1. Размещаем обязательные документы
- Политика обработки персональных данных. Создайте отдельную страницу, где чётко напишите:
- какие данные собираете (имя, email, телефон, cookies и т. п.);
- зачем вам эти данные (например, для обработки заявок или рассылки);
- как храните и защищаете их;
- кому можете передать (если есть партнёры или сервисы);
- как пользователь может отозвать согласие.
- Согласие на обработку персональных данных. Отдельно оформите документ, где пользователь явно подтверждает: «Да, я разрешаю вам использовать мои данные так, как описано в Политике».
2. Настраиваем формы сбора данных
- В каждой форме (заявка, подписка, обратная связь) добавьте чекбокс с текстом:
Важно: чекбокс не должен быть отмечен заранее. Пользователь должен сам его кликнуть.
- Если собираете данные для рассылки, добавьте второй чекбокс:
3. Настраиваем уведомление о cookies
При первом входе на сайт показывайте всплывающее окно с текстом:
«Этот сайт использует cookies для анализа поведения пользователей. Продолжая пользоваться сайтом, вы соглашаетесь с условиями их использования.»
Добавьте ссылку на Политику обработки данных.
Поставьте кнопку «Согласен» или «Ок».
При первом входе на сайт показывайте всплывающее окно с текстом:
«Этот сайт использует cookies для анализа поведения пользователей. Продолжая пользоваться сайтом, вы соглашаетесь с условиями их использования.»
Добавьте ссылку на Политику обработки данных.
Поставьте кнопку «Согласен» или «Ок».
4. Проверяем, где хранятся данные
Все персональные данные (из форм, CRM, аналитики) должны сначала попадать на российские серверы.
Если используете иностранные сервисы (например, облачное хранилище или CRM), убедитесь: данные не уходят за границу сразу. Сначала они должны сохраниться в России.
Если данные всё же нужно передать за рубеж, подайте уведомление в Роскомнадзор:
укажите, куда и зачем передаёте данные;
опишите меры защиты;
дождитесь ответа РКН (обычно 10 рабочих дней).
Все персональные данные (из форм, CRM, аналитики) должны сначала попадать на российские серверы.
Если используете иностранные сервисы (например, облачное хранилище или CRM), убедитесь: данные не уходят за границу сразу. Сначала они должны сохраниться в России.
Если данные всё же нужно передать за рубеж, подайте уведомление в Роскомнадзор:
укажите, куда и зачем передаёте данные;
опишите меры защиты;
дождитесь ответа РКН (обычно 10 рабочих дней).
5. Убираем иностранные сервисы
Google Analytics, Google Tag Manager, Google Forms, Google reCAPTCHA, Google Maps, Facebook Pixel — удалите. Они отправляют данные на зарубежные серверы.
Замените на российские аналоги: Яндекс.Метрика, VK Pixel, Яндекс.Таг Менеджер.
Проверьте код сайта (Ctrl+U в браузере) на скрытые скрипты. Если нашли — удалите.
Google Analytics, Google Tag Manager, Google Forms, Google reCAPTCHA, Google Maps, Facebook Pixel — удалите. Они отправляют данные на зарубежные серверы.
Замените на российские аналоги: Яндекс.Метрика, VK Pixel, Яндекс.Таг Менеджер.
Проверьте код сайта (Ctrl+U в браузере) на скрытые скрипты. Если нашли — удалите.
6. Проверяем хостинг
Ваш сайт должен быть на российском хостинге. Если сейчас на зарубежном — перенесите.
Ваш сайт должен быть на российском хостинге. Если сейчас на зарубежном — перенесите.
7. Добавляем юридическую информацию
В футере сайта укажите:
полное название вашей компании или ФИО (если ИП);
юридический адрес;
телефон и email для связи.
8. Подаём уведомление в Роскомнадзор
Зайдите на сайт РКН или через Госуслуги.
Заполните форму: цели обработки, способы, меры защиты, список систем, факт передачи данных за рубеж (если есть).
Отправьте. Без этого нельзя начинать обработку данных.
Зайдите на сайт РКН или через Госуслуги.
Заполните форму: цели обработки, способы, меры защиты, список систем, факт передачи данных за рубеж (если есть).
Отправьте. Без этого нельзя начинать обработку данных.
9. Настраиваем безопасность
SSL‑сертификат. Сайт должен работать по HTTPS (в адресной строке — зелёный замок).
Шифрование данных. Базы данных должны быть зашифрованы.
Резервные копии. Настройте регулярное копирование данных.
Доступ. Только те сотрудники, кому это нужно по работе, могут видеть персональные данные.
SSL‑сертификат. Сайт должен работать по HTTPS (в адресной строке — зелёный замок).
Шифрование данных. Базы данных должны быть зашифрованы.
Резервные копии. Настройте регулярное копирование данных.
Доступ. Только те сотрудники, кому это нужно по работе, могут видеть персональные данные.
10. Проверяем публикации данных
Если на сайте есть фото или ФИО сотрудников/клиентов, получите письменное согласие на их размещение.
Создайте страницу с согласиями и дайте на неё ссылку (например, в разделе «О нас»).
Если на сайте есть фото или ФИО сотрудников/клиентов, получите письменное согласие на их размещение.
Создайте страницу с согласиями и дайте на неё ссылку (например, в разделе «О нас»).
11. Убираем запрещённые соцсети
Иконки Instagram, Facebook, WhatsApp — удалите. Эти сервисы запрещены в РФ.
Если оставляете текстовые ссылки, добавьте пометку: «Ресурс запрещён на территории РФ».
Иконки Instagram, Facebook, WhatsApp — удалите. Эти сервисы запрещены в РФ.
Если оставляете текстовые ссылки, добавьте пометку: «Ресурс запрещён на территории РФ».
12. Настраиваем отзыв согласия
В документе «Согласие на обработку» укажите, как пользователь может его отозвать (например, отправив письмо на email).
На сайте сделайте форму для запроса на удаление данных.
В документе «Согласие на обработку» укажите, как пользователь может его отозвать (например, отправив письмо на email).
На сайте сделайте форму для запроса на удаление данных.
13. Ведём логи
Сохраняйте доказательства согласия (например, скриншоты или записи).
Фиксируйте все действия с данными: кто и когда их смотрел, менял или удалял.
Сохраняйте доказательства согласия (например, скриншоты или записи).
Фиксируйте все действия с данными: кто и когда их смотрел, менял или удалял.
14. Проводим аудит
Раз в 3–6 месяцев проверяйте:
нет ли на сайте скрытых скриптов, отправляющих данные за рубеж;
актуальны ли Политика и Согласие (если что‑то изменилось — обновите);
работают ли все формы и уведомления.
Раз в 3–6 месяцев проверяйте:
нет ли на сайте скрытых скриптов, отправляющих данные за рубеж;
актуальны ли Политика и Согласие (если что‑то изменилось — обновите);
работают ли все формы и уведомления.
Важно: если сомневаетесь — проконсультируйтесь с юристом по персональным данным. Закон часто меняется, и лучше перепроверять.