Как пользоваться чеклистом
Чеклист разбит на 6 блоков. Для каждого пункта статус: ✅ выполнено, ❌ нарушение, ⚠️ требует внимания. Пункты, отмеченные 🔴, — критичные; 🟡 — важные; 🟢 — желательные.
Блок 1. Документы оператора
- 🔴 Политика конфиденциальности опубликована на сайте и доступна в один клик с любой страницы
- 🔴 В политике указаны: наименование оператора, ИНН, адрес, контакты
- 🔴 Цели обработки данных прописаны конкретно (не «улучшение сервиса»)
- 🔴 Указан срок хранения данных для каждой категории
- 🔴 Перечислены все третьи лица, которым передаются данные (включая аналитику, CRM, email)
- 🟡 Отдельная Cookie-политика или раздел в политике конфиденциальности
- 🟡 Публичная оферта или пользовательское соглашение для коммерческих сайтов
- 🟢 Политика обновлена и отражает текущую версию (дата редакции в документе)
Блок 2. Реестр операторов ПДн
- 🔴 Организация/ИП подала уведомление в РКН и внесена в реестр операторов ПДн
- 🟡 Уведомление актуально (соответствует текущим целям и системам обработки)
- 🟡 Если изменились данные оператора — уведомление обновлено в течение 10 рабочих дней
Блок 3. Формы и согласия
- 🔴 Каждая форма сбора данных содержит чекбокс согласия на обработку ПДн
- 🔴 Чекбокс не предотмечен (pre-checked) — пользователь ставит галочку сам
- 🔴 Текст согласия содержит: цель, перечень данных, наименование оператора, срок, способ отзыва
- 🔴 Кнопка отправки неактивна без отметки чекбокса
- 🟡 Маркетинговые рассылки — отдельное согласие, отличное от базового
- 🟡 Предусмотрен механизм отзыва согласия (email или форма)
- 🟢 Факт получения согласия фиксируется с датой, временем, IP и версией текста
Блок 4. Cookie и трекеры
- 🔴 На сайте есть cookie-баннер с возможностью принять/отклонить аналитические cookie
- 🔴 Аналитические скрипты не загружаются до получения согласия
- 🔴 Есть кнопка «Отклонить» или «Только необходимые» — равноценная кнопке «Принять»
- 🟡 Выбор пользователя по cookie запоминается и не сбрасывается при следующем визите
- 🟡 Есть возможность изменить настройки cookie в любой момент (кнопка в footer)
- 🟢 Аудит cookie: составлен актуальный перечень всех cookie с описанием и сроком хранения
Блок 5. Трансграничная передача данных
- 🔴 Все зарубежные сервисы перечислены в политике конфиденциальности
- 🔴 Для передачи в страны без «адекватной защиты» подано уведомление в РКН
- 🟡 Заключены соглашения об обработке данных (DPA) с зарубежными подрядчиками
- 🟡 Первичная база данных граждан РФ хранится на серверах в России
Блок 6. Технические меры защиты
- 🔴 Сайт работает по HTTPS (SSL/TLS-сертификат актуален)
- 🟡 Доступ к admin-панели ограничен (не доступна без авторизации)
- 🟡 Регулярное резервное копирование баз данных
- 🟡 Парольная политика для административных аккаунтов
- 🟢 Логирование доступа к базам данных с ПДн
- 🟢 Процедура уведомления РКН об инцидентах с ПДн (в течение 24 часов)
Итоговая оценка
Если все 🔴 пункты выполнены — критичных нарушений нет. Если более 3 🟡 не выполнены — высокий риск штрафов при проверке. SitePravo автоматически проверяет большинство пунктов этого чеклиста и формирует отчёт с конкретными рекомендациями.
Частые вопросы
Как часто нужно проверять сайт на соответствие ФЗ-152?
Рекомендуется делать полную проверку при любом существенном изменении сайта (новые формы, интеграции, редизайн) и плановую проверку раз в квартал. SitePravo позволяет запускать автоматический аудит в любое время.
Кто несёт ответственность — разработчик или владелец сайта?
Юридическую ответственность несёт оператор персональных данных — то есть организация или ИП, которые являются владельцем сайта. Разработчик может нести ответственность только если это предусмотрено договором.