Роскомнадзор не предупреждает заранее. Проверка может начаться после жалобы одного пользователя — и если на сайте не окажется нужных документов или форма собирает данные без чек-бокса, штраф придёт быстро.
Большинство владельцев сайтов узнают о проблемах только после того, как они становятся проблемами. Аудит позволяет найти нарушения раньше проверяющих.
Ниже — пошаговый разбор того, что и как проверять, чтобы привести сайт в порядок по требованиям 152-ФЗ.
Зачем проводить аудит обработки персональных данных
Любой сайт с формой обратной связи, регистрацией или подпиской — оператор персональных данных. Это статус, который возникает автоматически, как только на сайте появляется хотя бы одно поле, куда пользователь вводит своё имя или email.
Статус оператора означает обязанности: вести обработку персональных данных по закону, публиковать политику конфиденциальности, получать согласие пользователей, уведомлять регулятора при определённых условиях. Аудит — это способ убедиться, что все эти обязанности выполнены.
Проверять стоит не только перед ожидаемой проверкой. Сайт меняется: появляются новые формы, подключаются аналитические сервисы, обновляется CRM. Каждое такое изменение может создать новое нарушение, о котором владелец даже не догадывается.
Риски несоблюдения требований 152-ФЗ
Нарушения выявляются двумя путями: в ходе плановых проверок Роскомнадзора и после жалоб пользователей. Второй вариант встречается чаще. Один недовольный клиент, который увидел форму без чек-бокса, может запустить проверку всего сайта.
Обновлённые штрафы Роскомнадзора за нарушения в 2026 году
С 2024 года санкции за нарушения в сфере персональных данных существенно выросли. Подробнее об ответственности и штрафах за нарушение можно прочитать в отдельном материале, здесь — основные цифры.
| Нарушение | Штраф |
|---|---|
| Обработка данных без согласия пользователя | 300 000 — 700 000 ₽ |
| Повторное нарушение | до 1 500 000 ₽ |
| Отсутствие политики конфиденциальности | до 60 000 ₽ |
| Нарушения при трансграничной передаче данных | 100 000 — 300 000 ₽ |
Экспресс-диагностика: онлайн-проверка сайта через Saitscan.ru
Ручная проверка требует времени и знания того, что именно искать. Автоматизированный аудит позволяет быстро получить общую картину — особенно полезно, если сайт большой или на нём много страниц с формами.
Сервис проверки защиты и обработки персональных данных сканирует сайт и находит типичные нарушения: отсутствующие документы, формы без согласия, небезопасное соединение.
Как работает сервис автоматизированного аудита
Введите адрес сайта
Достаточно указать URL главной страницы. Сервис самостоятельно обходит доступные разделы и собирает данные для анализа.
Сервис проверяет ключевые параметры
Наличие политики конфиденциальности, ссылки в футере, формы с полями для ввода данных, протокол соединения и другие признаки соответствия требованиям.
Результат — список замечаний
Каждое нарушение описывается с указанием страницы и пояснением, что именно не соответствует требованиям. Это готовое задание для исправления.
Интерпретация результатов: поиск скрытых форм и уязвимостей
Автоматический аудит находит очевидные проблемы. Но некоторые вещи требуют ручной проверки: например, всплывающие формы, которые появляются только при определённом поведении пользователя, или формы, встроенные через сторонние виджеты.
Если сервис не нашёл нарушений — это хороший знак, но не повод останавливаться. Стоит дополнить автоматическую проверку ручной ревизией по чек-листу ниже.
Этапы внутренней проверки порядка работы с персональными данными
Внутренний аудит удобно разбить на три блока: формы и согласия, документы, внешние сервисы. Проверять лучше последовательно — так проще не пропустить детали.
Ревизия форм обратной связи и чек-боксов согласия
Начать стоит с инвентаризации форм. Нужно пройти по всему сайту и найти все места, где пользователь может ввести личные данные: форма заявки, контакты, регистрация, корзина, подписка, чат.
Нет чек-бокса рядом с формой
Пользователь вводит данные и нажимает «Отправить», не давая никакого согласия. Это нарушение 152-ФЗ вне зависимости от того, что написано в политике конфиденциальности.
Чек-бокс уже отмечен по умолчанию
Предустановленная галочка не считается добровольным согласием. Пользователь должен поставить её сам — осознанно.
Текст согласия без ссылки на политику
«Даю согласие на обработку персональных данных» — фраза без кликабельной ссылки. Пользователь не может прочитать, с чем именно соглашается.
Форму можно отправить без галочки
Кнопка «Отправить» активна даже без отметки о согласии. Технически пользователь может обойти требование — и это означает, что согласие не получено.
Подробнее о том, что должно быть в тексте под формой и как правильно оформить согласие на обработку персональных данных для форм на сайте, разобрано в отдельном материале.
Соответствие текста политики конфиденциальности реальным процессам
Частая ситуация: политика есть, но написана три года назад по шаблону. С тех пор сайт подключил новую CRM, добавил виджет обратного звонка, начал передавать данные в сервис email-рассылки. Ни одного из этих изменений в политике нет.
При проверке нужно сравнить текст документа с тем, что реально происходит с данными пользователей. Несоответствие — такое же нарушение, как отсутствие документа.
Проверочные вопросы: совпадают ли цели обработки с реальными? Указаны ли все третьи лица, которым передаются данные? Актуальны ли сроки хранения? Соответствует ли оператор — тот, кто указан в политике, — тому, кто реально владеет сайтом?
Анализ использования файлов cookie и метрических систем
Google Analytics, Яндекс.Метрика, пиксели социальных сетей — все эти инструменты устанавливают cookie и собирают данные о поведении пользователей. Это тоже обработка персональных данных.
О том, как законно использовать аналитические файлы cookie, нужно позаботиться отдельно: разместить уведомление, получить согласие на аналитику, отразить использование сервисов в политике конфиденциальности.
При аудите стоит проверить: есть ли на сайте баннер с запросом согласия на cookie? Корректно ли описаны все используемые сервисы в политике? Есть ли возможность отказаться от необязательных cookie?
Обязательные документы для размещения в открытом доступе
Закон требует, чтобы документы об обработке персональных данных были доступны любому посетителю сайта — без регистрации и без лишних кликов.
Согласие на обработку персональных данных: требования к структуре и содержанию
Полноценное согласие — не просто галочка. Это юридически значимое действие, которое должно быть информированным. Пользователь должен понимать, кто собирает его данные, зачем, какие именно и что с ними будет происходить.
Кто собирает данные
Название организации или ФИО индивидуального предпринимателя — оператора персональных данных.
Какие данные собираются
Конкретный перечень: имя, телефон, email, адрес — только те поля, которые реально есть в форме.
Цель обработки
Зачем нужны данные: для ответа на заявку, оформления заказа, отправки рассылки. Размытые формулировки («в маркетинговых целях») создают риски.
Срок и порядок отзыва
До какого момента хранятся данные и как пользователь может отозвать согласие — конкретный способ, не просто «по запросу».
Актуальность уведомления об обработке персональных данных для регулятора
Операторы персональных данных обязаны уведомить Роскомнадзор о начале обработки. Исключения есть, но они касаются узкого круга случаев — например, обработки данных исключительно сотрудников организации.
При аудите нужно проверить: подано ли уведомление, актуальны ли в нём сведения (адрес, виды данных, цели обработки, используемые системы). Если сайт сменил владельца или CRM — уведомление нужно обновить.
Реестр операторов ведётся Роскомнадзором в открытом доступе. Проверить, есть ли организация в реестре, можно на сайте регулятора.
Техническая и организационная защита данных
Документы — это половина аудита. Вторая половина — технические условия, при которых данные передаются и хранятся безопасно.
Безопасность передачи данных через протокол HTTPS
Форма обратной связи на сайте без HTTPS передаёт данные в открытом виде. Любой, кто находится в той же сети, теоретически может их перехватить. Это нарушение требований к защите персональных данных.
SSL-сертификат обеспечивает шифрование соединения. Его наличие проверяется просто: адрес сайта должен начинаться с https://, а браузер — не показывать предупреждение о небезопасном соединении.
Отдельно стоит проверить отсутствие mixed content — ситуации, когда основная страница загружается по HTTPS, но часть ресурсов (изображения, скрипты) подключается по HTTP. Это снижает уровень защиты даже при наличии сертификата.
Локализация баз данных на территории РФ
152-ФЗ требует, чтобы первичная запись персональных данных российских граждан происходила в базах данных на территории России. Это правило распространяется и на зарубежные CRM, облачные сервисы и email-платформы.
На практике: если сайт передаёт данные из форм напрямую в иностранный сервис — например, в американскую CRM — без предварительной записи в российскую базу, это нарушение. Нужно либо найти российский аналог, либо настроить дублирование записей.
При аудите стоит составить список всех внешних сервисов, которые получают данные пользователей, и для каждого уточнить: где физически хранятся данные и есть ли серверы в России.
Регулярный контроль и предотвращение инцидентов
Разовый аудит решает текущие проблемы. Но сайт не стоит на месте — добавляются страницы, меняются подрядчики, обновляется функциональность. Регулярная проверка не даёт накапливаться новым нарушениям.
Составление графика периодических проверок
Оптимальная частота зависит от интенсивности изменений на сайте. Если сайт обновляется редко — достаточно проверки раз в полгода. Если регулярно появляются новые разделы, формы, подключаются сервисы — лучше проверять ежеквартально.
Помимо плановых проверок, аудит стоит проводить при любом значимом изменении: переезде сайта на новый хостинг, смене CMS, подключении нового сервиса рассылки, добавлении формы на посадочную страницу.
Удобно вести простой список: что проверялось, когда, какие нарушения нашли, когда исправили. Это помогает и при внутреннем контроле, и при возможной проверке Роскомнадзора — как свидетельство того, что оператор добросовестно следит за соответствием требованиям.
Обучение сотрудников работе с персональной информацией
Технические настройки и документы не защищают от человеческого фактора. Менеджер, который пересылает базу клиентов через личную почту, или разработчик, выгружающий данные на публичный Google Диск для тестирования, — типичные источники утечек.
Минимальные организационные меры: сотрудники, которые работают с персональными данными, должны знать, что нельзя передавать их по незащищённым каналам, хранить на личных устройствах и использовать в целях, не предусмотренных политикой.
Отдельного регламента не требуется — достаточно краткой инструкции и понимания базовых правил. Но наличие такого документа тоже будет плюсом при проверке.
Чек-лист для самопроверки
Краткий список того, что должно быть в порядке. Если хотя бы один пункт не выполнен — это зона риска.
- Политика конфиденциальности опубликована на отдельной странице сайта
- Ссылка на политику есть в футере — видна на каждой странице
- Под каждой формой сбора данных стоит незаполненный чек-бокс с согласием
- Рядом с чек-боксом — кликабельная ссылка на политику
- Форму нельзя отправить без отметки в чек-боксе
- Текст политики соответствует тому, что реально происходит с данными
- Все внешние сервисы, получающие данные, указаны в политике
- Сайт работает по HTTPS, нет смешанного контента (mixed content)
- Первичная запись данных происходит в базах на территории РФ
- Уведомление об обработке ПД подано в Роскомнадзор и актуально
- Есть уведомление о cookie с возможностью отказа
- Сотрудники, работающие с данными, знают базовые правила обращения с ними
Если статус сайта вызывает сомнения, стоит начать с автоматической проверки — она быстро покажет очевидные проблемы. Затем пройтись по чек-листу вручную: именно в деталях чаще всего обнаруживаются нарушения, которые автоматика не видит. Подробнее о том, как правильно разместить политику конфиденциальности на сайте, чтобы она была доступна и юридически корректна, — в отдельном материале.
Частые вопросы
Нужен ли аудит, если сайт маленький и заявок мало?
Как часто нужно обновлять политику конфиденциальности?
Что будет, если Роскомнадзор найдёт нарушения при проверке?
Можно ли использовать один шаблон политики для разных сайтов?
Нужно ли подавать уведомление в Роскомнадзор, если сайт только запустился?
Главное
Аудит обработки персональных данных — не разовая задача, а часть обычной работы с сайтом. Документы устаревают, появляются новые формы, подключаются внешние сервисы. Каждое изменение может создать новое нарушение.
Начать проверку проще всего с автоматического сканирования — оно быстро покажет самые очевидные проблемы. Затем стоит пройтись по сайту вручную: посмотреть на все формы, сверить политику с реальностью, проверить техническую часть.
Большинство нарушений несложно исправить — добавить чек-бокс, обновить текст политики, подключить SSL. Трудность обычно не в исправлении, а в том, чтобы вовремя заметить проблему.