Я создал сервис, который проверяет риски по 152‑ФЗ на сайте и помогает подготовиться к проверкам

Летом моему клиенту пришло предписание от РКН. Интернет-магазин, обороты приличные, всё вроде в порядке. Звонит в панике: «Что делать? Я ничего не понимаю!»

Открываю предписание — там про cookie-баннер и аналитику. Клиент вообще не в курсе, что это может быть проблемой. «У всех же стоят счетчики, почему я?»

Важное уточнение. Я делал только техническую часть сайта. За формулировки политики конфиденциальности и cookie-баннеров отвечали юристы клиента. Но, видимо, либо сделали это формально, либо вообще забили.

Начал разбираться. Оказалось, что 152-ФЗ для большинства владельцев сайтов — это темный лес. Можно вызвать юриста за 50-100к, можно неделю читать законы. А можно ничего не делать и ждать, пока не придет предписание.

Подумал, а что если сделать инструмент, который просто покажет «вот тут у вас проблема, а тут всё в порядке». Без лишней сложности, быстро, с конкретными рекомендациями.

Только честно — это не панацея и не замена юристу. Если у вас сложный бизнес с персональными данными — идите к специалистам. Сервис для тех, кто хочет за пять минут понять, где могут быть проблемы.

Первую версию сделал за пару недель по ночам. Днем основная работа, вечером — это.

Логика простая. Вводишь URL, сервис заходит на сайт, анализирует главную страницу и то, что находит по ссылкам (формы, политика конфиденциальности). За минуту-две выдает отчет. Красное — проблема, желтое — стоит посмотреть, зеленое — всё в порядке.

Проверяем:

• Есть ли политика конфиденциальности и не устарела ли она (у многих еще версия от 2018 года);
• Формы обратной связи — есть ли там чекбокс согласия;
• Cookie-баннер — настоящий или для галочки;
• HTTPS и сертификат;
• Какие скрипты используются (Метрика, Аналитика, различные трекеры).

Первая версия была несовершенная — ложные срабатывания, неточные формулировки. Потом дорабатывал: убирал шум, переписывал тексты в отчетах, чтобы было понятно обычному человеку.

Самое сложное — это юридическая часть. Найти проблему технически оказалось несложно. Объяснить, почему это проблема и что с ней делать, вот тут стало сложнее.

Пришлось звать юриста, который специализируется на персональных данных. Сидели, разбирали каждую проверку — как это формулировать, на какие статьи ссылаться, что советовать.

Например, банально «у вас нет политики конфиденциальности». Юрист говорит — это не просто «плохо», это прямое нарушение п. 2 ст. 18.1 152-ФЗ, штраф до 20к для ИП. И дальше конкретно: где взять шаблон, что в нем указать, куда поставить ссылку. Без этого сервис был бы бесполезен — просто набор красных меток без объяснений.

Запустил две недели назад. Сделал 1517 быстрых и полных проверок. Для старта неплохо даже очень неплохо.

Самая частая реакция: «Я был уверен, что у меня всё в порядке. А тут даже форма обратной связи без согласия да и еще Политика неполная!».

По статистике проверок вижу, что у всех одни и те же проблемы:

• Счетчики без согласи, метрика и аналитика установлены на 90% сайтов. Согласие на их работу — максимум на 20%. Все думают «у всех так», но РКН на это не смотрит;
• Фиктивные cookie-баннеры: выскакивает окошко «мы используем cookie» с одной кнопкой «ОК». Это не согласие, это декорация. Нужен реальный выбор: принять или отклонить;
• Формы: есть поле «Имя», «Email», «Телефон» и кнопка «Отправить». Нет ни чекбокса согласия, ни ссылки на политику. Классика жанра ;).

Сейчас сервис имеет бесплатную и платную проверки, собираю фидбэк. Понимаю, что нужно добавить:

• API для юристов — несколько юр.фирм уже запросили, можно ли прогонять списки сайтов автоматом. Звучит логично — вместо ручной проверки по чек-листу делаешь пачку за минуту;
• Генератор документов — сервис анализирует, что используется на вашем сайте (формы, аналитика, реклама) и собирает под это политику конфиденциальности. Пока только в планах, не уверен, насколько реально сделать это качественно с Юридической точки зрения, потребуются консультации.

Хочу спросить:

1. Какая проверка по 152-ФЗ для вас самая проблемная? Что хотелось бы автоматизировать в первую очередь?
2. Для юристов и аудиторов вопрос — есть ли смысл в API для массовых проверок или это не востребовано?
3. Еще думаю, что лучше показывать в отчете. Ссылки на статьи закона или простые инструкции «сделай вот так»?

Пишите в комментариях.