Нужна ли политика ПДн, если на сайте есть только форма обратной связи?

Да. Если сайт собирает имя, телефон, email или сообщение, оператору нужна публичная политика обработки персональных данных и понятная ссылка на неё.

Достаточно ли написать согласие в тексте под кнопкой?

Безопаснее использовать отдельный непредустановленный чекбокс и ссылку на отдельный текст согласия до отправки формы.

Нужно ли проверять cookie и аналитику по 152-ФЗ?

Да. Аналитика, пиксели, онлайн-чаты и внешние виджеты могут быть связаны с передачей данных третьим лицам или трансграничной передачей.

Что можно проверить автоматически?

Можно проверить публичные формы, ссылки на документы, cookie-баннеры, внешние скрипты, HTTPS и доступность ключевых документов.

152-ФЗ для владельцев сайтов

Что проверить на сайте по 152-ФЗ

Q: Что нельзя проверить только по сайту?

С сайта нельзя достоверно понять, подано ли уведомление в Роскомнадзор, где реально хранятся базы, какие есть договоры с обработчиками и внутренние документы.

Если сайт собирает имя, телефон, email, заявку, сообщение, данные для оплаты, доставки или записи на услугу, он уже может обрабатывать персональные данные. На этой странице — понятный чек-лист: какие элементы сайта проверить до жалобы пользователя или проверки Роскомнадзора.

Проверить сайт бесплатно Открыть каталог рисков

Что считать персональными данными на сайте?

На практике риск возникает не только при сборе паспортных данных. Имя, телефон, email, адрес доставки, комментарий в заявке, аккаунт в личном кабинете, IP-адрес, cookie-идентификаторы, данные оплаты и история действий пользователя могут быть связаны с конкретным человеком и требовать корректного оформления обработки.

Публичная часть сайта

Что проверить на страницах сайта

Эти риски чаще всего видны без доступа к админке: их можно найти автоматическим обходом публичных страниц.

Формы сбора данных

Проверьте формы обратной связи, заявки, квизы, онлайн-запись, корзину, личный кабинет и подписку на рассылку. У каждой формы должны быть понятные цели, ссылка на документы и корректное согласие.

Риск: форма без согласия

Политика обработки ПДн

Политика должна быть доступна по прямой ссылке, обычно в футере, и рядом с формами сбора персональных данных. В ней должны совпадать цели, состав данных, сроки хранения и фактические сервисы сайта.

Риск: политика не найдена

Отдельное согласие

Согласие на обработку ПДн лучше оформлять отдельно от договора, оферты и анкеты. Чекбокс не должен быть проставлен заранее, а текст согласия должен быть доступен до отправки формы.

Риск: нет уведомления до отправки

Cookie и внешние скрипты

Проверьте Яндекс.Метрику, рекламные пиксели, онлайн-чаты, callback-виджеты, карты, CRM-формы и другие внешние домены. Они могут быть связаны с передачей данных третьим лицам.

Риск: нет описания cookies

Передача третьим лицам

CRM, рассылки, коллтрекинг, виджеты и подрядчики должны быть отражены в документах и договорной модели. Иначе фактическая обработка может не совпадать с тем, что написано на сайте.

Риск: CRM без договора

HTTPS и безопасность форм

Формы должны передавать данные по защищённому соединению, не открывать заявки посторонним лицам и не оставлять персональные данные в публичном доступе.

Риск: нет HTTPS

Документы

Какие документы обычно нужны сайту

Набор зависит от сценариев сайта и деятельности компании. Но для большинства сайтов с формами важно начать с публичных документов и согласий.

Подготовить документы Проверить существующие

Политика обработки персональных данных

Должна быть доступна пользователю и описывать фактическую обработку данных на сайте.

Согласие на обработку ПДн

Отдельный текст согласия для форм, доступный до отправки данных.

Согласие на рассылку

Если сайт собирает email или телефон для рекламных сообщений, согласие на рассылку лучше отделять от иных целей.

Cookie policy или раздел о cookie

Нужен, если используются аналитика, пиксели, чат-виджеты или иные идентификаторы пользователя.

Что не видно снаружи

Что нельзя проверить только по сайту

Эти вопросы требуют данных от компании и относятся к расширенному аудиту по чек-листу.

Уведомление в РоскомнадзорПодано ли уведомление, актуальны ли сведения и есть ли трансграничная передача.

Хранение и локализацияГде находятся CRM, базы, резервные копии и первичная запись данных граждан РФ.

Внутренние документыНазначен ли ответственный, есть ли положения, журналы, приказы и инструкции.

ПодрядчикиКакие сервисы и исполнители получают доступ к персональным данным и какие договоры заключены.

FAQ

Частые вопросы по 152-ФЗ для сайта

Нужна ли политика ПДн, если сайт только собирает заявки?

Да. Если форма позволяет пользователю оставить имя, телефон, email или сообщение, оператор должен обеспечить доступ к политике обработки персональных данных и корректно оформить обработку.

Можно ли включить согласие в оферту?

Лучше не смешивать согласие на обработку ПДн с офертой, договором или анкетой. Безопаснее сделать отдельный текст согласия и отдельный чекбокс.

Нужно ли описывать Яндекс.Метрику и рекламные пиксели?

Да, если сервисы собирают идентификаторы, cookie, сведения о поведении пользователя или передают данные третьим лицам, их нужно учитывать в документах и настройках сайта.

Что RANext проверяет автоматически?

RANext проверяет публичные страницы, формы, ссылки на документы, cookie, внешние скрипты, виджеты и базовые технические признаки.

Когда нужен аудит по чек-листу?

Когда нужно проверить уведомления в Роскомнадзор, хранение данных, подрядчиков, внутренние документы, журналы, ИСПДн и реальные меры защиты.

Отраслевые страницы

Проверьте требования с учётом своей сферы

Для разных сайтов отличаются формы, данные, подрядчики и типовые ошибки. Выберите свою отрасль и посмотрите отдельный чек-лист.

Интернет-магазиныЗаказ, доставка, оплата, личный кабинет и рассылки. МедицинаОнлайн-запись, сведения о здоровье, фото и коллтрекинг. ОбразованиеДанные детей и родителей, LMS, платежи, фото и видео. НедвижимостьЗаявки, ипотечные анкеты, CRM и партнёры.

Проверьте сайт по 152-ФЗ

RANext покажет видимые риски по формам, документам, cookie и внешним сервисам. Результат откроется на странице проверки, а email можно указать позже.

Проверить сайт