Правовой аудит сайта — это не просмотр одной политики конфиденциальности и не формальная проверка подвала. Нормальный аудит смотрит на сайт как на рабочую систему: какие данные он собирает, как оформлены формы, кто выступает оператором, какие документы доступны пользователю, какие сервисы подключены и совпадает ли все это с внутренними процессами компании. На официальном сайте Роскомнадзора для операторов отдельно вынесены обязанности оператора, а на портале персональных данных есть формы уведомления, изменения сведений и проверка статуса в реестре. Это показывает, что контроль строится вокруг всей модели обработки данных, а не вокруг одного текста на сайте.
Первый блок аудита — инвентаризация всех точек сбора данных. Сюда входят не только формы на странице контактов, но и заказ звонка, квизы, поп-апы, подписка, чат, формы в статьях, лендинги, личный кабинет, мобильная версия и старые страницы, которые все еще доступны по прямым URL. Пока этот перечень не собран, любые выводы о правовом состоянии сайта будут неполными. Часто проблемы находятся не на главной странице, а в забытых разделах после редизайна, переезда или доработок.
Второй блок — проверка документов. Аудит смотрит, есть ли на сайте политика в отношении обработки персональных данных, тексты согласий, пользовательские документы и насколько они соответствуют фактической логике сайта. Сам по себе Федеральный закон № 152-ФЗ устанавливает требования к обработке персональных данных и защите прав субъектов таких данных, поэтому аудит всегда должен проверять не наличие шаблона, а соответствие сайта реальному режиму обработки.
Третий блок — маршрут данных после отправки формы. Для бизнеса это особенно важно. Сайт может казаться простым, но заявки уходят в CRM, на почту, в таблицы, к подрядчику по рекламе, в чат или через виджет стороннего сервиса. Если это не описано в документах и не учтено внутренне, у сайта появляется правовой разрыв между интерфейсом и фактической обработкой. Аудит как раз помогает увидеть этот разрыв заранее, до запроса или жалобы.
Обычно в правовой аудит сайта входят такие элементы:
- проверка всех форм и каналов, через которые сайт получает персональные данные;
- сверка документов сайта с фактическими сценариями сбора и использования данных;
- анализ текстов согласий, чекбоксов и ссылок на документы рядом с формами;
- проверка мобильной версии, поп-апов, старых страниц, архивов и тестовых копий;
- анализ внешних сервисов: CRM, аналитики, чатов, коллтрекинга, виджетов и иных интеграций;
- сопоставление сайта с внутренними процессами компании и уже поданными сведениями об операторе.
Полезная часть аудита — проверка официального контура. На портале персональных данных есть реестр операторов и сервис проверки состояния уведомления. Поэтому один из практических шагов аудита — посмотреть, совпадает ли текущая модель сайта с тем, как оператор уже описан в официальных сведениях, если такие сведения подавались. При изменении модели обработки на сайте Роскомнадзором предусмотрена отдельная форма уведомления об изменении сведений.
Риски, которые аудит помогает увидеть заранее, обычно не выглядят как одна грубая ошибка. Чаще это набор несостыковок. Например, политика описывает один набор данных, а форма собирает другой. Или сайт использует внешние сервисы, но документы этого не отражают. Или в десктопной версии рядом с формой есть ссылка на документы, а в мобильной версии ее нет. Или старый лендинг продолжает принимать заявки по прямому URL без актуальных согласий и ссылок. Такие вещи редко заметны без последовательной ревизии.
Часто аудит выявляет такие проблемы:
- формы на сайте собирают данные без понятного информирования пользователя;
- документы есть, но они не соответствуют реальной работе сайта;
- мобильная версия оформлена слабее, чем десктопная;
- старые страницы, квизы и поп-апы остались вне проверки;
- маршрут данных после отправки формы не описан и не контролируется;
- текущая работа сайта расходится с уже поданными сведениями или внутренними правилами.
Отдельная ценность правового аудита в том, что он показывает не только уже существующие нарушения, но и зоны, где сайт уязвим при ближайшей доработке. Достаточно добавить новый квиз, подключить другой чат, вынести форму в блог, изменить сбор аналитики или запустить лид-магнит — и старая схема документов перестает совпадать с сайтом. Аудит помогает увидеть, какие элементы нужно пересматривать при любом изменении структуры проекта, чтобы потом не переделывать все в срочном порядке.
Хороший правовой аудит сайта полезен не потому, что создает длинный отчет, а потому, что превращает сайт в понятную систему. Видно, где собираются данные, какие документы к этому привязаны, кто получает заявки, что нужно обновить и где есть риск запроса, жалобы или спора. Для сайта это намного практичнее, чем разовая публикация шаблонной политики без проверки остальной логики
При подготовке статьи частично использованы материалы с сайта web2b.law — что входит в правовой аудит сайта
Дата публикации: 29 мая 2022 года
