152-ФЗ для сайта

Как проверить подрядчиков и SaaS-сервисы на 152-ФЗ

Подрядчик или SaaS-сервис становится частью риска по 152-ФЗ, если получает заявки, клиентскую базу, записи звонков, адреса доставки, историю заказов или данные из личного кабинета. Владелец сайта не может просто сказать: «это хранится у сервиса, значит это не наша зона».

Проверка подрядчиков нужна до подключения виджета, CRM, рассылки, коллтрекинга или облачного хранилища. После подключения исправлять договоры и доступы обычно дороже.

Кого нужно проверять

  • CRM и сервисы заявок;
  • онлайн-чаты и обратные звонки;
  • email-рассылки и SMS-провайдеры;
  • сервисы аналитики и сквозной аналитики;
  • подрядчики по разработке и поддержке сайта;
  • облачные хранилища и таск-трекеры с клиентскими данными;
  • логистика, оплата, бронирование и коллтрекинг.

Что спросить у сервиса

ВопросЗачем
Где физически хранятся данныеоценить локализацию и трансграничность
Кто имеет доступ к даннымпонять роли и подрядчиков
Есть ли договор обработки ПДнзакрепить поручение и меры
Как удалить данныезакрыть срок хранения и отзыв
Есть ли журналы и 2FAоценить технический минимум

Что должно быть в договоре

В договоре или приложении нужно описать цель обработки, категории данных, действия с данными, меры защиты, порядок удаления, ответственность, запрет лишней передачи и условия привлечения субподрядчиков.

Если подрядчик получает доступ к CRM или админке, отдельным пунктом стоит описать выдачу и отзыв доступов. После окончания работ доступ должен закрываться, а не жить годами.

Красные флаги

  • сервис не отвечает, где хранит данные;
  • нет договора или DPA по обработке ПДн;
  • нельзя удалить данные пользователя;
  • поддержка просит прислать базу клиентов в мессенджер;
  • все сотрудники подрядчика работают под одним аккаунтом;
  • сервис ставит сторонние трекеры без понятного списка.

Коротко

Если сервис российский, его всё равно нужно проверять?

Да. Российская юрисдикция не отменяет вопросы доступа, договора, сроков хранения, удаления и технических мер.

Нужен ли договор с каждым виджетом?

Если виджет получает или обрабатывает ПДн, условия обработки нужно закрепить. Формат зависит от сервиса: договор, оферта, приложение или DPA.

Практический следующий шаг

Проверьте, куда сайт отправляет заявки

Бесплатный пре-скан покажет внешние формы и виджеты. Полный аудит 152-ФЗ за 700 ₽ помогает собрать список сервисов для проверки.