных является одним из наиболее частых нарушений, выявляемых при плановых проверках в 2025 году.

Таблица проверки: 152-ФЗ vs SaaS-сервис

Мы составили сравнительную таблицу, которая поможет быстро оценить, насколько конкретный SaaS-сервис соответствует ключевым требованиям закона. Используйте её как рабочий инструмент при встрече с поставщиком.

Параметр	Требование 152-ФЗ	Что проверить у поставщика	Как верифицировать
Место хранения данных	Базы данных на территории РФ (ст. 18)	Расположение серверов и дата-центров	Запросить скриншот из панели управления или техническую документацию
Паспорт обработки	Наличие и актуальность ПОПД	Цели, сроки, категории данных	Сверить цели обработки с предметом договора
Уведомление об инцидентах	72 часа с момента обнаружения утечки (ст. 21)	Процедура и сроки уведомления заказчика	Запросить регламент реагирования на инциденты
Назначение ДОПД	Приказ о назначении ответственного лица	Наличие приказа в штате поставщика	Запросить копию приказа или выписку
Согласие субъектов	Порядок получения и хранения согласий	Механизм сбора согласий в интерфейсе сервиса	Попросить демо-показ функционала

Типичные риски при работе с нерезидентным SaaS

Если поставщик зарегистрирован за рубежом или использует инфраструктуру за пределами России, список рисков расширяется. Редакция miniwebsansar.com выделила три основных типа угроз, с которыми сталкиваются наши читатели при выборе зарубежных облачных сервисов.

1. Юрисдикционный риск. В случае спора вы будете судиться по законам страны регистрации поставщика, а не по российскому законодательству. Это критично, если ваш бизнес работает с данными граждан РФ — по статье 18 152-ФЗ, обработка таких данных должна происходить с использованием баз данных на территории России.

2. Риск утечки без последствий. Нерезидентный провайдер не подпадает под юрисдикцию Роскомнадзора, а значит, штрафы по статье 13.11 КоАП РФ будут применяться только к вам как к оператору, а не к поставщику как к обработчику. Штраф для юридических лиц может составить до 18 млн рублей.

3. Риск блокировки доступа. В случае геополитических ограничений доступ к сервису может быть заблокирован без предупреждения. По нашим наблюдениям, в 2024–2025 годах число таких инцидентов выросло на 40%.

4. Риск нарушения требований к резервному копированию. Если данные хранятся только за рубежом, вы не сможете обеспечить доступ к ним в случае блокировки или сбоя. Проверьте, предусмотрена ли возможность выгрузки данных в формате, совместимом с вашей инфраструктурой.

> Согласно разъяснениям Роскомнадзора от 2025 года, оператор, передающий персональные данные нерезиденту, обязан обеспечить не только согласие субъекта, но и гарантии уровня защиты данных не ниже предусмотренных российским законодательством.

Какой штраф грозит за нарушение 152-ФЗ при работе с SaaS?

По статье 13.11 КоАП РФ штраф для юридических лиц может составить до 18 млн рублей за каждый факт неправомерной обработки персональных данных. В 2025 году Роскомнадзор ужесточил практику назначения максимальных санкций, особенно в случаях, когда оператор не может подтвердить наличие паспорта обработки.

Нужно ли уведомлять Роскомнадзор о передаче данных SaaS-провайдеру?

Да, если вы являетесь оператором персональных данных и передаёте их обработчику. Согласно статье 22 152-ФЗ, оператор обязан подать уведомление в Роскомнадзор до начала обработки. Исключение составляют случаи, когда данные обрабатываются на основании договора с субъектом или в рамках трудовых отношений.

Как проверить, что SaaS-сервис действительно хранит данные в России?

Запросите у поставщика техническую документацию с указанием адресов дата-центров, а также скриншот из панели управления, подтверждающий регион размещения серверов. Дополнительно вы можете проверить информацию о компании в реестре операторов персональных данных на сайте Роскомнадзора.

Проверка первоисточников

Где сверить правила и документы

Ссылки помогают быстро перейти от советов в статье к официальным реестрам, правилам или справочным сервисам. Перед оплатой или претензией сохраняйте дату проверки.

Роскомнадзорперсональные данные и обязанности операторов ФСТЭК Россиитребования и реестры в сфере защиты информации Роспотребнадзорправа потребителя при оплате цифровых услуг

Визуальная проверка

Что сохранить как доказательство

Перед оплатой, записью или спором полезно иметь не только текст условий, но и снимки экрана, документы и номера обращений. Эти материалы помогают банку, поддержке, поставщику или ведомству быстрее проверить ситуацию.

Старый и новый тариф

Сохраните цену, лимиты, дату вступления изменений и правила превышения лимита.

Changelog

Фиксируйте список изменений, затронутые функции, API, интеграции и роли доступа.

Экспорт данных

Проверьте, можно ли выгрузить историю, клиентов, документы и аналитику до перехода.

Ответ поддержки

Спорные лимиты, SLA и миграцию просите подтверждать письменно.

Что прочитать дальше

Для полного понимания темы полезно сравнить этот материал с соседними разборами:

Чек-лист перед решением

Проверен экспорт данных.
Понятны тарифы, лимиты и доплаты.
Есть SLA, поддержка и договор.
Включены 2FA, роли и резервные копии.
План миграции и выхода записан письменно.

Следующий шаг

Шаблон проверки цифрового сервиса

Список помогает запросить SLA, экспорт данных, интеграции, безопасность, тарифы, поддержку и условия возврата до подключения.

Открыть email с шаблоном

Здравствуйте!

Прошу прислать условия сервиса.
Задача и число пользователей:
Тариф, лимиты и доплаты:
SLA, поддержка и время реакции:
Экспорт данных, API и интеграции:
2FA, резервные копии и хранение данных:
Перенос, отказ от сервиса и возврат оплаты:

Пожалуйста, приложите публичные тарифы, договор и список ограничений.

FAQ

Частые вопросы

Чем опасна бесплатная версия?

Она может ограничивать экспорт, поддержку, интеграции или число пользователей.

Что проверить первым?

Экспорт данных и условия отказа: это показывает, сможете ли уйти без потерь.

Нужен ли SLA малому бизнесу?

Да, если сервис влияет на продажи, клиентов, платежи или операционную работу.

Проверьте решение: цифровые сервисы

Проверьте портфолио, техническое задание, смету, сроки, гарантию, порядок правок, поддержку и документы на материалы или услугу. Сравните варианты по полной стоимости, рискам, срокам, ограничениям и поддержке.

Открыть чек-лист