Короткий ответ
Проверка сайта по 152-ФЗ начинается не с текста политики, а с пользовательского пути: где человек оставляет данные, где сайт ставит cookie, куда уходит заявка, какие сервисы получают доступ и какие документы видит пользователь до действия.
Если на сайте есть формы, регистрация, checkout, чат, Метрика, Google Analytics, рекламные пиксели, call tracking, CRM или рассылка, нужно проверить:
политику обработки персональных данных;
согласия рядом с формами;
cookie policy и баннер;
Метрику, GA, пиксели и события;
CRM и подрядчиков;
уведомление Роскомнадзора;
трансграничную передачу;
связь документов с интерфейсом.Эта статья — чеклист аудита. Если нужно написать конкретный документ, переходите в узкие статьи: политика ПДн, согласие, cookie policy, уведомление РКН.
Проверка сайта за 30 минут
Шаг 1. Найдите все точки сбора данных
Откройте сайт как пользователь и найдите:
форму заявки;
callback;
квиз;
регистрацию;
login;
checkout;
подписку;
чат;
форму поддержки;
загрузку файла;
личный кабинет;
страницу удаления аккаунта;
cookie-баннер;
страницу “спасибо”.Для каждой точки запишите поля: имя, телефон, email, комментарий, адрес, файл, заказ, данные аккаунта, платежный идентификатор.
Шаг 2. Проверьте согласие рядом с каждой формой
Что проверить:
□ текст виден до отправки;
□ цель понятна;
□ ссылка на политику открывается;
□ рекламная рассылка отделена;
□ текст не спрятан в футер;
□ мобильная версия показывает текст;
□ версия согласия хранится.Если форма есть, а согласия рядом нет, это первая правка.
Шаг 3. Откройте политику ПДн
Политика должна совпадать с сайтом.
Проверьте:
□ указан реальный оператор;
□ указаны цели обработки;
□ описаны категории данных;
□ описаны формы;
□ учтены CRM, email, хостинг, платежи, доставка, аналитика;
□ описаны сроки хранения или критерии;
□ есть права пользователя;
□ есть email для обращений;
□ есть дата версии.Шаг 4. Проверьте cookie и аналитику
Проверьте, стоят ли:
Яндекс Метрика;
Google Analytics;
Google Tag Manager;
Яндекс Тег Менеджер;
VK Pixel;
рекламные пиксели;
чаты;
call tracking;
captcha;
карты;
видео;
A/B-тесты;
сквозная аналитика.Если стоит хотя бы один такой сервис, документы должны отражать cookie, трекеры и цели аналитики.
Шаг 5. Проверьте путь заявки после отправки
Форма — только начало. После отправки заявка может уйти в:
email;
CRM;
Telegram;
таблицу;
чат;
коллтрекинг;
рассылку;
рекламный кабинет;
подрядчику;
партнеру.Если в политике написано “не передаем третьим лицам”, а данные уходят в сервисы или подрядчикам, документ нужно переписать.
Шаг 6. Проверьте уведомление РКН
Публикация политики ПДн не заменяет уведомление РКН. Если сайт обрабатывает ПДн через формы, аккаунты, заказы, CRM или аналитику, обязанность уведомления нужно проверить отдельно.
Проверьте:
□ подано ли уведомление;
□ совпадают ли цели с реальным сайтом;
□ указаны ли посетители сайта;
□ отражены ли метрические программы;
□ указана ли база данных в РФ;
□ есть ли трансграничная передача;
□ нужно ли уведомление об изменении сведений.Большая таблица аудита
| Что проверить | Где смотреть | Частая ошибка | Куда идти глубже |
|---|---|---|---|
| Форма заявки | Страница услуги, лендинг, попап | Нет согласия рядом с кнопкой | Статья про согласие |
| Политика ПДн | Футер, форма, checkout | Документ не описывает реальные сервисы | Статья про политику ПДн |
| Cookie | Баннер, DevTools, политика | Метрика стоит, но не описана | Статья про cookie policy |
| Метрика и GA | Код сайта, теги, кабинеты | В события уходят email и телефон | Статья про аналитику |
| CRM | Интеграции формы | В политике написано “не передаем” | Статья про политику ПДн |
| Рассылка | Форма подписки, checkout | Рекламное согласие смешано с заявкой | Статья про согласие |
| РКН | Реестр, внутренние документы | Уведомление не подано или устарело | Статья про уведомление РКН |
| Трансграничная передача | Иностранные сервисы | GA, email или CRM не проверены | Статья про аналитику |
| Checkout | Корзина, оплата | Оферта и возврат не видны до оплаты | Статьи про оферту и возвраты |
| Мобильная версия | Телефон | Legal-ссылки скрыты | Чеклист сайта |
Красные флаги
Если видите такие формулировки или ситуации, страницу нужно проверять глубже:
“нажимая кнопку, вы соглашаетесь со всем”;
“мы не передаем данные третьим лицам” при наличии CRM/платежей/аналитики;
“cookie используются только для удобства” при наличии пикселей;
“возврат невозможен”;
“сайт не является офертой” при наличии цены и оплаты;
политика без даты версии;
нет email для обращений по ПДн;
форма есть, согласия рядом нет;
Метрика включена, Вебвизор пишет поля;
страница “спасибо” содержит email или телефон в URL;
рекламная рассылка включается автоматически.Как проверять Метрику и Вебвизор
Проверьте:
□ установлен ли счетчик;
□ кто владелец счетчика;
□ включен ли Вебвизор;
□ маскируются ли поля форм;
□ какие цели настроены;
□ передаются ли параметры посетителей;
□ есть ли ecommerce;
□ связана ли Метрика с рекламой;
□ описана ли Метрика в cookie policy и политике ПДн.Особенно проверить, не записываются ли:
телефон;
email;
адрес;
комментарий;
данные заказа;
данные карты;
данные личного кабинета.Как проверять Google Analytics и иностранные сервисы
Проверьте:
□ используется ли GA;
□ не передается ли PII через URL, title, события, User-ID, параметры кампаний;
□ есть ли Google Ads или advertising features;
□ описан ли GA в документах;
□ проверена ли трансграничная передача;
□ есть ли локализация данных граждан РФ, если применимо.Не нужно писать “Google Analytics всегда запрещен”. Нужно проверить фактическую передачу данных и юридическую основу.
Как проверить сайт перед рекламой
Перед запуском трафика проверьте:
□ объявление совпадает с посадочной страницей;
□ цена и условия не расходятся;
□ форма работает;
□ согласие рядом с формой есть;
□ политика открывается;
□ cookie и пиксели описаны;
□ цели не передают ПДн;
□ контакты и реквизиты видны;
□ оферта есть до оплаты;
□ возвраты описаны;
□ рекламная рассылка не включена автоматически.Что исправлять первым
Приоритет такой:
1. Формы без согласия.
2. Политика, которая не описывает реальные поля и сервисы.
3. Метрика/Вебвизор, которые записывают поля.
4. Передача email/телефона в URL или аналитику.
5. Рекламная рассылка без отдельного согласия.
6. Не проверенное уведомление РКН.
7. Оферта и возвраты, если есть оплата.
8. Служебные legal-ссылки, скрытые на мобильной версии.Чеклист итоговой проверки
□ Все формы найдены.
□ Согласия стоят рядом с формами.
□ Политика ПДн совпадает с формами.
□ Cookie policy совпадает со скриптами.
□ Метрика и Вебвизор настроены безопасно.
□ GA и иностранные сервисы проверены.
□ URL и события не содержат ПДн.
□ CRM и подрядчики отражены.
□ Рекламное согласие отделено.
□ Уведомление РКН проверено.
□ Трансграничная передача проверена.
□ Оферта и возвраты видны до оплаты.
□ Все ссылки работают на мобильном.
□ Документы имеют даты версий.Как зафиксировать результат проверки
После аудита полезно сохранить короткую таблицу: URL страницы, какая форма или скрипт проверены, какой документ рядом стоит, что исправлено и когда обновлена версия. Это не заменяет юридические документы, но помогает не потерять изменения после редизайна, подключения CRM, новой рекламной кампании или замены счетчика. Для сайта с несколькими лендингами такую таблицу лучше вести по шаблону: страница, форма, цель обработки, согласие, политика, cookie/аналитика, РКН, статус правки.
Если в ходе проверки найден риск, не нужно переписывать весь сайт сразу. Сначала исправляют точки, где пользователь прямо передает данные или платит: формы, checkout, cookie-баннер, страницу “спасибо”, письма после заказа и видимые ссылки на документы.
На что опирается этот материал
- 152-ФЗ, общий текст
- Статья 9 152-ФЗ о согласии
- Статья 18.1 152-ФЗ о политике оператора
- Статья 22 152-ФЗ об уведомлении РКН
- РКН — электронные формы уведомлений
- Яндекс Метрика о cookie и localStorage
- Google Analytics о запрете передачи PII
Что делать дальше
Если аудит показал проблемы, не переписывайте все документы одновременно. Сначала исправьте интерфейсные разрывы: согласие у форм, ссылки на политику, cookie-баннер, Метрику, URL страницы “спасибо” и CRM. Потом обновите политику cookie, политику ПДн и тексты согласий рядом с формами, а измененные страницы отправьте на переобход.
