Проверка сайта на соответствие ФЗ № 152: пошаговый аудит для SEO-специалистов и владельцев ресурсов

Многие сайты за последнее время получили «письма счастья» от Роскомнадзора с перечнем выявленных нарушений, а также предписаниями об их исправлении. По всей видимости, РКН массово проверяет сайты, используя автоматизированный мониторинг: наличие чек-боксов, ссылок на Политику, активные кнопки, наличие в реестре и пр.

При выявлении нарушений надзорный орган направляет уведомление. На устранение нарушений устанавливаются относительно короткие сроки – как правило около 10 рабочих дней с момента получения предписания.

Практика показывает, что уложиться в такой короткий срок крайне сложно, особенно если архитектурные нарушения значительны. Я не буду повторять виды и размеры санкций за нарушения, – об этом вы можете прочесть в моей предыдущей статье, – а расскажу, как SEO-специалисту самостоятельно выявить проблемы и исправить их, чтобы избежать штрафа.

Чтобы не ждать письма от РКН, вы можете самостоятельно проверить соответствие вашего сайта ключевым требованиям закона. В серии статей я расскажу, как это сделать, а в конце вы сможете собрать для себя чек-лист проверки сайта.

Шаг 1. Аудит форм сбора данных

Одним из пунктов проверки РКН является проверка форм сбора данных на сайте. К ним относятся:

• окно регистрации на сайте;

• форма обратной связи;

• форма заказа звонка;

• форма оплаты на сайте.

Это самые распространенные формы, но у вас могут быть и другие. Проверьте, где и как вы собираете данные о пользователях сайта. Вам удалось найти такую форму? Замечательно! Давайте разберем ее подробнее.

Обычно такая форма представляет собой отдельное окно или «всплывающее окно» (pop-u окно) с предложением к пользователю ввести свои персональные данные: имя, номер телефона, адрес электронной почты и пр.

Проверьте, все ли эти данные вам действительно нужны? Закон предписывает не собирать данные «на всякий случай». Лучше всего ограничиться «базовым минимумом», достаточным для реализации ваших целей. Обработка данных, выходящая за пределы ваших целей, карается штрафом по 13.11 КоАП РФ.

Скриншот с сайта ostrovok.ru

Хорошо, вы убедились, что вся информация, которую вы собираете, действительно вам нужна. Теперь закон предписывает ознакомить пользователя с вашей Политикой обработки персональных данных. Более подробно о роли и содержании этого документа я расскажу в следующей статье. Итак, у вас под каждой формой есть ссылка на вашу Политику? Отлично!

Шаг 2. Добавление или коррекция чек-боксов

Ключевой вопрос: как при необходимости доказать, что пользователь ознакомился с Политикой? Очень часто на сайтах можно встретить следующий вариант: под большой и красивой кнопкой «Зарегистрироваться» мелким, блеклым текстом написано что-то вроде « Нажимая на эту кнопку, пользователь дает согласие…» (см. «плохой» пример ниже).

Эта практика и ранее вызывала вопросы у регулятора, а с ужесточением требований с осени 2025 года стала однозначно недопустимой. С 1 сентября 2025 г. согласие на обработку ПДн должно быть оформлено отдельно от иных документов, которые подписывает или подтверждает субъект. Поэтому Роскомнадзор все чаще требует более явного ознакомления пользователя с Политикой обработки персональных данных с возможностью подтвердить согласие при необходимости в будущем.

Закон требует от Оператора, то есть владельца сайта, подтвердить факт ознакомления пользователя с Политикой. Лучшим вариантом на данный момент является проставление галочки в соответствующем чек-боксе напротив текста «Я ознакомился и соглашаюсь с условиями Политики…».

Скриншот с сайта interneturok.ru

Но что, если вы не хотите добавлять чек-бокс? Это не только удлиняет пользовательский путь, но и усложняет его.

К сожалению, совсем избежать удлинения этого пути нельзя, но можно сделать его приятнее. Некоторые сайты переносят согласие на предыдущий шаг или используют двухэтапную форму.

Дополнительный этап почти не снижает конверсию формы. Сначала пользователь нажимает на большую и красивую кнопку «Далее», а потом уже заполняет данные (см. пример ниже).

Если вы не хотите множить окна на сайте, то можно сделать это в одном окне. Например, текст «Ознакомьтесь, пожалуйста, с нашей Политикой обработки персональных данных и предоставьте согласие на обработку ваших данных» и кнопка «Соглашаюсь», после нажатия на которую всплывают окна ввода данных.

В мобильных приложениях дополнительно используют механизмы подтверждения согласия через интерфейс приложения и журналирование действий пользователя. Логирование действий посетителя крайне важно и для вашего сайта, чтобы в будущем, при необходимости, доказать вашу законопослушность. Напрямую в базу данных сервера (бэкенд), а не в сторонние системы аналитики, должны записываться:

• Идентификатор пользователя (Client ID / User-ID).

• Серверный Timestamp (Точная дата и время клика с точностью до секунды (например, 2026-05-18 12:34:56 UTC+3), доказывающая, что согласие было получено до начала обработки данных.).

• Интент и URL события (ссылка на посадочную страницу, где заполнена форма, и конкретный тип согласия).

• Хеш/Версия документа: идентификатор конкретной редакции Политики (например, v2.1), действовавшей на сайте в секунду отправки формы, и ее текст. Не обязательно хранить весь текст документа для каждого пользователя, достаточно иметь уникальный криптографический хеш файла Политики нужной редакции.

• Технический след (IP и User-Agent): сетевой адрес и данные браузера пользователя для верификации того, что действие совершено реальным посетителем, а не сгенерировано базой данных.

Помните, что привычные нам Яндекс Метрика или Google Analytics для Роскомнадзора аргументом не являются – данные там анонимизированы. РКН требует от владельца сайта прямых доказательств, поэтому лог согласий должен храниться на вашем сервере и быть защищен от ручного редактирования. Более подробно о допустимости и корректности использования метрик я расскажу в следующей статье.

Скриншот с сайта detmir.ru.

Если вы все же выбрали вариант с чек-боксом, то его поле должно быть пустым. Некоторые сайты предустанавливают галочку за пользователя, что является нарушением закона.

На сайте университета «Синергия», например, установлен более хитрый способ – изначально галочка отсутствует, но, когда пользователь нажимает на строку при попытке ввода номера, галочка автоматически проставляется. Разумеется, такой подход тоже нарушает закон, так как действие выполнятся за пользователя без его воли.

Скриншот с сайта synergy.ru

Шаг 3. Согласие на рассылку и единообразие форм

Если вы хотите предложить пользователю какую-либо рассылку, то закон¹ обязывает вас получить предварительное согласие на нее отдельно от согласия с Политикой. Для этого необходимо создать еще один чек-бокс (или, альтернативно, отдельное окно с кнопкой) с текстом «Я даю согласие на получение информационной и/или маркетинговой рассылки».

Скриншот с сайта synergy.ru

И такие элементы получения согласия должны присутствовать во всех формах, где собираются персональные данные пользователя. Пример ниже взят с сайта «Детский мир». Как видно из скриншота, форма регистрации оформлена корректно, а вот форма поддержки – нет, хотя там тоже собираются персональные данные (электронная почта, имя).

Скриншот с сайта detmir.ru

Обратите внимание, что до проставления галочки напротив согласия с Политикой, кнопка «Зарегистрироваться» или подобная ей должны быть неактивны либо выдавать предупреждение, как на скриншоте ниже.

Если кнопка будет активна, и пользователь выполнит действие, не установив отметку в чек-боксе, то таким образом вы автоматически соберете его персональные данные без его разрешения, что является нарушением закона.

Скриншот с сайта ostrovok.ru

Шаг 4. Актуализация сведений в реестре РКН

Закон предписывает всем операторам подать специальное уведомление в РКН о том, что они собирают персональные данные. Если вы недавно начали деятельность, связанную с обработкой персональных данных, то проверьте, зарегистрированы ли вы в реестре операторов персональных данных.

Для этого перейдите по ссылке: https://pd.rkn.gov.ru/operators-registry/operators-list/. Если вы нашли себя в реестре – отлично. В таком случае рекомендую теперь проверить указанные там данные.

Если вы подавали уведомление давно или меняли формы сбора на сайте, то указанные там данные наверняка устарели. Данные, содержащиеся в реестре операторов, должны быть актуальными, так как именно с ними сверяется РКН при проверке.

Скриншот с сайта pd.rkn.gov.ru

Шаг 5. Распространение ПД на сайте

Теперь обратим внимание на раздел «О нас». Зачастую многие сайты размещают в этом разделе портреты сотрудников, а также их данные (см. пример ниже).

Для ряда организаций, например, медицинских или образовательных, это обязательно, поэтому согласие сотрудников не требуется, однако объем публикуемых данных должен соответствовать требованиям профильного законодательства.

Если вы не относитесь к таким организациям, то вы обязаны получить у тех, чьи данные планируете размещать, отдельное согласие на распространение персональных данных, предусмотренное ст. 10.1 152-ФЗ, а также опубликовать информацию об условиях и запретах, которые субъект установил на передачу и распространение его данных (ч. 10 ст. 10.1).

Скриншот с сайта worldclass.ru

То же самое касается и раздела «Отзывы», где часто сайты публикуют отзывы довольных покупателей и клиентов, зачастую с их ФИО и изображениями. Таким образом, сайт как бы распространяет, предоставляет доступ к этим данным для всех, кто сайт посетит. Следовательно, для этого нужно сперва получить разрешение субъекта персональных данных, то есть клиента.

Выдержка из письма РКН взята с сайта: https://habr.com/ru/articles/1029636/

Шаг 6. Подвал сайта

В подвале сайта обязательно проверьте полноту сведений о владельце сайта, а также актуальность размещенных ссылок, в том числе ссылок на документы.

Закон обязывает владельца сайта указать свои наименование, место нахождения, адрес и адрес электронной почты. Указанные сведения не обязательно размещать именно в футере – это традиционная практика для удобства пользователей, чтобы не искать информацию по всем страницам сайта.

В примере ниже мы видим, что есть ссылка на согласие, однако доступа к Политике владелец сайта не предоставил, что нарушает закон².

Скриншот с сайта fitnesshouse.ru

В следующей статье мы разберем типовые ошибки в документах на сайте (Оферта, Политика, Privacy Policy и др.). Затем коснемся рекламы, рекомендательных технологий, а также SEO-инструментов, например, Google Analytics. В финальной статье я приведу полноценный документ с чек-листом по всем пунктам, которые осветил.

Однако хочу предупредить, что указанные выше сведения приводятся для лучшего понимания механизмов проверки РКН, а также для самостоятельной профилактики правонарушений.

Автор не претендует на полноту изложенных сведений и приводит их для общего ознакомления и самопроверки. Для более подробного анализа и учета специфики вашего сайта обращайтесь к специалистам для индивидуального аудита.

Чек-лист по темам статьи:

1. Минимизация сбора данных.
2. Наличие ссылки на Политику конфиденциальности.
3. Правило раздельных согласий. Согласие не должно быть объединено: с офертой, пользовательским соглашением или с рекламой.
4. Пустые чек-боксы (без предустановленных галочек).
5. Блокировка следующих шагов без подтверждения согласия (неактивная кнопка).
6. Согласие на рассылку отдельно от других согласий.
7. Логирование и аудит-трейл действий пользователя.
8. Проверьте разделы, в которых информация о людях доступна всем посетителям сайта (должны быть получены согласия или анонимно).
9. Проверка в Реестре операторов Роскомнадзора.
10. Актуализация данных в Реестре РКН.
11. Полнота сведений в подвале (Footer) сайта.