Сайт собирает персональные данные: что делать
Коротко: если сайт собирает персональные данные, сначала нужно найти все точки сбора и понять реальный маршрут данных. Формы, cookie, личный кабинет, чат, заказ, запись, рассылка, оплата и CRM важнее шаблонного набора документов.
После этого можно собрать короткий план: что убрать, что описать, где отделить согласие, каких подрядчиков оформить и что поставить на мониторинг.
Первые пять действий
- найти все формы и поля, включая скрытые лендинги;
- понять цели: заявка, заказ, запись, рассылка, кабинет, поддержка;
- сверить политику, согласия и cookie с реальными сервисами;
- записать подрядчиков: CRM, чат, рассылка, телефония, аналитика;
- решить, нужна ли разовая проверка, документы или месячный мониторинг.
Карта обработки
| Что собрать | Зачем |
|---|---|
| Формы и поля | понять состав данных |
| Цели обработки | убрать лишнее и разделить согласия |
| Сервисы и подрядчики | оформить передачу и доступы |
| Сроки хранения | не держать заявки бессрочно |
| Канал обращений | отвечать субъектам и РКН |
Когда пора подключать 168-ФЗ
Если вместе с формами на сайте есть рекламные баннеры, карточки, меню, кнопки и интерфейс с иностранными словами, проверку 168-ФЗ можно добавить к тому же циклу.
Для таких страниц лучше не вести два отдельных процесса: сайт меняется целиком, и проверять персональные данные и язык удобнее вместе.
Коротко
С чего начать, если сайт уже работает?
С бесплатного превью и ручной карты форм. Потом станет понятно, нужны ли аудит, документы или мониторинг.
Нужно ли уведомление в РКН?
Это зависит от фактической обработки и исключений. Вопрос лучше проверять отдельно после карты данных.
Практический следующий шаг
Начните с карты сайта
Бесплатное превью покажет, где сайт собирает ПДн. Полный аудит 152-ФЗ стоит 700 ₽, мониторинг изменений — 1 490 ₽ в месяц.