Чек‑лист соответствия 152‑ФЗ: 30 пунктов контроля

Table of contents

• Что это и кому нужен чек‑лист
• Как пользоваться чек‑листом
• 30 пунктов контроля
  • Правовая база и роли
  • Документы и политика
  • Права субъектов и сроки
  • Сайт и интернет‑маркетинг
  • ИСПДн и безопасность
  • Передачи и трансграничность
  • Инциденты и проверки
• Мини‑чек‑лист для сайта
• Частые ошибки на проверке
• Подготовка к проверке 152‑ФЗ
• Полезные ссылки
• Итоги и следующий шаг

Что это и кому нужен чек‑лист

Этот чек‑лист 152‑ФЗ — практический инструмент самопроверки для бизнеса, госучреждений, образовательных проектов и владельцев сайтов. Он помогает быстро понять, соблюдаются ли базовые требования закона о персональных данных, где есть риски и как подготовиться к проверке Роскомнадзора.

Если вы только формируете систему защиты данных, начните с краткого обзора законодательства о законе 152‑ФЗ, его структуры и статей и актуального текста закона. Учитывайте вступившие и ожидаемые изменения 2025.

Как пользоваться чек‑листом

• Проходите пункты последовательно и фиксируйте статус: выполнено, требуется доработка, не применимо.
• Для спорных случаев смотрите разъяснения в разделах сайта: обязанности оператора, правовые основания, ИСПДн, безопасность, сайт и куки.
• В конце используйте мини‑таблицу как чек лист сайт 152 фз — это быстрый экспресс‑тест видимой части сайта.

30 пунктов контроля

Ниже — полный чек лист 152 фз, разбитый по блокам. В скобках приведены подсказки и полезные ссылки.

Правовая база и роли

1. Определён статус оператора ПДн и при необходимости подано уведомление в Роскомнадзор; в реестре есть запись об операторе (реестр операторов, ст. 22).
2. Составлен перечень правовых оснований обработки по ст. 6 — закон, договор, согласие; описаны кейсы обработки без согласия.
3. Идентифицированы категории ПДн: обычные, специальные (ст. 10), биометрические (ст. 11), ПДн детей; для чувствительных категорий предусмотрены усиленные основания.
4. Назначен и обучен ответственный за обработку ПДн — приказ, должностные обязанности, контакты.
5. Цели, состав и сроки хранения ПДн соответствуют принципам ст. 5 и документированы (см. принципы и цели, сроки хранения).

Документы и политика

1. Принята и опубликована политика обработки ПДн; на сайте размещена актуальная политика конфиденциальности (см. шаблон).
2. Оформлен базовый пакет документов: положение об обработке, регламенты, перечень ИСПДн, классификация угроз, план реагирования, приказы, журналы.
3. Составлена карта потоков ПДн — кто, где и зачем собирает данные; отражены источники: HR, CRM, сайт, мессенджеры.
4. Ведётся реестр порученных обработок; заключены договоры с обработчиками с инструкциями, мерами безопасности и запретом на субпоручение без согласия (см. поручение обработки, передача третьим лицам, серверы и хостинг, облака).
5. Подготовлены и используются корректные согласия: на обработку, на распространение ПДн по ст. 10.1; реализован порядок отзыва согласия и учёта (см. шаблоны, генератор).

Права субъектов и сроки

1. Описаны процедуры реализации прав субъектов: доступ к данным, уточнение, блокировка, уничтожение, запрет распространения.
2. Закреплены сроки ответов и формы коммуникаций согласно закону (см. ст. 14, ст. 20, ст. 21); есть проверка личности и шаблоны писем (примеры документов).
3. Реализована процедура прекращения обработки и подтверждённые методы уничтожения и блокировки ПДн с актами.

Сайт и интернет‑маркетинг

1. Включён HTTPS по всему сайту и админке, корректные сертификаты и шифры (см. SSL/HTTPS).
2. На сайте размещены обязательные документы и контакты оператора; политика доступна с каждой страницы.
3. Форма согласия: раздельные чекбоксы под конкретные цели — заявка, рассылка, передача партнёрам; согласие до отправки формы (см. формы на сайте).
4. Реализовано управление cookie — баннер, центр предпочтений, запись выбора, отключение нестрого необходимых файлов до согласия (см. cookie и баннеры).
5. Настроены аналитика и пиксели с учётом ПДн: Яндекс.Метрика, выгрузки идентификаторов, маскирование IP, отключение до согласия.
6. Корректно подключены формы Яндекса, виджеты CRM, чаты и мессенджеры — прописаны цели и правовые основания (Яндекс Формы).
7. Учитывается специфика CMS: WordPress, Tilda, Bitrix — плагиновая база, логи, доступы.
8. Настроено хранение логов веб‑сервера и приложений с ограничением доступа и сроками хранения.

ИСПДн и безопасность

1. Определены состав и границы ИСПДн, присвоен уровень защищённости на основе угроз и категорий ПДн.
2. Подготовлена модель угроз и приняты меры безопасности: защита периметра, антивирус, контроль уязвимостей, DLP по необходимости.
3. Применяется криптографическая защита, шифрование каналов и носителей там, где необходимо (см. криптография, требования ФСТЭК и ФСБ).
4. Встроены процессы управления доступом и учётными записями, журналирование действий, резервное копирование, тестирование восстановления.

Передачи и трансграничность

1. Оценены все передачи третьим лицам — партнёрам, подрядчикам, интеграциям; заключены корректные договоры и поручения (см. передача третьим лицам, поручение обработки).
2. Проверена трансграничная передача ПДн: страны, правовые основания, согласия, технические и организационные меры.

Инциденты и проверки

1. Действует план реагирования на инциденты и утечки ПДн: обнаружение, локализация, уведомление, расследование, меры предотвращения (действия при нарушении).
2. Процедура уведомления Роскомнадзора о начале обработки и об инцидентах документирована и протестирована (уведомление).
3. Налажен внутренний контроль и обучение; проводится регулярный аудит соответствия и готовность к проверке Роскомнадзора, есть план обучения сотрудников (курсы).

Мини‑чек‑лист для сайта

Этот блок — экспресс проверка 152 фз для публичной части ресурса. Отметьте фактическое состояние и пройдите исправления по ссылкам.

Проверка	Что смотреть	Где исправить
Политика конфиденциальности доступна на каждой странице	Ссылки в футере, актуальность текста	Документы для сайта, Шаблон
Согласие под формами	Чекбоксы до отправки, раздельные цели	Формы и согласие, Согласие на обработку
Cookie‑баннер и центр предпочтений	Блокировка нестрого необходимых скриптов до согласия	Cookie и баннеры
HTTPS везде	Валидный сертификат, редиректы на https	SSL/HTTPS
Метрика и пиксели	Грузятся после согласия, маскируют IP	Яндекс.Метрика
Всплывающие чаты и виджеты	Настроены цели, есть основания обработки	Мессенджеры
Плагины CMS	Обновления, список установленных модулей	WordPress, Bitrix, Tilda

Для глубокой проверки воспользуйтесь нашим инструментом онлайн‑проверка сайта 152‑ФЗ и услугой аудит сайта по 152‑ФЗ.

Частые ошибки на проверке

• Политика есть, но не отражает реальные процессы и цели; несоответствие ст. 5 и обязанностям оператора.
• Отсутствует отдельное согласие на маркетинговые коммуникации; нет согласия на распространение при публикации данных.
• Cookie‑баннер информирует, но не управляет загрузкой скриптов и пикселей.
• Не определён уровень защищённости ИСПДн, нет модели угроз.
• Нет договоров поручения с подрядчиками или не прописаны меры безопасности.
• Не подано уведомление в реестр при необходимости; риски штрафов (см. ответственность и штрафы, КоАП 13.11, судебная практика).

Подготовка к проверке 152‑ФЗ

Если времени мало (7–14 дней), действуйте по приоритетам:

1. Назначьте координатора и соберите доказательную базу: политики, приказы, реестры, договоры, журналы.
2. Проведите экспресс‑аудит: онлайн‑проверка сайта, внутренний осмотр ИСПДн, инвентаризация активов.
3. Обновите политику и публичные документы, устраните явные пробелы с помощью генератора и пакета документы для сайта.
4. Настройте формы, куки и аналитику в соответствии с чек‑листом сайта; зафиксируйте изменения актами.
5. Пересмотрите договоры с подрядчиками: добавьте поручение, конфиденциальность, меры безопасности, порядок уведомлений об инцидентах.
6. Определите уровень защищённости ИСПДн, актуализируйте модель угроз и перечень мер.
7. Проведите краткий инструктаж персонала и тест реакции на запрос субъекта и инцидент.
8. Подготовьте ответы для инспектора, перечень процессов и контакт ответственного (см. проверки Роскомнадзора).

Если нужна помощь, воспользуйтесь услугами под ключ: консалтинг и документы, очно и дистанционно, включая услуги в Москве.

Полезные ссылки

• База: О законе 152‑ФЗ, Текст закона, Изменения 2025, Глоссарий.
• Ключевые статьи: ст. 5, ст. 6, ст. 10, ст. 10.1, ст. 19, ст. 22.
• Практика: Права субъектов, Обязанности оператора, Требования к сайту.

Итоги и следующий шаг

Чек‑лист соответствия 152‑ФЗ помогает быстро оценить готовность к проверке и выявить пробелы в документах, безопасности и интерфейсах сайта. Сохраните эту страницу, пройдите мини‑проверку и закройте критичные пункты в первую очередь.

Готовы укрепить соответствие и снизить риски? Запустите онлайн‑проверку сайта, закажите аудит соответствия или оформите документы под ключ.