Аудит сайта на соответствие ФЗ-152: что проверяет Роскомнадзор

Сайт — самая «видимая» часть обработки персональных данных. Даже если у вас идеальные договоры и регламенты, одна форма заявки без корректного согласия или политика «из интернета» — и вы в зоне риска. Роскомнадзор при проверке часто начинает именно с сайта: что вы собираете, как получаете согласие, куда уходят данные и как информируете пользователя.

✅ Хотите понять, что у вас не так на сайте и закрыть риски до проверки?

Провести аудит сайта на соответствие требованиям Роскомнадзора

На что Роскомнадзор смотрит в первую очередь

Юридическая логика простая: если на сайте есть формы, CRM, аналитика и рассылки — вы оператор персональных данных, обязаны обеспечить выполнение требований ФЗ-152 и подтвердить это документами и фактическими настройками. Ключевой «документальный фундамент» обязанностей оператора — ст. 18.1 ФЗ-152.

А дальше начинается практика: инспектор/проверяющий (или «сначала жалоба — потом запрос») обычно оценивает 5 зон.

1) Формы на сайте: заявки, обратная связь, подписки 📩

Что проверяют

• Какие поля собираете (ФИО/телефон/e-mail и т.д.) — «минимизация» данных под цель.
• Есть ли чекбокс согласия (не предустановлен) и ссылка на политику.
• Разделено ли согласие на заявку и маркетинг (если есть рассылки).
• Не спрятано ли согласие в тексте «нажимая кнопку…» без явного действия.

Типовые ошибки

• галочка стоит по умолчанию;
• одна галочка «на всё» (заявка + рассылки + передача третьим лицам);
• собираете лишнее (паспорт/дата рождения без необходимости);
• форма есть, но политика и согласие «не совпадают» с реальностью (CRM/подрядчики).

2) Политика обработки персональных данных 🌐

Что проверяют

• Политика в открытом доступе и легко находится (в подвале/меню).
• В политике есть: оператор, цели, категории данных, права субъектов, порядок обращений, сроки хранения/удаления, контакты.
• Политика соответствует фактической обработке на сайте (формы, CRM, аналитика, подрядчики).

Роскомнадзор публикует рекомендации по структуре политики — это хороший ориентир при аудите.

3) Cookies, Метрика, пиксели: что собирается «в фоне» 🍪

Сайт часто собирает не только «телефон в форме», но и онлайн-идентификаторы: cookies, IP, параметры устройства, события поведения. На практике проверяют:

• есть ли уведомление/баннер cookies;
• есть ли выбор (принять / отказаться / настроить категории);
• отражено ли это в политике;
• не происходит ли «маркетинговый трекинг» без явного согласия.

Риски здесь чаще не «за cookie как таковой», а за непрозрачность целей и некорректное основание обработки.

4) Куда уходят данные: CRM, почта, мессенджеры, подрядчики 🔁

Что проверяют

• Уходят ли заявки в CRM (Битрикс24, amoCRM), на почту, в Telegram/WhatsApp, в таблицы.
• Кто имеет доступ (менеджеры, подрядчики, интеграторы).
• Есть ли договорные условия с обработчиками (обработка по поручению, меры защиты, ответственность).

Частая ситуация: на сайте всё «красиво», а заявки автоматически дублируются в мессенджер без описания в политике и без договоров с подрядчиками — и это становится вопросом при проверке.

5) «Витрина» соответствия: уведомление в Роскомнадзор и актуальность сведений 🧾

Если вы оператор, то в большинстве случаев уведомление нужно (исключений немного). При аудите сайта всегда проверяют связку:

• есть ли организация/ИП в реестре операторов;
• совпадают ли цели и процессы с тем, что написано в уведомлении;
• актуальны ли сведения.

За неподачу/несвоевременную подачу уведомления есть отдельная ответственность по ст. 13.11 КоАП РФ (вилка штрафов зависит от статуса лица).

📌 Если у вас нет уведомления или вы не уверены, что оно заполнено корректно:

Рассчитать стоимость регистрации в Роскомнадзоре

Как проходит аудит сайта: коротко по шагам ✅

1. Карта сбора данных: формы, виджеты, аналитика, личный кабинет, чат, подписка.
2. Проверка согласий: чекбоксы, тексты, разделение целей, логика отказа.
3. Проверка политики: обязательные разделы + соответствие факту.
4. Проверка передачи: CRM/почта/мессенджеры/подрядчики.
5. Сверка с документами: политики, согласия, договоры, регламенты.
6. Рекомендации: что поправить в первую очередь (быстрые риски) и что закрыть системно.

📄 Если нужно “под ключ” привести документы под ваш сайт и процессы:

Заказать разработку индивидуального пакета документов по 152-ФЗ

Чек-лист «сайт готов к проверке» ✅

• Все формы имеют чекбокс согласия (без предустановки) + ссылка на политику.
• Согласия разделены: заявка ≠ маркетинг ≠ cookies (если применимо).
• Политика ПД содержит обязательные разделы и соответствует факту.
• Есть корректная логика cookies/метрики и отражение в политике.
• Понятно, куда уходят заявки (CRM/почта/мессенджеры), и это описано документально.
• Оператор уведомил Роскомнадзор (если обязан) и сведения актуальны.

🎁 Скачать чек-лист «Требования Роскомнадзора к операторам ПД в 2026»

Что делать бизнесу прямо сейчас

1. Пройдитесь по сайту глазами проверяющего: формы, политика, cookies, куда уходят данные.
2. Исправьте «быстрые риски»: чекбоксы, тексты согласий, размещение политики.
3. Сверьте сайт с документами и уведомлением в Роскомнадзор.
4. Если хотите без переделок и авралов — сделайте аудит и получите план исправлений.

✅ Провести аудит сайта и подготовиться к проверке Роскомнадзора

Анна Чудинова Руководитель отдела по работе с клиентами