Короткий ответ
Сайт стоит проверить по 152-ФЗ, если он собирает имя, телефон, email или другие данные через формы, использует cookies, аналитику, пиксели, онлайн-чаты или CRM-виджеты. Главная задача — понять, какие данные собираются, на каких основаниях и что видит пользователь до отправки формы.
Формы сайта
Начните с карты всех форм: заявка, обратная связь, подписка, регистрация, заказ, скачивание материалов, обратный звонок. Рядом с формой пользователь должен видеть понятное основание обработки и ссылку на документы.
- форма заявки;
- обратный звонок;
- подписка на рассылку;
- регистрация в сервисе;
- форма заказа или оплаты;
- виджеты чата и CRM-формы.
Согласия
Согласие должно соответствовать цели обработки. Обычная заявка, рекламная рассылка и передача данных третьим лицам — это разные сценарии. Их лучше не смешивать в один неясный чекбокс.
Политика обработки персональных данных
Политика должна соответствовать фактической работе сайта. Если на сайте есть Метрика, чат, CRM, формы и внешние сервисы, это должно быть учтено. Документ, скопированный из шаблона, часто не отражает реальную схему обработки.
Cookies, аналитика и виджеты
Отдельно проверьте Яндекс Метрику, рекламные пиксели, онлайн-чаты, CRM-виджеты, карты, платежные и иные внешние сервисы. Даже если сайт не имеет регистрации, такие инструменты могут участвовать в обработке пользовательских данных.
Уведомление Роскомнадзора
Вопрос уведомления зависит от конкретной схемы обработки данных. Его нельзя решать только по факту наличия сайта: нужно смотреть, какие данные собираются, кто оператор, какие цели и какие исключения применимы.
Типовые ошибки
- Форма есть, а ссылки на политику рядом нет.
- Один чекбокс используется и для заявки, и для рекламы.
- Cookie-уведомление отсутствует или не связано с документами.
- Политика не описывает реальные сервисы сайта.
- Подрядчик поставил виджет, но юридически его никто не проверил.