Чек-лист на соответствие сайта правилам Роскомнадзора

Предлагаю Вам подробный обновленный чек-лист для проверки соответствия сайта требованиям Роскомнадзора (РКН) на текущий год. Этот чек-лист подойдёт для юридических лиц, ИП и администраторов сайтов, обрабатывающих персональные данные граждан РФ.

✅ 1. Общие юридические требования

🔹 Регистрация оператора ПДн

• Зарегистрированы как оператор персональных данных на сайте rkn.gov.ru
• Есть соответствующий приказ/распоряжение внутри компании о назначении ответственного за ПДн
• Назначены лица, отвечающие за обработку и защиту персональных данных

✅ 2. Документы на сайте (Публичная часть)

🔹 Политика конфиденциальности

• Есть отдельная страница с Политикой конфиденциальности
• Указано, какие данные собираются (ФИО, email, телефон и др.)
• Описаны цели обработки ПДн
• Указаны способы хранения и защиты ПДн
• Указан способ отзыва согласия на обработку
• Указан срок хранения данных

🔹 Пользовательское соглашение / оферта (если применимо)

• Есть пользовательское соглашение или договор-оферта (для коммерческих сайтов)
• Указана ответственность сторон и порядок обработки данных

✅ 3. Согласие на обработку персональных данных

• На всех формах сбора данных есть чекбокс (галочка) с согласием на обработку ПДн
• Без проставления галочки отправка формы невозможна
• Текст согласия должен быть с гиперссылкой на политику конфиденциальности
• Есть логирование времени и факта получения согласия (если требуется)

✅ 4. Локализация и хранение данных

• Все ПДн граждан РФ обрабатываются и хранятся на серверах, расположенных в РФ (Федеральный закон № 242-ФЗ)
• Есть договор с хостинг-провайдером, подтверждающий размещение в РФ
• Серверы защищены (SSL, доступ по SSH и т. д.)

✅ 5. Информационная безопасность (ФЗ-152, ГОСТ, ФСТЭК)

• SSL-сертификат установлен (https://)
• Обновлён движок сайта, все CMS, модули и плагины
• Применены меры защиты от SQL-инъекций, XSS, CSRF и др.
• Используется антивирус и файрвол (WAF) на сервере
• Есть система резервного копирования

✅ 6. Взаимодействие с РКН

• Есть возможность оперативно удалить или ограничить доступ к информации по требованию РКН
• Контактная информация владельца сайта указана публично или в whois (или передана хостингу)
• Проверена регистрация сайта в ЕРИР (если сайт попадает под закон о «значимых ресурсах»)

✅ 7. Cookie и аналитику

• Есть баннер уведомления о cookie
• Согласие на cookie фиксируется (если используются cookie, собирающие поведенческие данные)
• Аналитика (Яндекс.Метрика, Google Analytics и др.) настроена с учетом требований к ПДн

✅ 8. Email- и SMS-рассылки

• У пользователей запрашивается отдельное согласие на маркетинговые рассылки
• Есть возможность легко отписаться от рассылки
• Фиксируются факты получения согласия на рассылку

✅ 9. Проверка через РКН и внешние инструменты

• Проведён аудит сайта с помощью pd.rkn.gov.ru
• Проверка на наличие в Реестре запрещенных сайтов: eais.rkn.gov.ru

✅ 10. Дополнительно (по ситуации)

• Для образовательных, медицинских и финансовых сайтов — соблюдение специфических норм (ФЗ-273, ФЗ-323, ФЗ-115 и др.)
• Если вы используете онлайн-чаты или чат-боты — они не должны собирать ПДн без согласия
• Проведена оценка соответствия требованиям ФСТЭК или ФСБ (если обрабатываются чувствительные или гос. данные)