Требования к сайту по 152‑ФЗ: политика, формы, cookies и HTTPS

Оглавление

• Что такое «сайт соответствует 152‑ФЗ»
• Политика ПДн и обязательные ссылки
• Формы и чек‑боксы: согласия и доказуемость
• Cookies и баннеры: категории и управление
• HTTPS/SSL, передача и хранение данных
• Интеграции: Метрика, CRM, виджеты, чаты
• Журналы, логи и хранение согласий
• Чек‑лист соответствия сайта

---

Что такое «сайт соответствует 152‑ФЗ»

Это не только наличие политики. Комплекс включает: понятную политику ПДн, корректные формы с активным согласием, баннер cookies с управлением категориями, защищённый канал (HTTPS), корректные интеграции (анализ, чаты, виджеты), журналирование согласий и событий, договоры с подрядчиками (поручение обработки), отсутствие избыточного сбора данных.

---

Политика ПДн и обязательные ссылки

На каждом экране, где собираются ПДн, сделайте заметную ссылку на политику. В самой политике: цели обработки, состав ПДн, правовые основания (ст. 6), информация о распространении (ст. 10.1), трансграничная передача (ст. 21), права субъекта (ст. 14), контакты оператора и ответственного. Отдельно разместите политику cookies.

---

Формы и чек‑боксы: согласия и доказуемость

• Чек‑бокс «согласен» должен быть выключен по умолчанию;
• Рядом — ссылка на актуальную редакцию политики и текста согласия;
• Фиксируйте факт согласия: дата/время, IP/UA, версия текста, URL формы, идентификатор заявки;
• Не просите лишние данные (минимизация);
• Для подписки на рассылки — отдельная форма/чек‑бокс;
• Для распространения (публикаций) — отдельное согласие по ст. 10.1.

---

Cookies и баннеры: категории и управление

Покажите баннер при первом визите, дайте выбор категорий (необходимые/аналитика/маркетинг), храните предпочтения, не загружайте необязательные скрипты до согласия, обеспечьте легкий отказ/изменение выбора. Не передавайте ПДн в параметры URL и аналитики.

---

HTTPS/SSL, передача и хранение данных

Любая форма с ПДн — только HTTPS. Проверьте HSTS, современные шифры, актуальные сертификаты. Обеспечьте защиту баз данных, резервное копирование, контроль доступа и журналы. Передача ПДн подрядчикам — только по договору поручения (ст. 12).

---

Интеграции: Метрика, CRM, виджеты, чаты

• Яндекс.Метрика: не отправляйте ПДн в цели/параметры, рассмотрите IP‑маскирование, добавьте договорные условия;
• Виджеты чатов, форм и кол‑трекинга — это обработчики: проверьте договоры, границы доступа, хранение записей;
• CRM и почта: настраивайте автоматическое удаление/архивацию, разграничение ролей и MFA.

---

Журналы, логи и хранение согласий

Ведите журналы согласий и событий безопасности. Храните версии политик и согласий, экспортируйте подтверждения из CMS/CRM, автоматизируйте очистку по срокам.

---

Чек‑лист соответствия сайта

• Политика ПДн и cookies опубликованы и актуальны;
• Формы с чек‑боксами, ссылки на политику, логирование согласий;
• Баннер cookies с управлением категориями и отказом;
• HTTPS/SSL, современные настройки, HSTS;
• Интеграции оформлены договорами поручения;
• Нет избыточных полей и передачи ПДн в URL/аналитику;
• Настроена очистка данных и резервное копирование.