Документы и техника по 152-ФЗ: что проверить
Документы по 152-ФЗ должны совпадать с тем, как сайт реально собирает и передаёт данные. Если политика обещает одно, а CRM, cookie и подрядчики работают иначе, документ не закрывает риск.
Техническая часть не заканчивается SSL. Нужно смотреть доступы, роли, журналы, бэкапы, подрядчиков, облака и порядок действий при инциденте.
Что входит в документальный блок
- политика обработки персональных данных;
- согласия для форм, рассылок, cookie и отдельных целей;
- уведомление Роскомнадзора, если оно требуется;
- положение, реестр операций и журнал обращений субъектов;
- договоры с обработчиками и подрядчиками;
- акт уничтожения и порядок хранения данных.
Что входит в технический блок
| Зона | Что проверить |
|---|---|
| Доступы | роли сотрудников, увольнения, общие аккаунты |
| Подрядчики | CRM, облака, рассылки, телефония, аналитика |
| ИСПДн | нужно ли выделять систему и уровень защищённости |
| Бэкапы | где хранятся копии и кто их видит |
| Инциденты | журнал, ответственный, порядок реакции |
Почему начинать лучше с аудита
Если сначала написать документы, а потом проверить сайт, придётся переписывать их под фактические формы, cookie и подрядчиков.
Практичнее сначала получить список видимых рисков, потом править сайт и документы. Для сайтов с регулярными изменениями этот цикл лучше повторять через мониторинг.
Коротко
Можно ли взять шаблон политики и не делать аудит?
Шаблон может помочь со структурой, но он не знает ваши формы, CRM, cookie, подрядчиков и сроки хранения. Эти факты нужно сверять отдельно.
Когда нужен пакет документов под ключ?
Когда на сайте уже есть заявки, заказы, кабинеты, рассылки или подрядчики, а документы не описывают фактическую обработку данных.
Практический следующий шаг
Сначала проверьте фактический сайт
Бесплатное превью покажет формы и cookie. Полный аудит 152-ФЗ стоит 700 ₽, пакет документов под ключ — 20 000 ₽.