Запуск сайта в России может сорваться не из-за дизайна или скорости загрузки, а из-за одной формы обратной связи без согласия на обработку персональных данных. 152-ФЗ касается почти любого коммерческого сайта: вы собираете имя, телефон, email, cookie-идентификаторы, заявки, данные из чата или события аналитики — значит, уже обрабатываете персональные данные. Хорошая новость: значительную часть первичного аудита можно поручить AI-агенту в O·LESA, чтобы до релиза увидеть юридические и технические риски, которые обычно всплывают слишком поздно.
Что именно должен проверить AI-агент
AI-аудит по 152-ФЗ — это не замена юристу, а быстрый способ найти слабые места на сайте до публикации или рекламного запуска. Агент может пройти по страницам, собрать формы, тексты документов, скрипты аналитики и подготовить отчет для владельца проекта, юриста и разработчика.
Минимальный набор проверок:
- Есть ли на сайте политика обработки персональных данных.
- Совпадает ли оператор в политике, реквизитах и футере.
- Есть ли согласие рядом с каждой формой сбора данных.
- Не предустановлены ли чекбоксы согласий.
- Какие сторонние скрипты загружаются на страницах.
- Передаются ли данные в иностранные сервисы.
- Есть ли отдельное согласие на рекламу и рассылки.
- Указаны ли контакты для обращений субъектов персональных данных.
- Проверена ли локализация баз данных для граждан РФ.
Например, сайт B2B-сервиса может иметь всего три видимых формы: заявка на демо, подписка на рассылку и чат. Но в коде страницы одновременно работают счетчик, пиксель рекламной сети, виджет коллтрекинга, онлайн-чат и CRM-форма. Для 152-ФЗ важны не только поля, которые видит пользователь, но и скрытые идентификаторы: IP-адрес, cookie ID, Client ID, события поведения, UTM-метки, запись сессии.
Политика обработки персональных данных: не шаблон ради галочки
Политика должна быть опубликована на сайте и доступна до отправки формы. AI-агенту стоит проверить не только наличие страницы, но и содержание документа.
В политике желательно увидеть:
- полное наименование оператора, ИНН, ОГРН, адрес;
- цели обработки: обработка заявок, заключение договора, рассылка, аналитика, поддержка;
- категории данных: ФИО, телефон, email, должность, компания, IP, cookie, технические данные;
- действия с данными: сбор, запись, хранение, уточнение, передача, удаление;
- сроки хранения или критерии их определения;
- способы отзыва согласия;
- контакты для обращений субъектов данных;
- сведения о трансграничной передаче, если она есть;
- перечень третьих лиц или хотя бы категории получателей данных;
- меры защиты персональных данных.
Типичная ошибка: в политике написано, что сайт собирает только имя и телефон, но фактически подключены аналитика, чат, форма записи на вебинар и сервис email-рассылок. AI-агент должен отметить расхождение: документ не описывает реальный контур обработки.
Еще один риск — политика от другой компании. Такое бывает, когда лендинг копируют с прошлого проекта или подрядчик оставляет старый шаблон. Если в футере указан один оператор, в политике другой, а домен принадлежит третьему лицу, это красный флаг.
Согласие в формах: где кнопка, там и риск
Любая форма, где пользователь оставляет контактные данные, должна быть проверена отдельно. Недостаточно разместить ссылку на политику в футере. Пользователь должен видеть, что отправка формы связана с обработкой его данных.
AI-агенту стоит искать формы:
- обратной связи;
- заявки на демо;
- заказа звонка;
- подписки на рассылку;
- регистрации в личном кабинете;
- скачивания white paper или прайс-листа;
- онлайн-чата;
- квиза;
- формы оплаты;
- формы комментариев.
Корректный вариант рядом с кнопкой: Пользователь подтверждает согласие на обработку персональных данных и ознакомление с политикой, при этом слова политика обработки персональных данных ведут на актуальный документ.
Для маркетинговых рассылок лучше делать отдельное согласие. Например, форма заявки на консультацию и чекбокс Я согласен получать информационные и рекламные материалы — это разные цели. Чекбокс на рекламу не должен быть заранее отмечен.
Плохой пример: одна фраза Нажимая кнопку, вы соглашаетесь со всем, без ссылки на документ и без отдельного согласия на рассылку. Еще хуже — форма отправляется, даже если пользователь снял чекбокс согласия.
AI-агент может проверить поведение интерфейса: есть ли чекбокс, активна ли кнопка без согласия, открывается ли ссылка на политику, одинаковый ли текст согласия на мобильной и десктопной версии.
Оператор в реквизитах: кто отвечает перед пользователем
По 152-ФЗ оператор — это лицо, которое организует или осуществляет обработку персональных данных и определяет цели обработки. Для сайта важно, чтобы пользователь понимал, кто именно собирает его данные.
AI-агент должен сравнить:
- реквизиты в футере сайта;
- данные в политике персональных данных;
- сведения в пользовательском соглашении или оферте;
- данные в форме оплаты;
- владельца домена, если информация доступна;
- реквизиты в email-рассылке;
- юридическое лицо, указанное в платежном модуле.
Пример риска: сайт продает услуги ООО Ромашка, платежи принимает ИП Иванов, политика оформлена на ООО Маркетинг, а заявки уходят в CRM агентства-подрядчика. В такой схеме нужно четко определить роли: кто оператор, кто обработчик по поручению, кому передаются данные и на каком основании.
Если используется O·LESA для AI-аудита, агент может собрать все найденные упоминания ИНН, ОГРН, названий компаний и email-адресов в одну таблицу. Это удобно: расхождения становятся видны сразу, без ручного просмотра десятков страниц.
Трансграничная передача: почему аналитика и пиксели опасны
Самая недооцененная зона риска — сторонние сервисы. Многие команды считают, что персональные данные — это только телефон и email. Но аналитические и рекламные скрипты могут собирать идентификаторы пользователя, IP-адрес, параметры устройства, события на сайте и связывать их с профилем в рекламной системе.
Особое внимание стоит обратить на:
- Google Analytics;
- Meta Pixel;
- зарубежные рекламные пиксели;
- иностранные сервисы email-рассылок;
- виджеты онлайн-чата;
- сервисы сквозной аналитики;
- карты и встроенные видео;
- CDN, которые логируют IP пользователей;
- формы, встроенные через зарубежные конструкторы;
- системы записи сессий и тепловых карт.
Наличие Google Analytics или Meta Pixel само по себе не означает автоматический запрет, но создает вопросы: какие данные передаются, куда, на каком основании, уведомлен ли Роскомнадзор о трансграничной передаче, соблюдается ли локализация первичной базы персональных данных граждан РФ, отражена ли передача в политике, можно ли отключить сбор до получения согласия.
С 152-ФЗ связаны два важных принципа. Первый — при сборе персональных данных граждан РФ запись, систематизация, накопление, хранение, уточнение и извлечение должны выполняться с использованием баз данных, находящихся на территории России. Второй — при трансграничной передаче оператору нужно заранее оценивать страну и получателя, а в предусмотренных случаях уведомлять Роскомнадзор.
Практический пример: пользователь оставляет заявку на российском лендинге. Заявка сохраняется в российской CRM, но одновременно событие lead улетает в зарубежную рекламную систему вместе с email в хешированном виде и cookie ID. Это уже не просто статистика посещаемости, а передача данных третьей стороне. AI-агент должен отметить такой сценарий как требующий отдельной правовой оценки.
Технический аудит: что смотреть в коде и сети
Для качественного аудита недостаточно читать страницы глазами. Нужно проверить, что реально загружается в браузере.
AI-агент или связанный с ним сценарий проверки может собрать:
- Список внешних доменов, к которым обращается сайт.
- Скрипты аналитики, рекламы, чатов и виджетов.
- Cookie, которые устанавливаются до согласия пользователя.
- События, отправляемые при отправке формы.
- Параметры URL, где могут быть email, телефон или имя.
- Наличие cookie-баннера и его поведение.
- Передачу данных в iframe и встроенные формы.
Частая ошибка — передача персональных данных в URL. Например, после отправки формы пользователь попадает на страницу благодарности с адресом вида /thanks?email=user@example.com&phone=79990000000. Такой URL может попасть в логи сервера, аналитику, рекламные пиксели и историю браузера.
Другой пример — cookie-баннер есть, но счетчики запускаются до выбора пользователя. С точки зрения комплаенса это слабое место: баннер становится декоративным, а не управляющим механизмом согласия.
Итоговый отчет AI-агента: формат для бизнеса
Хороший результат аудита — не длинный абстрактный текст, а список конкретных задач. Для каждой находки стоит указать:
- страницу или URL;
- элемент риска;
- почему это важно;
- уровень критичности;
- кто должен исправить: юрист, разработчик, маркетолог, владелец продукта;
- рекомендуемое действие.
Пример записи в отчете: На странице /demo форма заявки собирает имя, email и телефон, но рядом с кнопкой нет ссылки на политику обработки персональных данных. Критичность: высокая. Действие: добавить текст согласия, ссылку на актуальную политику, запретить отправку формы без подтверждения.
Или: На всех страницах найден Meta Pixel, который загружается до выбора пользователя в cookie-баннере. Критичность: высокая. Действие: проверить необходимость пикселя, описать передачу в политике, настроить отложенную загрузку после согласия, оценить трансграничную передачу.
В O·LESA такой агент можно использовать как первую линию контроля перед релизом: он быстро собирает факты, структурирует риски и помогает команде не забыть важные пункты. Финальные формулировки политики, согласий и уведомлений все равно стоит согласовать с профильным юристом.
Короткий вывод
Аудит сайта по 152-ФЗ — это не формальность, а часть запуска продукта в России. До старта рекламы проверьте политику, согласия, оператора, сторонние скрипты и трансграничную передачу. AI-агент помогает быстро найти несоответствия, но главная задача бизнеса — привести реальные процессы обработки данных в соответствие с документами на сайте.