# Юридический пакет 152-ФЗ на сайте — сводка и чек-лист для юриста

> Подготовлено агентом 2026-07-06. **Мы не юристы**: тексты составлены
> добросовестно по фактическому устройству системы, но финальную вычитку,
> дозаполнение реквизитов и решение о публикации итоговой редакции делает
> юрист владельца. Этот файл — карта пакета и список вопросов к юристу.

## Из чего состоит пакет

| Документ | Живая страница (публичная, без входа) | Файл-источник текста | Рендер-страница |
| --- | --- | --- | --- |
| Политика обработки персональных данных | https://sekta-atlas.ru/privacy | `docs/PRIVACY_POLICY.md` | `src/app/privacy/page.tsx` |
| Пользовательское соглашение (условия использования) | https://sekta-atlas.ru/terms | `docs/TERMS_OF_USE.md` | `src/app/terms/page.tsx` |
| Cookie-уведомление (баннер) | на всех страницах, включая /login и кабинет партнёра | — | `src/app/_components/CookieConsent.tsx` |

Как устроено технически:

- Тексты живут в `.md`-файлах (единый источник правды), страницы их
  рендерят; правка файла = правка страницы после деплоя.
- В текстах два плейсхолдера, которые подставляются из констант вверху
  соответствующего `page.tsx`: `%CONTACT_EMAIL%` (почта для обращений —
  **пока не заполнена**, TODO владельца) и `%REVISION_DATE%` (дата
  редакции — при правке текста обновлять руками).
- Обе страницы исключены из-под авторизации в `src/middleware.ts`
  (matcher), поэтому открываются без входа — со страницы логина и из
  подвала меню.
- Ссылки на документы: подвал бокового меню (обе), страница входа
  («Входя в систему, вы принимаете…»), cookie-баннер (обе), взаимные
  ссылки политика ↔ соглашение.
- Cookie-баннер информирующий (кнопка «Понятно»), отметка о прочтении —
  в localStorage браузера (ключ `cookie_consent_v1`); повторно не
  показывается. Рекламных/аналитических cookie на сайте нет — только
  технические сессии, поэтому выбран режим уведомления, а не управления
  категориями согласий.

## Фактические сведения, на которых построены тексты

**Оператор:** ИП Киракосян Спартак Спартакович, ИНН 616615631614,
ОГРНИП 316619600118305; зарегистрирован в реестре операторов ПДн
Роскомнадзора (номер записи в текстах НЕ указан — см. чек-лист).
Домен sekta-atlas.ru зарегистрирован на него же как на физлицо.

**Что реально обрабатывается (по состоянию системы на 2026-07-06):**

- сотрудники (реестр пользователей): ФИО, телефон, почта, должность,
  отдел, дата рождения, фото профиля; кадровый импорт из Excel; зеркало
  пользователей Bitrix24;
- партнёры: салоны из Bitrix24 (B2B-контакты — контактные лица, телефоны,
  адреса), партнёры кабинета (логин, реквизиты ИП/ООО, контакты);
- вход через Яндекс ID: сохраняем только почту и имя (телефон/пол не
  сохраняем);
- журнал действий: кто-что-когда + IP-адрес (изменения данных и
  вход/выход; просмотры не логируются);
- cookie: только технические (`sekta_session`, `sekta_uid`,
  `sekta_tech_session`, `sekta_partner_session`, `exec_session`,
  `sekta_demo`); настройки темы и отметка о cookie-баннере — в
  localStorage. Рекламных/аналитических трекеров нет.

**Третьи лица:** хостинг Timeweb (серверы в РФ), Bitrix24
(ООО «1С-Битрикс») как источник/зеркало корпоративных данных, Яндекс
(Яндекс ID) при OAuth-входе. Трансграничной передачи нет. Биометрии и
специальных категорий ПДн нет.

## ЧЕК-ЛИСТ ДЛЯ ЮРИСТА — проверить и дозаполнить

Реквизиты и пробелы (обязательно):

- [ ] **Контактный e-mail для обращений по ПДн** — сейчас в обоих
      документах плейсхолдер «адрес уточняется (укажет владелец)».
      Заполняется в константе `CONTACT_EMAIL` вверху
      `src/app/privacy/page.tsx` и `src/app/terms/page.tsx`.
- [ ] **Регистрационный номер оператора в реестре РКН** — в политике
      написано «включён в реестр» без номера; вписать номер и дату
      включения (раздел 1 политики).
- [ ] **Адрес оператора** (юридический/почтовый адрес ИП для письменных
      обращений субъектов) — в текстах его нет; решить, указывать ли
      (для запросов субъектов на бумаге он обычно нужен).
- [ ] **Дата редакции** — при утверждении финальных текстов обновить
      `REVISION_DATE` в обоих `page.tsx`.

Содержательная проверка политики (`docs/PRIVACY_POLICY.md`):

- [ ] Перечень категорий субъектов и состава ПДн (раздел 3) — сверить с
      фактическим перечнем выше; соответствует ли он целям, заявленным в
      уведомлении оператора в РКН (категории, цели, действия с ПДн)?
- [ ] Правовые основания (раздел 5): достаточно ли «законного интереса»
      для журнала действий с IP; нужно ли отдельное письменное согласие
      сотрудников (и партнёров-физлиц/ИП) или хватает трудовых/договорных
      оснований; нужны ли локальные акты оператора (положение об обработке
      ПДн, приказ о назначении ответственного).
- [ ] Поручения обработки (ст. 6 ч. 3 152-ФЗ): оформлены ли договоры/
      условия с Timeweb и Bitrix24 как поручение обработки; корректно ли
      описан Яндекс ID (самостоятельный оператор, не обработчик).
- [ ] Сроки хранения (раздел 7) — сформулированы отсылочно («по
      законодательству об архивном деле»); при необходимости вписать
      конкретные сроки из внутреннего регламента (когда он появится).
- [ ] Порядок ответа на запросы субъектов (раздел 10): 10 рабочих дней
      + продление до 5 — сверить с актуальной редакцией ст. 20 152-ФЗ.
- [ ] Достаточно ли информирующего cookie-баннера без кнопок выбора
      категорий (на сайте только строго необходимые cookie) — позиция
      подтверждается практикой, но решение за юристом.
- [ ] Локализация (ст. 18 ч. 5): первичный сбор в БД на серверах РФ
      (Timeweb) — отражено; проверить, нет ли у юриста замечаний по
      зеркалированию из Bitrix24.

Содержательная проверка соглашения (`docs/TERMS_OF_USE.md`):

- [ ] Корректность конструкции «условия принимаются входом в систему»
      для сотрудников (не подменяет ли это трудовые документы) и для
      партнёров (соотношение с партнёрским договором).
- [ ] Оговорка «не публичная оферта» (п. 1.4) — достаточно ли её для
      каталога с ценами внутри портала.
- [ ] Раздел об интеллектуальной собственности: статус обозначений
      SEKTA / SEKTA ATLAS (есть ли товарные знаки, на кого).
- [ ] Ограничение ответственности (раздел 6) — допустимые пределы.

На будущее (когда появится функциональность — дополнить документы):

- [ ] **Видеонаблюдение** — в системе есть ТЗ на подключение камер; в
      действующую политику НЕ включено, потому что фактически видео пока
      не обрабатывается. При запуске — отдельный раздел политики (и,
      возможно, отдельное положение: зоны съёмки, сроки хранения, режим
      доступа, таблички в помещениях).
- [ ] Рассылки/уведомления сотрудникам и партнёрам (если появятся) —
      основания и отписка.
- [ ] Новые внешние сервисы (SMS-шлюз, почтовый сервис, аналитика) —
      каждое подключение = проверка раздела «третьи лица» и cookie.

## Где что править (шпаргалка для разработчика)

- Текст политики: `docs/PRIVACY_POLICY.md`; текст соглашения:
  `docs/TERMS_OF_USE.md` (служебный HTML-комментарий вверху файлов на
  страницу не выводится).
- Почта и дата редакции: константы `CONTACT_EMAIL` / `REVISION_DATE`
  вверху `src/app/privacy/page.tsx` и `src/app/terms/page.tsx`.
- Баннер cookie: `src/app/_components/CookieConsent.tsx` (подключён в
  `src/app/layout.tsx`); ключ согласия `cookie_consent_v1` — при
  существенном изменении текста баннера сменить версию ключа (v2), чтобы
  баннер показался всем заново.
- Публичность страниц: `src/middleware.ts`, matcher (`login|privacy|terms|…`).
