ИСПДн для сайта: когда сайт становится системой ПДн
ИСПДн для сайта — это не только сервер или форма заявки, а вся цепочка, где обрабатываются персональные данные: страница, CRM, почта, чат, база заявок и доступы сотрудников. Если сайт собирает телефон, email, заказы или данные личного кабинета, владельцу нужно проверить, работает ли этот контур как информационная система персональных данных.
Для малого бизнеса вопрос обычно не в названии системы, а в фактах: какие данные собираются, где они хранятся, кто имеет доступ и есть ли понятные правила защиты. Именно с этого начинается нормальная проверка сайта по 152-ФЗ.
Когда сайт похож на ИСПДн
Форма обратной связи сама по себе ещё не описывает всю систему. Данные могут уходить в почту, CRM, Telegram, коллтрекинг, сервис рассылок и рекламные кабинеты. Если эти элементы вместе позволяют собирать, хранить, искать и использовать сведения о людях, владелец сайта уже должен думать категориями ИСПДн.
Особенно высокий риск у сайтов с личными кабинетами, медицинскими анкетами, образовательными платформами, интернет-магазинами, сервисами бронирования и кабинетами клиента.
| Сценарий | Что проверить | Риск |
|---|---|---|
| Заявка на сайте | куда уходит имя, телефон, email | базовая обработка ПДн |
| Личный кабинет | аккаунт, история, пароль, роли доступа | устойчивая ИСПДн |
| CRM | доступы менеджеров и подрядчиков | передача и хранение |
| Анкета здоровья | спецкатегории ПДн | повышенные требования |
Семь вопросов для первичной проверки
- Есть ли на сайте формы с именем, телефоном, email или адресом.
- Хранятся ли заявки в админке, CRM или личном кабинете.
- Есть ли роли доступа: администратор, менеджер, подрядчик.
- Передаются ли данные во внешние сервисы.
- Можно ли выгрузить базу клиентов или заявок.
- Есть ли журналы действий или хотя бы понятная история обработки.
- Описаны ли эти процессы в политике и внутренних документах.
Что меняется для владельца
Если сайт работает как ИСПДн, одной галочки под формой мало. Нужны политика обработки ПДн, понятные цели, согласия, правила доступа, меры безопасности и порядок удаления данных.
Не обязательно сразу строить тяжёлый контур с лишними документами. Но нужно зафиксировать минимум: состав данных, места хранения, ответственных, подрядчиков и технические меры.
С чего начать без лишней бюрократии
- Составьте карту: форма → сервис → база → сотрудник → срок хранения.
- Уберите поля, которые не нужны для заявки или заказа.
- Закройте доступы бывшим сотрудникам и подрядчикам.
- Проверьте, есть ли HTTPS, резервное копирование и ограничение прав.
- Поставьте сайт на мониторинг, если формы и виджеты часто меняются.
Коротко
Обычный лендинг с формой заявки — это ИСПДн?
Он может быть частью ИСПДн, если данные из формы сохраняются, передаются в CRM или используются менеджерами. Смотреть нужно не только страницу, но и дальнейшую обработку.
Нужно ли малому бизнесу определять уровень защищённости?
Если персональные данные обрабатываются в информационной системе, уровень защищённости нужно оценивать по типу данных, угрозам и масштабу обработки.
Практический следующий шаг
Проверьте, есть ли у сайта признаки ИСПДн
Бесплатное превью покажет формы, cookie и базовые риски. Полный аудит 152-ФЗ стоит 700 ₽, а месячный мониторинг — 1 490 ₽.