152-ФЗ для сайта

ИСПДн для сайта: когда сайт становится системой ПДн

ИСПДн для сайта — это не только сервер или форма заявки, а вся цепочка, где обрабатываются персональные данные: страница, CRM, почта, чат, база заявок и доступы сотрудников. Если сайт собирает телефон, email, заказы или данные личного кабинета, владельцу нужно проверить, работает ли этот контур как информационная система персональных данных.

Для малого бизнеса вопрос обычно не в названии системы, а в фактах: какие данные собираются, где они хранятся, кто имеет доступ и есть ли понятные правила защиты. Именно с этого начинается нормальная проверка сайта по 152-ФЗ.

Когда сайт похож на ИСПДн

Форма обратной связи сама по себе ещё не описывает всю систему. Данные могут уходить в почту, CRM, Telegram, коллтрекинг, сервис рассылок и рекламные кабинеты. Если эти элементы вместе позволяют собирать, хранить, искать и использовать сведения о людях, владелец сайта уже должен думать категориями ИСПДн.

Особенно высокий риск у сайтов с личными кабинетами, медицинскими анкетами, образовательными платформами, интернет-магазинами, сервисами бронирования и кабинетами клиента.

СценарийЧто проверитьРиск
Заявка на сайтекуда уходит имя, телефон, emailбазовая обработка ПДн
Личный кабинетаккаунт, история, пароль, роли доступаустойчивая ИСПДн
CRMдоступы менеджеров и подрядчиковпередача и хранение
Анкета здоровьяспецкатегории ПДнповышенные требования

Семь вопросов для первичной проверки

  • Есть ли на сайте формы с именем, телефоном, email или адресом.
  • Хранятся ли заявки в админке, CRM или личном кабинете.
  • Есть ли роли доступа: администратор, менеджер, подрядчик.
  • Передаются ли данные во внешние сервисы.
  • Можно ли выгрузить базу клиентов или заявок.
  • Есть ли журналы действий или хотя бы понятная история обработки.
  • Описаны ли эти процессы в политике и внутренних документах.

Что меняется для владельца

Если сайт работает как ИСПДн, одной галочки под формой мало. Нужны политика обработки ПДн, понятные цели, согласия, правила доступа, меры безопасности и порядок удаления данных.

Не обязательно сразу строить тяжёлый контур с лишними документами. Но нужно зафиксировать минимум: состав данных, места хранения, ответственных, подрядчиков и технические меры.

С чего начать без лишней бюрократии

  • Составьте карту: форма → сервис → база → сотрудник → срок хранения.
  • Уберите поля, которые не нужны для заявки или заказа.
  • Закройте доступы бывшим сотрудникам и подрядчикам.
  • Проверьте, есть ли HTTPS, резервное копирование и ограничение прав.
  • Поставьте сайт на мониторинг, если формы и виджеты часто меняются.

Коротко

Обычный лендинг с формой заявки — это ИСПДн?

Он может быть частью ИСПДн, если данные из формы сохраняются, передаются в CRM или используются менеджерами. Смотреть нужно не только страницу, но и дальнейшую обработку.

Нужно ли малому бизнесу определять уровень защищённости?

Если персональные данные обрабатываются в информационной системе, уровень защищённости нужно оценивать по типу данных, угрозам и масштабу обработки.

Практический следующий шаг

Проверьте, есть ли у сайта признаки ИСПДн

Бесплатное превью покажет формы, cookie и базовые риски. Полный аудит 152-ФЗ стоит 700 ₽, а месячный мониторинг — 1 490 ₽.