РКН-аудит сайта: как быстро найти риски по персональным данным, формам и cookie

На сайте может быть аккуратная политика обработки персональных данных, но риск всё равно останется в форме обратной связи. Или в предзаполненном чекбоксе. Или в подключённом виджете, о котором забыли написать в документах.

Мы часто видим это на старых сайтах, интернет-магазинах, лендингах и B2B-проектах. Сайт годами дорабатывали, добавляли формы, аналитику, CRM-виджеты, онлайн-чаты, пиксели рекламных систем. Документы при этом могли не обновляться. В результате бизнес думает, что вопрос с персональными данными закрыт, а на практике остаются технические и организационные риски.

Для такой первичной проверки мы в WEB-AiM сделали инструмент РКН-аудита сайта. Он помогает быстро пройти по публичным страницам, найти потенциальные проблемы и подготовить список исправлений для разработчика, менеджера или юриста.

Это не юридическое заключение. Мы не заменяем юриста и не пишем в отчёте, что сайт “нарушает закон”. Формат другой: техническо-организационная диагностика сайта, доказательства, уровень риска и понятные доработки.

Почему одной политики на сайте недостаточно

Политика обработки персональных данных нужна, но сама по себе она не закрывает все вопросы. На сайте есть интерфейс, через который пользователь передаёт данные. И именно там часто появляются проблемы.

Типовые ситуации:

• форма собирает имя, телефон или email, но рядом нет отдельного согласия на обработку персональных данных;
• чекбокс согласия есть, но он уже отмечен заранее;
• чекбокс есть, но форму можно отправить без него;
• рядом с формой стоит ссылка только на общую политику, хотя нужно отдельное согласие;
• на сайте подключены Яндекс.Метрика, VK Pixel, JivoChat, Bitrix24, Google Tag Manager или другие сервисы, но они не отражены в документах;
• cookie-уведомление отсутствует или сделано формально;
• в разных разделах сайта указаны разные ИНН;
• оператор персональных данных не находится в публичном реестре РКН.

Часть этих проблем не видна при беглом просмотре главной страницы. Нужно смотреть формы, документы, служебные страницы, внешние скрипты и реквизиты.

Что проверяет РКН-аудит WEB-AiM

Наш инструмент rkn-audit автоматически обходит сайт и собирает технические признаки риска. Проверка построена по нескольким блокам.

1. Политика обработки персональных данных

Мы проверяем, найдена ли политика на сайте и насколько она похожа на рабочий документ, а не на короткую заглушку. Автоматическая проверка смотрит наличие смысловых блоков: оператор персональных данных, цели обработки, категории данных, права субъекта, порядок отзыва согласия, сроки обработки и хранения, контакты оператора, cookie, метрики и сторонние сервисы.

Если политика есть, но в ней не хватает важных частей, это попадает в предупреждения. Если документ слишком короткий или не найден, риск выше.

2. Согласие на обработку персональных данных

Политика и согласие решают разные задачи. Политика объясняет правила обработки данных. Согласие фиксирует волю пользователя перед отправкой конкретной формы.

Поэтому аудит проверяет, есть ли отдельный документ согласия и есть ли ссылка на него рядом с формами. Если согласие подменено только ссылкой на политику, это фиксируется как риск для ручной проверки и доработки.

3. Формы на сайте

Формы обычно дают больше всего находок. Инструмент ищет поля, которые похожи на сбор персональных данных: имя, телефон, email, адрес, комментарий, файл.

Затем проверяется, есть ли рядом чекбокс согласия, не отмечен ли он заранее, обязателен ли он для отправки формы, есть ли ссылки на политику и согласие.

Например, форма “Вам перезвонить?” может собирать имя и телефон. Если отдельного чекбокса согласия нет, это критичный сигнал для исправления.

4. Cookie, трекеры и внешние сервисы

Сайт может передавать данные внешним сервисам через аналитику, рекламные пиксели, виджеты и CDN. Инструмент ищет типовые подключения: Яндекс.Метрика, VK Pixel, Roistat, JivoChat, Bitrix24, amoCRM, Google Analytics, Google Tag Manager, Top.Mail.ru, Calltouch, Mango Office, Callibri, Envybox, YouTube, Google Fonts, reCAPTCHA, Cloudflare, jsDelivr и другие.

После этого проверяется, раскрыты ли найденные сервисы в политике и есть ли признаки cookie-уведомления или отдельной cookie-policy.

5. Реквизиты и реестр операторов ПДн

Аудит ищет ИНН и ОГРН или ОГРНИП, проверяет контрольные суммы и отмечает ситуации, когда на одном сайте найдено несколько разных ИНН.

Если ИНН найден, инструмент может проверить его в публичном реестре операторов персональных данных РКН. Если оператор найден, в отчёте указывается номер записи. Если не найден, это серьёзный риск для дополнительной проверки.

Как выглядит результат

После проверки формируется отчёт. Его можно использовать в задаче, отправить ответственному менеджеру, передать разработчику или обсудить с юристом.

В отчёте есть:

• итоговая оценка от 0 до 100;
• уровень риска: low, medium, high или critical;
• список критичных проблем;
• предупреждения;
• пункты, где нужна ручная проверка;
• найденные формы и страницы;
• найденные cookie и внешние сервисы;
• найденные реквизиты;
• результат проверки по реестру РКН;
• артефакты и доказательства.

Форматы отчёта разные под разные задачи. JSON нужен для машинной обработки и повторной генерации отчёта. Markdown удобно вставить в задачу, письмо или внутреннюю базу знаний. PDF подходит для клиента и обсуждения с командой.

Почему в отчёте есть скоринг

Оценка от 0 до 100 помогает быстро понять приоритет. Это не юридическая “оценка соответствия”, а рабочий ориентир.

Если риск critical, сначала смотрим формы, согласия, реквизиты и реестр. Если high или medium, обычно речь идёт о неполной политике, cookie, раскрытии внешних сервисов или отдельных проблемах в формах. Low не означает, что юрист больше не нужен. Это означает, что автоматическая проверка не нашла явных технических проблем в проверенных зонах.

Такой формат удобен для поддержки сайта: видно, что исправлять первым, что можно запланировать, а что нужно вынести на ручную юридическую проверку.

Что автоматизация не заменяет

РКН-аудит WEB-AiM не заменяет юридическую экспертизу. Инструмент не оценивает весь документооборот компании, договоры, внутренние регламенты, фактические процессы обработки данных и согласия вне сайта.

Он решает другую задачу: быстро проверить публичную часть сайта, найти технические признаки риска, собрать доказательства и превратить их в список доработок.

Для бизнеса это практичный первый шаг. Не нужно начинать с длинной переписки и ручного просмотра десятков страниц. Сначала получаем карту проблем, затем решаем, что исправляет разработчик, что проверяет менеджер, а что лучше отдать юристу.

Что делать после аудита

Обычно план работ выглядит так:

1. Исправить критичные проблемы в формах.
2. Проверить чекбоксы согласия на всех формах.
3. Убрать предзаполненные чекбоксы, если они есть.
4. Добавить ссылки на политику и отдельное согласие рядом с формами.
5. Обновить политику обработки персональных данных.
6. Раскрыть cookie, аналитику, рекламные пиксели, чаты и CRM-виджеты.
7. Проверить реквизиты и статус оператора в реестре РКН.
8. Запустить повторный аудит и убедиться, что критичные проблемы закрыты.

Часть этих задач относится к разработке и поддержке сайта. Именно здесь WEB-AiM может помочь не только найти проблему, но и довести её до исправления.

Как WEB-AiM помогает с доработками после проверки

Мы можем провести РКН-аудит как отдельную диагностику или включить его в работы по поддержке и развитию сайта.

Если по итогам проверки найдены проблемы в формах, чекбоксах, ссылках, cookie-уведомлении, подключённых сервисах или структуре документов, их можно отработать в рамках услуги “Поддержка и развитие”: https://web-aim.ru/services/support/

Для сайтов, где нужна регулярная техническая поддержка, доработка форм, исправление ошибок, развитие разделов и контроль качества, подойдёт услуга “Поддержка и развитие сайтов”: https://web-aim.ru/services/support/tekhpodderzhka/

Такой подход удобен для действующих проектов. Сначала аудит показывает риски. Затем команда поддержки заводит задачи, расставляет приоритеты, вносит изменения на сайте и после этого запускает повторную проверку.

Когда стоит заказать такую проверку

РКН-аудит особенно полезен, если сайт:

• собирает заявки через формы;
• использует личный кабинет или онлайн-заказы;
• подключён к CRM;
• использует аналитику, рекламные пиксели или онлайн-чаты;
• давно не обновлял политику и согласия;
• передавался между подрядчиками;
• активно дорабатывался, но юридические тексты не пересматривались;
• готовится к рекламе, масштабированию или обновлению.

Проверку лучше делать до претензии или жалобы. Особенно если сайт давно работает и на нём накопились формы, виджеты и внешние сервисы.

Итог

РКН-аудит сайта помогает быстро увидеть, где у проекта есть технические и организационные риски по персональным данным. Он не заменяет юриста, но даёт бизнесу понятную карту проблем: что найдено, где найдено, насколько это критично и что делать дальше.

WEB-AiM может провести такую проверку, подготовить отчёт и помочь с доработками сайта в рамках поддержки и развития.

Если хотите проверить сайт на базовые риски по персональным данным, оставьте заявку на аудит. Мы покажем проблемные места и предложим понятный план исправлений.