Правовая база

Нормы 152-ФЗ для проверки сайта

Короткий справочник по статьям, на которые ссылается отчет ПДН Пилот. Якоря ниже используются в результатах проверки вместо коммерческих правовых систем.

Навигация

Статьи и рабочие комментарии

Статья 5. Принципы обработки персональных данных Статья 6. Условия обработки персональных данных Статья 9. Согласие субъекта персональных данных Статья 18. Обязанности оператора при сборе персональных данных Статья 18.1. Меры, направленные на выполнение обязанностей оператора Статья 22. Уведомление об обработке персональных данных КоАП РФ, статья 13.11. Ответственность за нарушения в сфере персональных данных

Норма

Статья 5. Принципы обработки персональных данных

Для сайта это базовая рамка: собирать только нужные данные, под понятную цель, не хранить лишнее и не использовать данные для несовместимых задач.

Что проверять на сайте

В формах нет избыточных полей без понятной цели.
Политика объясняет, зачем собираются контакты, заявки, сообщения и служебные файлы сайта.
Сроки хранения и порядок удаления не выглядят бессрочными по умолчанию.

Норма

Статья 6. Условия обработки персональных данных

Перед сбором данных нужно понимать правовое основание обработки: согласие, договор, законная обязанность или иной предусмотренный законом случай.

Что проверять на сайте

Для каждой формы понятно, на каком основании обрабатываются данные.
Маркетинговые, рекламные и аналитические сценарии отделены от обязательных действий.
Подрядчики и сервисы отражены в документах, если получают данные посетителя.

Норма

Статья 9. Согласие субъекта персональных данных

Согласие должно быть подтверждаемым, конкретным и понятным. Для сайта это обычно текст рядом с кнопкой отправки и непредустановленный checkbox, когда согласие нужно.

Что проверять на сайте

Текст согласия стоит рядом с формой, а не только в отдельной политике.
Checkbox не отмечен заранее и не спрятан в мелком интерфейсе.
Ссылка ведет на актуальную политику или текст согласия.

Норма

Статья 18. Обязанности оператора при сборе персональных данных

Важна локализация и прозрачность сбора через интернет: оператору нужно понимать, где фактически записываются, хранятся и обновляются данные граждан РФ.

Что проверять на сайте

Проверены хостинг, CDN, формы, CRM, аналитика и виджеты.
В документах раскрыты сторонние сервисы, если они участвуют в обработке.
Есть подтверждение, где находятся базы данных и первичная обработка.

Норма

Статья 18.1. Меры, направленные на выполнение обязанностей оператора

Оператору нужны политика обработки, локальные правила и контроль соответствия. Для публичного сайта первый видимый признак - доступная политика в футере и рядом с формами.

Что проверять на сайте

Политика обработки персональных данных открывается без ошибок.
Документ отражает реальные формы, цели, сервисы и подрядчиков.
У ответственного есть процесс проверки изменений на сайте.

Норма

Статья 22. Уведомление об обработке персональных данных

Многие операторы должны уведомлять Роскомнадзор до начала обработки. Исключения есть, но их нужно проверять по фактической схеме работы.

Что проверять на сайте

Организация проверена в реестре операторов персональных данных.
Сведения в уведомлении соответствуют реальным целям и категориям данных.
Изменения в обработке вовремя отражаются в уведомлении.

Норма

КоАП РФ, статья 13.11. Ответственность за нарушения в сфере персональных данных

Эта статья используется для оценки финансового риска. Конкретная часть зависит от нарушения: нет согласия, нет политики, нарушена локализация, не подано уведомление и так далее.

Что проверять на сайте

В отчете указана не только сумма риска, но и причина квалификации.
Перед отправкой клиенту выводы проверяются человеком.
Штрафы сверяются с актуальной редакцией нормы перед коммерческим предложением.