ИИ в Битрикс24 и персональные данные: 152-ФЗ, приватность
Вы в Базе знаний АС Проект — справочник по внедрению Битрикс24 Основной сайт acp-24.ru →
АС Проект АС Проект Платиновый партнёр Битрикс24 База знаний
+7 (495) 414-48-49
Искусственный интеллект

Где ИИ Битрикс24 обрабатывает данные: приватность, 152-ФЗ и контроль

Опубликовано: ·Обновлено: ·8 мин чтения

BitrixGPT и другие ИИ-инструменты Битрикс24 работают с данными вашей CRM — это означает, что вопрос о месте обработки и соответствии 152-ФЗ становится практическим, а не теоретическим. Разбираем, где реально обрабатываются данные, чем облако отличается от коробки и что нужно сделать до запуска ИИ в чувствительных отраслях.

Кто за что отвечает по 152-ФЗ

Прежде чем говорить об ИИ — важно разграничить роли, которые определяет закон.

Ваша компания — оператор персональных данных. Именно вы:

  • организуете и осуществляете обработку ПДн,
  • определяете цели обработки,
  • несёте полную ответственность за безопасность данных, взаимодействие с Роскомнадзором и соблюдение прав субъектов.

ООО «1С-Битрикс24» — обработчик. Компания обрабатывает данные по вашему поручению, в рамках Поручения на обработку персональных данных и Политики обработки персональных данных.

Это разграничение критично: даже если BitrixGPT «что-то сделал» с данными клиента, юридическую ответственность несёт оператор — то есть ваша компания.

С 1 сентября 2022 года компании, работающие с персональными данными, обязаны уведомить об этом Роскомнадзор. Это требование касается и пользователей облачного Битрикс24.

Что указать в уведомлении в Роскомнадзор

  • Сведения о компании: название, адрес, ИНН, ОГРН.
  • Перечень обрабатываемых данных (ФИО, телефон, паспортные данные и т. д.).
  • Цели обработки: кадровый учёт, договоры с клиентами, маркетинг.
  • Категории субъектов: сотрудники, клиенты, посетители сайта.
  • Способы обработки: сбор, хранение, передача, удаление.
  • Меры защиты по ст. 18.1 и ст. 19 ФЗ «О персональных данных»: шифрование, ответственное лицо.
  • Сроки обработки данных.

Битрикс24 предоставляет только общую информацию и не консультирует по заполнению уведомления — это ответственность оператора.


Где физически хранятся данные облачного Битрикс24

Все облачные порталы Битрикс24 в доменной зоне .ru размещены в российских дата-центрах. Согласно п. 5 ст. 18 № 152-ФЗ, данные хранятся на серверах на территории РФ.

АО «Корп Софт»:

  • г. Москва, Коровинское ш., д. 41
  • г. Москва, ул. 8 Марта, д. 14
  • г. Москва, ул. Бутлерова, д. 7

ООО «Цифровое облако»:

  • г. Москва, проспект Мира, д. 105, стр. 6
  • г. Москва, Коровинское ш., д. 41
  • г. Москва, Чермянская ул., д. 4

Провайдеры имеют лицензии и сертификаты безопасности. Это значит, что сам факт хранения ПДн в облачном Битрикс24 не противоречит требованию 152-ФЗ о локализации данных на территории России.


Как BitrixGPT обрабатывает данные в облаке

Ключевой вопрос для ИБ-специалиста: куда уходит запрос, когда сотрудник использует BitrixGPT?

Когда ИИ-функции работают в облачном Битрикс24, запрос (текст письма, содержимое сделки, транскрипт звонка) передаётся на серверы вендора для обработки моделью. Важно понимать несколько вещей:

  • Облачная инфраструктура Битрикс24 находится в РФ (см. выше).
  • Данные обрабатываются в рамках Поручения на обработку — договорные отношения оформлены.
  • Однако конкретная ИИ-модель, которую вызывает BitrixGPT, может быть как российской, так и внешней — это зависит от конкретного инструмента и настроек.

Практический вывод для оператора: перед активацией ИИ-инструментов необходимо убедиться, что в вашем уведомлении в Роскомнадзор отражена передача данных обработчику (Битрикс24), и что поручение на обработку подписано или принято в рамках оферты.

Подробнее о том, что умеет BitrixGPT в CRM и как его включить, — в отдельном материале.


Коробочный Битрикс24: максимальный контроль над данными

Для компаний с повышенными требованиями к приватности (медицина, финансы, госзаказ) коробочная версия даёт принципиально иной уровень контроля.

Что меняется:

  • Все данные хранятся на серверах компании — физически и юридически в вашем периметре.
  • Вы контролируете, какие сервисы имеют доступ к сети, а какие — нет.
  • Коробка может работать в полностью закрытом контуре — без выхода к внешним серверам.

ИИ в закрытом контуре:

Коробочный Битрикс24 может работать без доступа к внешним серверам. При этом часть ИИ-инструментов, которые по умолчанию обращаются к облачным серверам Битрикс24, в таком режиме будет недоступна или потребует настройки на серверах компании. Некоторые из них можно перенастроить на внутреннюю инфраструктуру — для этого нужно обратиться в поддержку Битрикс24.

Ключевой принцип: в закрытом контуре ИИ-инструменты с доступом к внешним серверам включаются осознанно и только там, где это допускает политика безопасности компании.

Подробнее о том, когда и зачем переходить на коробку: переход с облачного Битрикс24 на коробку.

Архитектура безопасности коробки

При проектировании коробочной версии Битрикс24 безопасность закладывалась на всех этапах разработки и тестирования. Реализованы:

  • Продуманная политика разграничения доступа: гибкие права для пользователей и групп.
  • Защищённость программного кода: постоянное тестирование внутренней службой ИБ на стойкость к известным угрозам, независимый аудит архитектуры.
  • Привязка сессии к IP-адресу или маске сети (защита от XSS/перехвата).
  • Настраиваемый срок активности сессии и авторизации.
  • Ограничение количества одновременных запомненных авторизаций на пользователя.
  • Для администраторов — повышенный уровень политики безопасности.

Код проверяется внутренним отделом ИБ и независимыми аудиторами. Финальное решение о включении нового функционала в обновления принимают специалисты по безопасности.


Облако vs Коробка: сравнение по приватности данных ИИ

На схеме ниже показано, как различается обработка данных при использовании ИИ в облачной и коробочной версиях: где проходит граница периметра компании, куда уходят запросы.

flowchart TD
    subgraph cloud["☁️ Облако (SaaS)"]
        U1[Сотрудник] --> B24C[Битрикс24 облако]
        B24C --> AI_C[BitrixGPT / ИИ-модель]
        AI_C --> DC["Дата-центры РФ\n(Корп Софт, Цифровое облако)"]
    end
    subgraph box["🖥️ Коробка (Self-hosted)"]
        U2[Сотрудник] --> B24B[Битрикс24 коробка]
        B24B --> INNER[Локальные серверы компании]
        B24B -- "Только при явном разрешении" --> EXT[Внешние ИИ-сервисы]
    end
Критерий Облако Коробка
Физическое расположение данных Дата-центры РФ (Москва) Серверы компании (любая локация)
Контроль над инфраструктурой У вендора У компании
Данные для ИИ уходят на сервер вендора Да (в рамках Поручения) Только при явном включении
Работа в закрытом контуре (без интернета) Нет Да
Поручение на обработку ПДн Оферта / договор с 1С-Битрикс24 Не требуется (данные внутри)
Уведомление в Роскомнадзор Обязательно Обязательно (как оператор)
Гибкость настройки политик безопасности Ограничена тарифом Полная (AD/LDAP, SSO, IP-фильтры)
Предпочтительно для Большинства компаний Мед., фин., госзаказ, режимные объекты

Как Битрикс24 защищает данные технически

Вне зависимости от варианта развёртывания, вендор применяет многоуровневую защиту.

Меры на стороне Битрикс24 (облако):

  • Шифрование соединений SSL 256 бит — в том числе через публичный Wi-Fi.
  • Двухфакторная аутентификация: пароль + одноразовый код.
  • Проактивный веб-фаервол (WAF) — анализ запросов в реальном времени, блокировка атак.
  • Своевременное обновление системного ПО.
  • Регулярный аудит безопасности кода и инфраструктуры.
  • Ограничение доступа к инфраструктуре через сетевой экран.
  • Постоянный мониторинг активности.
  • Автоматическая и полуавтоматическая реакция на аварийные ситуации.

Меры на стороне дата-центров:

  • Резервное электропитание.
  • Охранная сигнализация и видеонаблюдение.
  • Физическое разделение сетей.
  • Система контроля доступа.
  • Антивирусная защита.
  • Защита от DDoS-атак.
  • Мониторинг и шифрование трафика.
  • Запись системных событий.

Что учесть при запуске ИИ: практический чек-лист

Перед тем как активировать BitrixGPT или ИИ-анализ звонков в промышленной эксплуатации, пройдите по следующим пунктам.

Организационные меры:

  • Уведомление в Роскомнадзор подано и актуализировано — в нём отражён факт передачи данных обработчику (1С-Битрикс24).
  • Поручение на обработку персональных данных подписано или принято в рамках оферты Битрикс24.
  • Политика конфиденциальности компании охватывает автоматизированную обработку данных с помощью ИИ.
  • Сотрудники, использующие ИИ, прошли инструктаж: что можно передавать в запросы, а что — нет.

Технические меры:

  • Разграничены права: ИИ-инструменты доступны только тем ролям, кому это необходимо.
  • Минимизированы данные в запросах: в промпте — только то, что нужно для задачи, без избыточных ПДн.
  • Для коробки: явно определено, какие ИИ-инструменты могут обращаться к внешним серверам.
  • Включена двухфакторная аутентификация для всех пользователей с доступом к ПДн.
  • Ведётся аудит действий в CRM (кто, когда, к каким данным обращался).

Принцип минимизации данных — ключевой при работе с ИИ: не передавайте в запросы паспортные данные, СНИЛС, медицинские сведения, если задача этого не требует. ИИ эффективно работает с обезличенными или агрегированными данными.

Если вы настраиваете смарт-процессы или автоматизацию с участием ИИ — убедитесь, что роботы и триггеры не передают в ИИ-блоки поля с чувствительными ПДн без необходимости.


Особенности для чувствительных отраслей

Для некоторых отраслей требования к обработке данных существенно строже:

Медицина. Медицинские данные относятся к специальным категориям ПДн (ст. 10 152-ФЗ). Для медицинских центров на Битрикс24 использование облачного ИИ с доступом к данным пациентов требует отдельного юридического анализа. Коробочная версия в закрытом контуре — предпочтительный вариант.

Финансы и банки. Помимо 152-ФЗ действуют требования Банка России по защите информации. Передача данных во внешние ИИ-сервисы без согласования с ИБ-службой недопустима.

Госзаказ и оборонные предприятия. Как правило, требуется полная изоляция от внешних сетей — только коробка в закрытом контуре без ИИ-инструментов с внешними обращениями.

Ритейл, логистика, B2B-сервисы. Облачный Битрикс24 с правильно оформленным Поручением и уведомлением в Роскомнадзор, как правило, достаточен при соблюдении принципа минимизации данных.

Частые вопросы

Нужно ли подавать уведомление в Роскомнадзор, если я использую облачный Битрикс24?

Да. С 1 сентября 2022 года все компании, обрабатывающие персональные данные, обязаны уведомить Роскомнадзор. Использование облачного Битрикс24 не освобождает от этой обязанности — вы остаётесь оператором, а 1С-Битрикс24 выступает обработчиком по Поручению.

Данные в облачном Битрикс24 хранятся в России?

Да. Все облачные порталы в зоне .ru размещены в российских дата-центрах: АО «Корп Софт» и ООО «Цифровое облако» — оба в Москве. Это соответствует требованию 152-ФЗ о локализации ПДн.

Можно ли использовать BitrixGPT, если у нас обрабатываются медицинские данные?

Медицинские данные — специальная категория ПДн (ст. 10 152-ФЗ), требования к их защите выше. Перед активацией ИИ-инструментов в медицинской организации необходим юридический анализ. Коробочная версия в закрытом контуре обеспечивает максимальный контроль и предпочтительна для таких случаев.

Можно ли настроить коробочный Битрикс24 так, чтобы данные вообще не покидали периметр компании?

Да. Коробка поддерживает режим полностью закрытой сети. В этом режиме ИИ-инструменты, требующие доступа к внешним серверам, будут недоступны или потребуют перенастройки на внутреннюю инфраструктуру. Часть таких инструментов можно настроить на серверах компании через обращение в поддержку Битрикс24.

Кто несёт ответственность, если ИИ Битрикс24 обработал персональные данные с нарушением?

Юридическую ответственность несёт оператор — ваша компания. 1С-Битрикс24 как обработчик действует строго по Поручению на обработку. Именно поэтому важно правильно оформить документы и настроить права доступа до запуска ИИ.

Как минимизировать риск утечки ПДн при использовании ИИ в CRM?

Придерживайтесь принципа минимизации данных: не передавайте в ИИ-запросы паспортные данные, СНИЛС и другие чувствительные сведения, если задача этого не требует. Разграничьте права: ИИ-инструменты должны быть доступны только нужным ролям. Включите двухфакторную аутентификацию и ведите аудит действий.

На основе практики

Статья подготовлена на основе 11 внутренних документов из практики АС Проект — планов работ, ТЗ, опросных листов и кейсов внедрения Битрикс24.

Нужна помощь с внедрением Битрикс24?

АС Проект — платиновый партнёр Битрикс24. Разберём вашу задачу, оценим объём работ в часах и предложим план — бесплатно.

Не нашли ответ в базе знаний?

Задайте вопрос эксперту по Битрикс24

Проведём демонстрацию, соберём требования и оценим ваш проект в часах. Первая консультация — бесплатно.

+7 (495) 414-48-49