Дисклеймер: материал информационный и не заменяет индивидуальную юридическую консультацию.
Запустите проверку и получите конкретные замечания по страницам и формам: проверить сайт бесплатно.
1) Когда нужно уведомлять Роскомнадзор
Практическое правило: в большинстве сценариев уведомление требуется.
Исключения из обязанности прямо перечислены в ч. 2 ст. 22 152‑ФЗ и на практике встречаются реже.
Если у вас обычный сайт с формами, аналитикой, CRM, рассылкой, рекламными интеграциями, личным кабинетом или заявками — обычно безопасно исходить из того, что уведомление нужно.
2) Политика и согласия: без формальностей
На сайте должны быть:
- актуальная политика конфиденциальности;
- корректные тексты согласия в формах;
- раздельные согласия там, где цели разные (например, обработка заявки и маркетинговая рассылка).
Политика должна совпадать с реальными процессами: если вы добавили новый сервис или новый сценарий сбора данных, документ нужно обновить.
3) Cookie-баннер: ключевой юридический минимум
Cookie-баннер — это не только UX-элемент.
Если маркетинговые/аналитические скрипты грузятся до согласия пользователя, это уже нарушение, а не «просто плохая практика».
Минимально:
- показать баннер до включения необязательных трекеров;
- дать выбор;
- не загружать маркетинговые/аналитические скрипты до согласия.
Быстрая проверка: инструмент cookie‑баннера.
4) Поручение обработки (ст. 6 152‑ФЗ)
Если данные передаются сторонним сервисам (CRM, email‑платформа, облако, коллтрекинг, чат, helpdesk), обычно требуется договорное оформление поручения обработки.
Без такого оформления передача третьим лицам может быть квалифицирована как незаконная.
Что проверить:
- список всех внешних обработчиков;
- правовое основание передачи;
- наличие и актуальность договоров/приложений.
5) Сроки ответа субъектам ПД
Внутри процесса должны быть зафиксированы сроки:
- до 30 дней на ответ субъекту (ст. 20 152‑ФЗ);
- до 10 рабочих дней на блокирование/удаление в предусмотренных случаях (ст. 21 152‑ФЗ).
Если нет регламента и ответственных, риски растут даже при «хороших документах».
6) Реакция на утечки: 24 часа и 72 часа
При инциденте с ПД действует обязанность:
- уведомить РКН в течение 24 часов;
- направить результаты внутреннего расследования в течение 72 часов.
Нужен заранее подготовленный план: кто фиксирует инцидент, кто уведомляет, кто ведет расследование и как документируются действия.
7) Локализация данных (ст. 18.1 152‑ФЗ)
Для ПД граждан РФ нужно учитывать требование локализации:
первичная запись, систематизация, накопление, хранение и уточнение должны происходить с использованием баз данных на территории РФ.
Это нужно проверять не только у себя, но и по цепочке подрядчиков.
8) Минимальный чек‑лист для владельца сайта
- Проверено уведомление в РКН (и документально зафиксирована позиция).
- Политика и согласия актуальны под реальные процессы.
- Cookie/трекинг настроены до/после согласия корректно.
- Оформлено поручение обработки со всеми внешними сервисами.
- Есть SLA на ответы субъектам (30 дней и 10 рабочих дней).
- Есть план реагирования на утечки (24/72).
- Проверена локализация данных граждан РФ.
Получите отчет с приоритетами и планом внедрения: запустить бесплатную проверку.
Дайджест: обновления 152-ФЗ
Раз в месяц присылаем короткие изменения и практические советы по сайтам и обработке ПДн.