Аудит сайта на соответствие 152‑ФЗ: чек‑лист и типовые ошибки

Если вы собираете заявки, принимаете оплату или используете аналитику, аудит сайта на соответствие 152‑ФЗ обязателен для снижения рисков. Ниже — понятный чек‑лист и разбор типовых ошибок, чтобы провести самостоятельную проверку сайта на соответствие 152 ФЗ и быстро закрыть пробелы.

Схема аудита 152‑ФЗ — этапы и артефакты: инвентаризация, настройка сайта, документы, контроль

Зачем и когда нужен аудит

Аудит нужен, чтобы выявить нарушения до проверки надзором и жалоб пользователей. Он помогает понять, какие персональные данные вы собираете, на каком основании их обрабатываете и как защитить.

Риски: штрафы по КоАП за нарушение обработки и защиты ПДн, предписания Роскомнадзора. Подробнее — в разделах Ответственность и штрафы и КоАП 13.11.
Когда проводить: при запуске сайта/лендинга, перед рекламными кампаниями, после внедрения CRM/чат‑ботов, при смене подрядчиков или платформы (Tilda, WordPress, Bitrix), перед и после проверок Роскомнадзора.

Что именно проверять на сайте по 152‑ФЗ

152‑ФЗ регулирует отношения оператора и субъекта ПДн. Кто вы и что делаете, описано в о законе 152‑ФЗ и структура и статьи 152‑ФЗ. На сайте обычно обрабатываются: имя, телефон, e‑mail, IP‑адрес, cookie‑идентификаторы, поведенческие данные. Важно:

Определить состав ПДн и цели обработки — см. принципы и цели.
Проверить законность: с согласием или без — см. обработка без согласия и согласие на обработку ПДн.
Учесть передачу третьим лицам (хостинг, аналитика, формы) — см. передача третьим лицам и поручение обработки.
Проверить требования к интерфейсам — см. требования к сайту.

Быстрый чек‑лист: 12 пунктов

Мини‑чек‑лист «сайт и 152‑ФЗ» для быстрого самоаудита. Расширенная версия доступна в разделе чек‑лист 152‑ФЗ.

Есть публичная политика обработки ПДн в футере и меню — см. Политика обработки ПДн и шаблон политика конфиденциальности.
Во всех формах стоят ссылки на политику и чекбокс согласия без предустановленной галочки — см. формы на сайте и согласие.
Отдельное согласие на рассылки/звонки (если есть маркетинг) и на публикацию ПДн — см. согласие на распространение ПДн.
Cookie‑баннер до загрузки сторонних трекеров, понятная витрина cookie — см. cookie и баннеры.
HTTPS, корректный сертификат, HSTS — см. SSL/HTTPS.
Регламент передачи ПДн подрядчикам, договоры поручения/обработки — см. поручение обработки.
Учёт и ограничение трансграничной передачи (CDN, e‑mail, метрики) — см. трансграничная передача.
Уведомление и сведения в реестре операторов ПДн, если требуется — см. уведомление Роскомнадзор.
Внутренние документы: приказ об ответственности, модель угроз, уровни защищенности — см. ИС ПДн: определение и требования, уровни защищенности, модель угроз.
Настройки аналитики (например, Яндекс Метрика) без лишних данных; офлайн‑конверсии обезличены — см. обезличивание ПДн.
Сроки хранения, порядок блокировки/удаления — см. сроки хранения ПДн и уничтожение и блокировка.
Канал для запросов субъектов ПДн и отзыв согласий — см. права субъектов и заявления и отзыв согласия.

Таблица: где смотреть и чем подтвердить

Что проверить	Где на сайте	Чем подтвердить/сослаться
Политика ПДн	Футер, /privacy	Политика обработки ПДн
Формы и чекбоксы	Страницы «контакты», «заказ»	Формы и согласие
Cookie‑баннер	При первом визите	Cookie и баннеры
HTTPS/сертификат	Адресная строка	SSL/HTTPS
Передача подрядчикам	Интеграции: CRM, почта	Поручение обработки
Трансграничная передача	CDN, рассылки	Трансграничная передача
Реестр оператора	Юридический блок	Уведомление РКН
Безопасность ИСПДн	Хостинг, облако	Серверы/ЦОД, Яндекс Cloud

Типовые ошибки и как их исправить

Нет политики/она скрыта. Решение: вынести ссылку в футер, обновить по шаблону и актуализировать цели/состав ПДн.
Предустановленная галочка согласия. Решение: убрать автопроставление, разделить согласия по целям (сервисное, маркетинг, публикация).
Cookie‑баннер после загрузки трекеров. Решение: загружать аналитические/маркетинговые скрипты только после согласия.
Единственный «общий» файл согласия. Решение: отдельные согласия под цели; хранить журналы фиксации принятия.
Интеграции в обход договоров (формы Яндекс, веб‑чаты, Bitrix24). Решение: оформить поручение обработки и проверить настройки у подрядчика; см. Яндекс Формы, мессенджеры, Bitrix, WordPress, Tilda.
Сбор лишних полей (дата рождения, паспорт), когда достаточно e‑mail/телефона. Решение: минимизация данных по принципам обработки.
Необновлённые документы после изменений в 2025. Решение: свериться с изменениями 2025 и последней редакцией.

Техническая проверка: cookies, шифрование, логи

Шифрование: обязательный HTTPS, актуальные протоколы, запрет слабых шифров; хранение резервных копий с шифрованием — см. криптография и шифрование.
Cookie и локальное хранилище: категоризация (строго необходимые/аналитика/маркетинг), блокировка до согласия, журнал состояния баннера — см. cookie и баннеры.
Логи веб‑сервера и приложений: срок хранения и доступ по роли; IP‑адреса как ПДн обрабатывайте по принципу минимизации.
Третьи лица: аудит настроек Яндекс Метрики, пикселей; отключите передачу лишних полей (ФИО, e‑mail) в UTM/Events.
ИСПДн: определите класс и уровень защищенности; при необходимости выполните требования ФСТЭК и ФСБ.

Документы и процессы оператора

Юридическая часть так же важна, как баннеры и чекбоксы.

«Пакет 152‑ФЗ»: политика, положения, перечни ПДн, приказы о назначениях, регламенты запросов субъектов, журналы — см. пакет документов.
Назначение ответственного за ПДн и обучение сотрудников — см. ответственный за обработку ПДн и внутренний контроль и обучение.
Процессы работы с обращениями, отзывом согласий, исправлением/удалением — см. права субъектов, прекращение обработки.
Уведомление и актуальность сведений в реестре — см. уведомление Роскомнадзор, реестр операторов.
Меры защиты: организационные и технические — см. меры безопасности ПДн.

Особые случаи: дети, биометрия, медицина

Дети и несовершеннолетние: отдельные требования к согласию законных представителей — см. дети и несовершеннолетние ПДн.
Биометрия (фото, видео, голос): только при наличии специальных оснований и особых мер — см. биометрические ПДн.
Медицинские данные: повышенные требования и ограничения — см. медицинские ПДн и специальные категории.
Публикация отзывов, фото сотрудников/клиентов: требуется отдельное согласие на распространение — см. согласие на распространение ПДн и общедоступные ПДн.

Как подготовить сайт к 152‑ФЗ за 7 шагов

Инвентаризация: какие ПДн собираете, где хранятся, кто имеет доступ.
Определение целей/оснований: согласие или иные основания, раздельные согласия для маркетинга/публикации.
Интерфейс: обновить формы, баннер cookie, вынести политику в футер — см. требования к сайту.
Подрядчики и трансграничность: оформить поручения и оценить страны/облака — см. передача третьим лицам, трансграничная передача.
Безопасность: HTTPS, резервные копии, доступы, журналирование — см. меры безопасности.
Документы: собрать пакет 152‑ФЗ или использовать генератор политики и согласий.
Контроль: провести тестовую онлайн‑проверку, затем периодические мини‑аудиты и подготовку к надзору — см. подготовка к проверке.

Если нужен полный разбор с рекомендациями, закажите аудит соответствия 152‑ФЗ или комплексный пакет «консалтинг и документы под ключ».

FAQ: коротко о главном

Достаточно ли одной «политики»? Нет. Нужны ещё согласия, регламенты, приказы и журналы. См. пакет документов.
Нужен ли баннер cookie? Да, если есть нестрого необходимые трекеры. См. cookie и баннеры.
Что с новыми изменениями? Следите за изменениями 2025; обновляйте документы и UI.
А как это соотносится с GDPR? Смотрите сравнение в разделе GDPR и 152‑ФЗ.

Итоги и что делать дальше

Аудит сайта 152‑ФЗ — это не только чекбоксы и баннеры. Важно выстроить законные цели обработки, прозрачные интерфейсы, безопасную инфраструктуру и полный комплект документов. Начните с мини‑аудита по чек‑листу, затем исправьте критичные пункты и закрепите процессами.

Готовы проверить себя прямо сейчас? Запустите онлайн‑проверку сайта на соответствие 152‑ФЗ или оставьте заявку на профессиональный аудит — мы поможем быстро подготовить сайт к 152‑ФЗ и пройти любую проверку.