Что должно быть на сайте, чтобы избежать штрафов при работе с персональными данными

Даже простой сайт-одностраничник с формой заявки уже попадает под требования ФЗ-152.
Вот базовый чек-лист: что должно быть на сайте, чтобы не получить штраф за работу с персональными данными.

Проверьте свой сайт по пунктам ниже — это займет 3–5 минут.


1. Политика обработки персональных данных

На сайте должна быть отдельная страница с политикой обработки ПДн.
Ссылка — в футере и рядом с формами сбора данных.

Как проверить:
Откройте сайт и прокрутите вниз — ссылка на политику должна быть в футере и доступна с любой страницы.

2. Согласие пользователя

Под каждой формой — чекбокс с согласием на обработку данных. Галочка не должна быть проставлена автоматически.

Как проверить:
Попробуйте отправить форму — без проставленного чекбокса это должно быть невозможно.

3. Уведомление о сборе данных

Пользователь должен понимать, какие данные вы собираете и зачем. Это указывается рядом с формой или в тексте согласия.

Как проверить:
Рядом с формой есть текст, где указано, какие данные собираются и для какой цели.

4. Cookie

Если сайт использует cookie, нужно уведомить об этом пользователя. Cookie также относятся к персональным данным.

Как проверить:
При первом заходе на сайт появляется уведомление о cookie.

5. Хранение данных

Сервисы и базы, в которых хранятся данные, должны соответствовать требованиям закона
(в том числе — размещение на серверах в РФ).

Как проверить:
Проверьте, где находятся используемые сервисы (CRM, формы, аналитика) и не передаются ли данные за рубеж без уведомления.

6. Уведомление Роскомнадзора

В большинстве случаев оператор обязан подать уведомление о начале обработки ПДн.
Это делается до начала работы с данными.

Как проверить:
Найдите свою компанию в реестре операторов персональных данных на сайте Роскомнадзора.

Если на сайте нет этих базовых элементов, он уже находится в зоне риска.