Персональные данные на сайте: полный чек-лист того, что от вас требует закон

Клепая очередной свой сайт мне в голову пришла мысль - а соответствует ли он требованиям Роскомнадзора? Прочитал закон, вник и решил проанализировать несколько десятков сайтов малого бизнеса на соответствие 152-ФЗ. У каждого нашел минимум 3 нарушения на мой взгляд. Причём владельцы были уверены, что у них всё в порядке - «мы же политику конфиденциальности поставили». Спойлер: одной политики недостаточно.

Собрал всё, что можно самому сделать на сайте, в один список. Постарался обойтись без юридического жаргона.

Если на сайте есть хотя бы одно из этого - да, собираете:

Я не встречал ни одного коммерческого сайта, который бы ничего из этого не имел. Сайт-визитка на одну страницу с формой «Перезвоните мне» - уже оператор персональных данных.

Это первое, о чём все вспоминают. И первое, что делают неправильно. Шаблон из интернета образца 2018 года не подойдёт. Нужен документ с обязательными разделами по ст. 18.1 закона 152-ФЗ:

Политика должна быть доступна с любой страницы сайта. Обычно ставят ссылку в подвале. Если ссылки нет или она ведёт на 404 - это нарушение.

Каждая форма, которая собирает данные, должна содержать чекбокс. Не предзаполненный, а пустой. Рядом - текст вроде «Я даю согласие на обработку персональных данных в соответствии с [Политикой конфиденциальности]», где в скобках - кликабельная ссылка на политику.

Без чекбокса - нарушение. С предзаполненным чекбоксом - тоже нарушение. Без ссылки на политику - тоже.

Проверьте все формы: обратную связь, регистрацию, подписку, заказ, квиз. Часто бывает, что на главной форме чекбокс есть, а на странице «Контакты» забыли.

Кто обрабатывает данные? Название организации или ФИО ИП, ИНН, адрес, контакты ответственного. Это можно включить в политику конфиденциальности или вынести отдельно. Главное - чтобы было. На большинстве сайтов - нет.

Яндекс.Метрика, Google Analytics, пиксели ВК - всё это ставит cookie. Если хоть что-то из этого есть, нужен баннер. Казалось бы, мелочь, но формально без него - нарушение.

Если на сайте есть регистрация, покупки, заявки - нужно пользовательское соглашение. А ещё вы обязаны уведомить Роскомнадзор о том, что обрабатываете ПДн (ст. 22 152-ФЗ, форма на pd.rkn.gov.ru). Есть исключения для данных сотрудников по трудовому договору, но клиенты с сайта - не исключение.

Штраф за неуведомление: 3-5 тысяч для ИП, 30-50 тысяч для юрлиц. Не гигантский, но зачем?

Вот что упускают владельцы сайтов чаще всего.

Политика скопирована с чужого сайта. Включая чужое название компании в тексте. Серьёзно, я видел сайт автосервиса в Новосибирске с политикой от юридической фирмы из Москвы. Просто скопировали и не перечитали.

Чекбокс стоит только на одной форме. На главной поставили, а на лендинге с акцией забыли. Или на странице «Контакты». Или в поп-апе с подпиской.

Политика есть, но ссылка битая. Поменяли CMS, перенесли сайт, /privacy-policy теперь отдаёт 404. И никто не заметил, потому что никто не кликает по ссылке в подвале. Кроме инспектора РКН.

Нет баннера о куках. Метрика стоит, аналитика стоит, а баннера нет. «Это же все ставят, и ничего» - до первой проверки.

Оператор не указан. В политике написано «Компания», но не написано какая. Без ИНН, без адреса, без ответственного.

Вручную пройтись по всем пунктам можно, но муторно: нужно открыть каждую форму, проверить каждый чекбокс, прочитать политику целиком, убедиться, что все разделы на месте.

Мы сделали «Проверито» - сервис, который делает это автоматически. Указываете адрес сайта, система открывает его в реальном браузере, проходит по страницам и проверяет все пункты из этого чек-листа. Через 5-15 минут - PDF с оценкой по каждому критерию и конкретными рекомендациями.

Стоит от 299 рублей. Штраф - от 30 тысяч.

Проверить свой сайт: proverito.ru

Важно помнить - сервис не юридическое агенство, и никак на это звание не претендует. Он лишь выполняет технический анализ вашего сайта.