Алгоритм проверки сайта на соответствие 152-ФЗ
Цель проверки
Понять, как сайт собирает, использует, хранит и передает персональные данные, а потом проверить, закрыты ли основные требования 152-ФЗ:
данные собираются законно;
пользователь понимает, на что соглашается;
на сайте есть нужные документы;
согласия оформлены корректно;
cookies и аналитика описаны;
передача третьим лицам раскрыта;
локализация и трансграничная передача проверены;
юридические обязанности оператора не забыты.
Основные проверяемые блоки 152-ФЗ: принципы обработки, условия обработки, согласие, трансграничная передача, обязанности оператора, меры безопасности, уведомление об обработке ПДн и ответственность. Это следует из структуры закона: статьи 5, 6, 9, 12, 18, 18.1, 19, 22 и 24. (Consultant Plus)
1. Составить карту обработки персональных данных
Это главный первый этап. На нем сразу фиксируем всю фактическую обработку данных на сайте.
Что проверяем
| Объект проверки | Что фиксируем |
|---|
| Формы на сайте | какие формы есть и какие данные собирают |
| Cookies | какие cookies ставятся |
| Аналитика | Яндекс.Метрика, Google Analytics, пиксели, сквозная аналитика |
| Виджеты | чат, callback, квизы, онлайн-запись |
| Личный кабинет | регистрация, авторизация, профиль пользователя |
| Интернет-магазин | корзина, заказ, доставка, оплата |
| Рассылки | email, SMS, мессенджеры |
| Файлы | резюме, документы, изображения, заявки с вложениями |
| Отзывы / комментарии | имя, фото, контактные данные, текст отзыва |
Что должно получиться
| Где собираются данные | Какие данные | Цель | Основание | Куда уходят | Где хранятся |
|---|
| Форма заявки | имя, телефон | обратная связь | согласие | почта, CRM | сервер / CRM |
| Форма заказа | ФИО, телефон, email, адрес | исполнение заказа | договор / согласие | CRM, служба доставки | CMS / CRM |
| Подписка | email | рассылка | согласие | сервис рассылки | сервис рассылки |
| Метрика | cookies, IP, идентификаторы | аналитика | согласие / уведомление | сервис аналитики | сервис аналитики |
| Онлайн-чат | имя, телефон, переписка | консультация | согласие | чат-сервис, CRM | чат-сервис |
В эту же карту сразу включаем юридические поля
| Поле | Что фиксируем |
|---|
| Оператор | юрлицо / ИП / физлицо, владелец сайта |
| Реквизиты оператора | наименование, ИНН, ОГРН/ОГРНИП, адрес, email |
| Получатели данных | CRM, почта, хостинг, мессенджеры, подрядчики |
| Третьи лица | кому передаются данные |
| Трансграничная передача | есть / нет |
| Локализация данных граждан РФ | где находится первичная база |
| Уведомление РКН | подано / не подано / нужно проверить |
| Внутренние документы | есть / нет / не проверялись в рамках сайта |
Проверка уведомления РКН не выносится отдельным этапом. Она фиксируется здесь, в карте обработки. У Роскомнадзора есть реестр операторов, где сведения об операторах являются общедоступными, а поиск можно делать, в частности, по ИНН организации. (Портал персональных данных)
2. Проверить политику обработки персональных данных
После карты обработки проверяем, совпадает ли политика на сайте с фактической обработкой данных.
Что должно быть в политике
| Блок | Что проверяем |
|---|
| Оператор | указан реальный владелец сайта |
| Реквизиты | наименование, ИНН, адрес, контакты |
| Цели обработки | заявки, заказы, регистрация, рассылка, аналитика |
| Категории ПДн | ФИО, телефон, email, cookies, IP, адрес и т.д. |
| Категории субъектов | посетители сайта, клиенты, пользователи, подписчики |
| Основания обработки | согласие, договор, закон, иные основания |
| Действия с ПДн | сбор, запись, хранение, использование, передача, удаление |
| Сроки хранения | до достижения цели, отзыва согласия или истечения срока |
| Третьи лица | CRM, хостинг, рассылки, аналитика, платежные сервисы |
| Cookies | какие используются и зачем |
| Трансграничная передача | есть / нет, в какие страны, через какие сервисы |
| Права пользователя | доступ, уточнение, отзыв согласия, удаление |
| Контакт для обращений | email или адрес оператора |
Как проверять
Берем карту обработки из пункта 1.
Сравниваем ее с политикой ПДн.
Все, что реально есть на сайте, должно быть отражено в политике.
3. Проверить согласия под формами
Согласия проверяются по каждой форме отдельно.
Какие формы проверяем
| Форма | Что проверяем |
|---|
| Заявка | согласие на обработку ПДн |
| Обратный звонок | согласие на обработку телефона |
| Регистрация | согласие на обработку данных аккаунта |
| Оформление заказа | согласие / основание для заказа |
| Подписка | согласие на обработку email |
| Квиз | согласие до отправки результата |
| Чат | уведомление или согласие на обработку переписки |
| Загрузка файлов | согласие на обработку файлов и данных внутри них |
Требования к согласию
| Проверка | Должно быть |
|---|
| Чекбокс | есть |
| Предзаполнение | чекбокс не должен быть заранее отмечен |
| Текст | понятный, рядом с формой |
| Ссылка на политику | есть |
| Блокировка отправки | форма не отправляется без согласия |
| Фиксация согласия | дата, время, IP, URL формы, версия текста |
Статья 9 152-ФЗ отдельно посвящена согласию субъекта на обработку персональных данных, а статья 6 — условиям обработки персональных данных. (Consultant Plus)
Пример нормального текста под формой
Я согласен на обработку персональных данных в соответствии с Политикой обработки персональных данных.
Что желательно логировать
| Данные | Зачем |
|---|
| дата и время | доказать момент согласия |
| IP-адрес | подтвердить технический источник |
| URL страницы | понять, где получено согласие |
| текст согласия | доказать, на что согласился пользователь |
| версия политики | связать согласие с конкретной редакцией документа |
| ID заявки | связать согласие с конкретной отправкой формы |
4. Проверить отдельные согласия на рекламу и рассылки
Согласие на обработку ПДн и согласие на рекламу лучше не смешивать.
Когда нужно отдельное согласие
| Ситуация | Что нужно |
|---|
| Email-рассылка | отдельное согласие на рассылку |
| SMS-рассылка | отдельное согласие |
| WhatsApp / Telegram-рассылка | отдельное согласие |
| Рекламные звонки | отдельное согласие |
| Ретаргетинг / рекламные пиксели | отдельное раскрытие и согласие |
| “Получать новости и акции” | отдельный чекбокс |
Как должно быть
[ ] Я согласен на обработку персональных данных.
[ ] Я согласен получать рекламные и информационные сообщения.
5. Проверить cookies, аналитику и пиксели
Этот пункт нужен отдельно, потому что сайт может не иметь форм, но все равно обрабатывать идентификаторы пользователей через cookies и сторонние скрипты.
Что искать
| Инструмент | Что может собирать |
|---|
| Яндекс.Метрика | cookies, IP, поведение пользователя |
| Google Analytics | cookies, идентификаторы, события |
| VK Pixel | рекламные идентификаторы |
| Meta Pixel | рекламные идентификаторы |
| Calltouch / Roistat / CoMagic | источники, звонки, cookie |
| Онлайн-чаты | переписка, имя, телефон |
| reCAPTCHA | технические данные пользователя |
| YouTube / карты / iframe | сторонние cookies |
Что проверяем на сайте
| Проверка | Должно быть |
|---|
| Cookie-баннер | есть при первом заходе |
| Ссылка на политику | есть в баннере |
| Cookies описаны в политике | да |
| Рекламные cookies отделены от технических | желательно |
| Есть возможность отказаться от необязательных cookies | желательно |
| До согласия не грузятся рекламные пиксели | желательно |
Что фиксируем в отчете
Какие cookies ставятся.
Какие скрипты подключены.
Какие сервисы получают данные.
Описаны ли они в политике.
Есть ли баннер и механизм согласия.
6. Проверить передачу данных третьим лицам
Этот пункт не дублирует карту обработки. В карте мы фиксируем, куда уходят данные. Здесь проверяем, правильно ли эта передача оформлена и раскрыта.
Кого проверяем
| Получатель | Пример |
|---|
| CRM | amoCRM, Bitrix24, RetailCRM |
| Хостинг | сервер, облако, CDN |
| Почта | корпоративная почта, Gmail, Яндекс 360 |
| Мессенджеры | Telegram, WhatsApp, VK |
| Рассылки | UniSender, Sendsay, Mailchimp |
| Платежи | ЮKassa, CloudPayments, Robokassa |
| Доставка | СДЭК, Boxberry, Почта России |
| Аналитика | Яндекс.Метрика, Google Analytics |
| Коллтрекинг | Calltouch, Roistat, CoMagic |
Что проверяем
| Вопрос | Что должно быть |
|---|
| Передача указана в политике? | да |
| Понятна цель передачи? | да |
| Понятны категории данных? | да |
| Есть договор / поручение обработки? | желательно / нужно по ситуации |
| Есть иностранный сервис? | проверить трансграничную передачу |
| Данные передаются только нужным лицам? | да |
7. Проверить локализацию и трансграничную передачу
Этот пункт оставляем отдельным, потому что он часто дает высокий риск.
Что проверяем
| Вопрос | Почему важно |
|---|
| Где находится сервер сайта | может влиять на хранение ПДн |
| Где находится CRM | туда уходят заявки |
| Где находится сервис рассылки | там хранится база подписчиков |
| Где находится аналитика | туда уходят идентификаторы |
| Используются ли иностранные сервисы | может быть трансграничная передача |
| Где первично записываются данные граждан РФ | вопрос локализации |
Статья 12 152-ФЗ регулирует трансграничную передачу персональных данных. (Consultant Plus)
Рискованные ситуации
| Ситуация | Риск |
|---|
| Заявки сразу уходят в иностранную CRM | высокий |
| Формы сделаны через иностранный сервис | высокий |
| Данные пишутся в Google Sheets | высокий |
| Рассылка через иностранный сервис | средний / высокий |
| Хостинг за пределами РФ | высокий |
| Только Яндекс.Метрика без иностранных сервисов | обычно ниже, но все равно нужно описать cookies |
8. Проверить юридические обязанности оператора, связанные с сайтом
Это не “проверка интерфейса сайта”, а завершающая юридическая сверка по оператору.
Что проверяем
| Проверка | Зачем |
|---|
| Уведомление РКН | понять, подано ли уведомление / нужно ли обновить |
| Реестр операторов | проверить наличие оператора по ИНН |
| Внутренние документы | проверить, есть ли минимальная организация обработки |
| Ответственный за ПДн | понять, кто отвечает внутри компании |
| Порядок ответов пользователям | что делать при отзыве согласия / запросе удаления |
| Договоры с подрядчиками | если данные уходят в CRM, хостинг, рассылки |
| Порядок удаления данных | чтобы данные не хранились бесконечно |
У Роскомнадзора есть электронная форма уведомления, где указываются сведения об операторе, включая тип оператора и наименование; это подтверждает, что уведомление — обязанность оператора, а не отдельный элемент интерфейса сайта. (Портал персональных данных)
Внутренние документы — что это
| Документ | Когда нужен |
|---|
| Приказ о назначении ответственного за ПДн | если проверяем организацию, а не только сайт |
| Перечень обрабатываемых ПДн | чтобы понимать состав данных |
| Перечень лиц с доступом | чтобы контролировать доступ |
| Регламент обработки запросов субъектов | если пользователь просит удалить / уточнить данные |
| Регламент уничтожения ПДн | чтобы данные удалялись после достижения цели |
| Документы по защите ПДн | для мер безопасности |
| Договоры / поручения с подрядчиками | если данные передаются внешним сервисам |
Проверить наличие обязанности по РКН.
Проверить наличие базовых внутренних документов.
Проверить договоры с подрядчиками, если сайт передает им данные.
9. Составить итоговый отчет
Финальный результат проверки — не просто “соответствует / не соответствует”, а таблица нарушений и исправлений.
Формат отчета
| № | Блок | Статус | Нарушение | Риск | Что исправить |
|---|
| 1 | Карта обработки | ❌ | не описаны все формы сбора данных | неполная оценка обработки | составить карту ПДн |
| 2 | Политика ПДн | ❌ | не указан реальный оператор | риск претензии РКН | добавить реквизиты оператора |
| 3 | Форма заявки | ❌ | нет чекбокса согласия | обработка без подтвержденного согласия | добавить чекбокс |
| 4 | Согласие | ⚠️ | согласие не логируется | сложно доказать получение согласия | сохранять дату, IP, URL, версию текста |
| 5 | Рассылка | ❌ | нет отдельного согласия на рекламу | риск жалоб и штрафов | добавить отдельный чекбокс |
| 6 | Cookies | ⚠️ | нет cookie-баннера | пользователь не уведомлен о cookies | добавить баннер |
| 7 | Аналитика | ⚠️ | Метрика не описана в политике | неполное раскрытие обработки | добавить раздел об аналитике |
| 8 | Третьи лица | ❌ | CRM не указана в политике | не раскрыта передача данных | описать передачу CRM |
| 9 | Трансграничная передача | ❌ | используется иностранный сервис, но это не описано | высокий риск | проверить локализацию и обновить документы |
| 10 | Юридические обязанности | ❓ | не проверено уведомление РКН | возможный риск оператора | проверить реестр / обязанность подачи |