Как подготовить сайт к требованиям Роскомнадзора

Главная мысль: подготовка к требованиям Роскомнадзора начинается не с красивого PDF-документа, а с ревизии фактической обработки данных: форм, cookie, аналитики, виджетов, кейсов, отзывов, кабинета, платёжного и договорного контура.

Шаг 1

Зафиксируйте, какие данные сайт реально собирает

Проверьте не только видимые формы. Включите в карту сбора заявки, callback, подписку, личный кабинет, загрузку файлов, чат, квизы, попапы, мессенджер-кнопки, аналитику, cookies и storage-ключи.

Шаг 2

Соберите все точки входа в обработку

Для каждой формы и виджета ответьте на вопросы: какие поля собираются, зачем, куда уходит заявка, кто видит данные, есть ли внешняя CRM, чат, аналитика или иной сервис-получатель.

Шаг 3

Сверьте карту сбора с политикой ПДн

Политика должна описывать ваш сайт, а не “среднюю политику из интернета”. В ней должны совпадать оператор, цели обработки, состав данных, права субъекта, сроки хранения, внешние сервисы и каналы обращения.

Шаг 4

Проверьте согласия в формах

Согласие должно быть рядом с отправкой формы, без предзаполненной галки и без смешения разных целей в одном чекбоксе. Отдельно проверьте маркетинговые коммуникации и отдельные сценарии публикации персональных данных.

Шаг 5

Проверьте cookie, аналитику и внешние сервисы

Если сайт использует аналитику, пиксели, внешние формы, карты, шрифты, чаты или виджеты, это должно быть прозрачно отражено в публичном контуре. Баннер, фактические скрипты и документы не должны говорить разное.

Шаг 6

Проверьте публикацию людей, отзывов и кейсов

Если на сайте есть ФИО, фото, должности, отзывы, кейсы с людьми или экспертные карточки, проверьте отдельный контур согласия на распространение персональных данных. Общее согласие на обработку здесь не всегда достаточно.

Шаг 7

Сверьте сайт с договорным контуром

Для интернет-магазина и SaaS проверьте, не отстают ли оферта и условия от реального UX: цена, тариф, оплата, возврат, прекращение сервиса, продавец или исполнитель, удаление данных и срок доступа после расторжения.

Шаг 8

Проверьте сценарий уведомления в РКН

Если на сайте есть признаки обработки персональных данных, проверьте, не нужен ли вам контур уведомления как оператору. Удобнее делать это после ревизии сайта, а не до неё: иначе уведомление и фактическая обработка могут разъехаться.

Частые ошибки, которые всплывают первыми

в документах перечислены одни сервисы, а на сайте работают другие;
политика есть, но у форм нет нормального согласия;
сайт обещает “безопасность” и “прозрачность”, но неясно, кто оператор и кто получает данные;
главная и FAQ обещают одно, а оферта и политика — другое;
на сайте есть отзывы и карточки команды, но отдельный контур на распространение ПДн не просматривается.

Важно: автоматический аудит не заменяет юридическую консультацию, но сильно помогает перед ней. Хороший порядок действий: сначала прогнать сайт через SitePravo, затем отдать findings юристу и разработчику уже с evidence и конкретными URL.

Что проверять руками, а что можно отдать SitePravo

Руками: внутренние процессы, договоры с обработчиками, регистрация в реестрах, журнал согласий, локальные акты и фактический backend-маршрут данных.

Через SitePravo: публичные страницы, формы, согласия, документы, cookies, скрипты, внешние сервисы, реквизиты, базовый security-контур, SEO/GEO и часть explainability по спорным местам.

Официальные источники

Сначала лучше прочитать базовый чек-лист по документам и согласиям, а потом уже возвращаться к этой инструкции как к рабочему маршруту внедрения.

Запустить аудит через SitePravo