Проверка веб-сайта на соответствие ФЗ № 152: пошаговый аудит для SEO-специалистов и хозяев ресурсов

Почти все веб-сайты за крайнее время получили «письма счастья» от Роскомнадзора с списком выявленных нарушений, также предписаниями о их исправлении. По всей видимости, РКН массово инспектирует веб-сайты, используя автоматический мониторинг: наличие чек-боксов, ссылок на Политику, активные клавиши, наличие в реестре и пр.

При выявлении нарушений надзорный орган направляет извещение. На устранение нарушений инсталлируются относительно недлинные сроки – обычно около 10 рабочих дней с момента получения предписания.

Практика указывает, что уложиться в таковой маленький срок очень трудно, в особенности если строительные нарушения значительны. Я не буду повторять виды и размеры санкций за нарушения, – о этом вы сможете прочитать в моей предшествующей статье, – а расскажу, как SEO-специалисту без помощи других выявить трудности и поправить их, чтоб избежать штрафа.

Чтоб не ожидать письма от РКН, вы сможете без помощи других проверить соответствие вашего веб-сайта главным требованиям закона. В серии статей я расскажу, как это создать, а в конце вы можете собрать себе чек-лист проверки веб-сайта.

Шаг 1. Аудит форм сбора данных

Одним из пт проверки РКН является проверка форм сбора данных на веб-сайте. К ним относятся:

• окно регистрации на веб-сайте;

• форма оборотной связи;

• форма заказа звонка;

• форма оплаты на веб-сайте.

Это самые всераспространенные формы, но у вас могут быть и остальные. Проверьте, где и как вы собираете данные о юзерах веб-сайта. Для вас удалось отыскать такую форму? Замечательно! Давайте разберем ее подробнее.

Обычно таковая форма представляет собой отдельное окно либо «всплывающее окно» (pop-u окно) с предложением к юзеру ввести свои индивидуальные данные: имя, номер телефона, адресок электрической почты и пр.

Проверьте, все ли эти данные для вас вправду необходимы? Закон предписывает не собирать данные «на всякий вариант». Идеальнее всего ограничиться «базисным минимумом», достаточным для реализации ваших целей. Обработка данных, выходящая за границы ваших целей, карается штрафом по 13.11 КоАП РФ (Российская Федерация — государство в Восточной Европе и Северной Азии, наша Родина).

Снимок экрана с веб-сайта ostrovok.ru

Отлично, вы удостоверились, что вся информация, которую вы собираете, вправду для вас нужна. Сейчас закон предписывает ознакомить юзера с вашей Политикой обработки индивидуальных данных. Наиболее тщательно о роли и содержании этого документа я расскажу в последующей статье. Итак, у вас под каждой формой есть ссылка на вашу Политику? Непревзойденно!

Шаг 2. Добавление либо корректировка чек-боксов

Главный вопросец: как по мере необходимости обосновать, что юзер ознакомился с Политикой? Весьма нередко на веб-сайтах можно повстречать последующий вариант: под большенный и прекрасной клавишей «Зарегистрироваться» маленьким, блеклым текстом написано что-то вроде « Нажимая на эту клавишу, юзер дает согласие…» (см. «нехороший» пример ниже).

Эта практика и ранее вызывала вопросцы у регулятора, а с ужесточением требований с озари 2025 года стала совершенно точно недопустимой. С 1 сентября 2025 г. согласие на обработку ПДн обязано быть оформлено раздельно от других документов, которые подписывает либо подтверждает субъект. Потому Роскомнадзор все почаще просит наиболее очевидного ознакомления юзера с Политикой обработки индивидуальных данных с возможностью подтвердить согласие по мере необходимости в дальнейшем.

Закон просит от Оператора, другими словами обладателя веб-сайта, подтвердить факт ознакомления юзера с Политикой. Наилучшим вариантом сейчас является проставление галочки в соответственном чек-боксе напротив текста «Я ознакомился и соглашаюсь с критериями Политики…».

Снимок экрана с веб-сайта interneturok.ru

Но что, если вы не желаете добавлять чек-бокс? Это не только лишь удлиняет пользовательский путь, да и усложняет его.

К огорчению, совершенно избежать удлинения этого пути недозволено, но можно создать его приятнее. Некие веб-сайты переносят согласие на предшествующий шаг либо употребляют двухэтапную форму.

Доп шаг практически не понижает конверсию формы. Поначалу юзер надавливает на огромную и прекрасную клавишу «Дальше», а позже уже заполняет данные (см. пример ниже).

Если вы не желаете умножать окна на веб-сайте, то можно создать это в одном окне. К примеру, текст «Ознакомьтесь, пожалуйста, с нашей Политикой обработки индивидуальных данных и предоставьте согласие на обработку ваших данных» и клавиша «Соглашаюсь», опосля нажатия на которую всплывают окна ввода данных.

В мобильных приложениях добавочно употребляют механизмы доказательства согласия через интерфейс приложения и журналирование действий юзера. Логирование действий гостя очень принципиально и для вашего веб-сайта, чтоб в дальнейшем, по мере необходимости, обосновать вашу законопослушность. Впрямую в базу данных сервера (бэкенд), а не в посторонние системы аналитики, должны записываться:

• Идентификатор юзера (Client ID / User-ID).

• Серверный Timestamp (Четкая дата и время клика с точностью до секунды (к примеру, 2026-05-18 12:34:56 UTC+3), доказывающая, что согласие было получено до начала обработки данных.).

• Интент и URL действия (ссылка на посадочную страничку, где заполнена форма, и определенный тип согласия).

• Хеш/Версия документа: идентификатор определенной редакции Политики (к примеру, v2.1), действовавшей на веб-сайте за секунду отправки формы, и ее текст. Не непременно хранить весь текст документа для всякого юзера, довольно иметь неповторимый криптографический хеш файла Политики подходящей редакции.

• Технический след (IP и User-Agent): сетевой адресок и данные браузера юзера для верификации того, что действие совершено настоящим гостем, а не сгенерировано базой данных.

Помните, что обычные нам Yandex Метрика либо Гугл Analytics для Роскомнадзора аргументом не являются – данные там анонимизированы. РКН просит от обладателя веб-сайта прямых доказательств, потому лог согласий должен храниться на вашем сервере и быть защищен от ручного редактирования. Наиболее тщательно о допустимости и правильности использования метрик я расскажу в последующей статье.

Снимок экрана с веб-сайта detmir.ru.

Если вы все таки избрали вариант с чек-боксом, то его поле обязано быть пустым. Некие веб-сайты предустанавливают галочку за юзера, что является нарушением закона.

На веб-сайте института «Синергия», к примеру, установлен наиболее хитрецкий метод – вначале галочка отсутствует, но, когда юзер надавливает на строчку при попытке ввода номера, галочка автоматом проставляется. Очевидно, таковой подход тоже нарушает закон, потому что действие выполнятся за юзера без его воли.

Снимок экрана с веб-сайта synergy.ru

Шаг 3. Согласие на рассылку и единообразие форм

Если вы желаете предложить юзеру какую-либо рассылку, то закон1 обязует вас получить предварительное согласие на нее раздельно от согласия с Политикой. Для этого нужно сделать очередной чек-бокс (либо, альтернативно, отдельное окно с клавишей) с текстом «Я даю согласие на получение информационной и/либо рекламной рассылки».

Снимок экрана с веб-сайта synergy.ru

И такие элементы получения согласия должны находиться во всех формах, где собираются индивидуальные данные юзера. Пример ниже взят с веб-сайта «Детский мир». Как видно из снимка экрана, форма регистрации оформлена корректно, а вот форма поддержки – нет, хотя там тоже собираются индивидуальные данные (электрическая почта, имя).

Снимок экрана с веб-сайта detmir.ru

Направьте внимание, что до проставления галочки напротив согласия с Политикой, клавиша «Зарегистрироваться» либо схожая ей должны быть неактивны или выдавать предупреждение, как на снимке экрана ниже.

Если клавиша будет активна, и юзер выполнит действие, не установив отметку в чек-боксе, то таковым образом вы автоматом соберете его индивидуальные данные без его разрешения, что является нарушением закона.

Снимок экрана с веб-сайта ostrovok.ru

Шаг 4. Актуализация сведений в реестре РКН

Закон предписывает всем операторам подать особое извещение в РКН о том, что они собирают индивидуальные данные. Если вы не так давно начали деятельность, связанную с обработкой индивидуальных данных, то проверьте, зарегистрированы ли вы в реестре операторов индивидуальных данных.

Для этого перейдите по ссылке: https://pd.rkn.gov.ru/operators-registry/operators-list/. Если вы отыскали себя в реестре – непревзойденно. В таком случае рекомендую сейчас проверить обозначенные там данные.

Если вы подавали извещение издавна либо меняли формы сбора на веб-сайте, то обозначенные там данные наверное устарели. Данные, находящиеся в реестре операторов, должны быть животрепещущими, потому что конкретно с ними сверяется РКН при проверке.

Снимок экрана с веб-сайта pd.rkn.gov.ru

Шаг 5. Распространение ПД на веб-сайте

Сейчас обратим внимание на раздел «О нас». Часто почти все веб-сайты располагают в этом разделе портреты служащих, также их данные (см. пример ниже).

Для ряда организаций, к примеру, мед либо образовательных, это непременно, потому согласие служащих не требуется, но размер публикуемых данных должен соответствовать требованиям профильного законодательства.

Если вы не относитесь к таковым организациям, то вы должны получить у тех, чьи данные планируете располагать, отдельное согласие на распространение индивидуальных данных, предусмотренное ст. 10.1 152-ФЗ, также опубликовать информацию о критериях и запретах, которые субъект установил на передачу и распространение его данных (ч. 10 ст. 10.1).

Снимок экрана с веб-сайта worldclass.ru

То же самое касается и раздела «Отзывы», где нередко веб-сайты публикуют отзывы удовлетворенных покупателей и клиентов, часто с их ФИО и изображениями. Таковым образом, веб-сайт вроде бы распространяет, предоставляет доступ к сиим данным для всех, кто веб-сайт посетит. Как следует, для этого необходимо сначала получить разрешение субъекта индивидуальных данных, другими словами клиента.

Выдержка из письма РКН взята с веб-сайта: https://habr.com/ru/articles/1029636/

Шаг 6. Подвал веб-сайта

В подвале веб-сайта непременно проверьте полноту сведений о обладателе веб-сайта, также актуальность размещенных ссылок, в том числе ссылок на документы.

Закон обязует обладателя веб-сайта указать свои наименование, пространство нахождения, адресок и адресок электрической почты. Обозначенные сведения не непременно располагать конкретно в футере – это обычная практика для удобства юзеров, чтоб не находить информацию по всем страничкам веб-сайта.

В примере ниже мы лицезреем, что есть ссылка на согласие, но доступа к Политике обладатель веб-сайта не предоставил, что нарушает закон2.

Снимок экрана с веб-сайта fitnesshouse.ru

В последующей статье мы разберем типовые ошибки в документах на веб-сайте (Оферта, Политика, Privacy Policy и др.). Потом коснемся рекламы, рекомендательных технологий, также SEO-инструментов, к примеру, Гугл Analytics. В финишной статье я приведу настоящий документ с чек-листом по всем пт, которые осветил.

Но желаю предупредить, что обозначенные выше сведения приводятся для наилучшего осознания устройств проверки РКН, также для самостоятельной профилактики правонарушений.

Создатель не претендует на полноту изложенных сведений и приводит их для общего ознакомления и самопроверки. Для наиболее подробного анализа и учета специфичности вашего веб-сайта обращайтесь к спецам для личного аудита.

Чек-лист по темам статьи:

1. Минимизация сбора данных.
2. Наличие ссылки на Политику конфиденциальности.
3. Правило раздельных согласий. Согласие не обязано быть объединено: с офертой, пользовательским соглашением либо с рекламой.
4. Пустые чек-боксы (без предустановленных галочек).
5. Блокировка последующих шагов без доказательства согласия (неактивная клавиша).
6. Согласие на рассылку раздельно от остальных согласий.
7. Логирование и аудит-трейл действий юзера.
8. Проверьте разделы, в каких информация о людях доступна всем гостям веб-сайта (должны быть получены согласия либо анонимно).
9. Проверка в Реестре операторов Роскомнадзора.
10. Актуализация данных в Реестре РКН.
11. Полнота сведений в подвале (Footer) веб-сайта.

1 ч. 1 ст. 18 Федерального закона «О рекламе» № 38-ФЗ. За нарушение этого закона штрафует ФАС (Федеральная антимонопольная служба).

2 Не выполнены требования, предписанные ч. 2 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О индивидуальных данных».