Техническая панель

Гайды

Все гайды

Юрпакет 152-ФЗ — сводка и чек-лист для юриста

Юридический пакет 152-ФЗ на сайте — сводка и чек-лист для юриста

Подготовлено агентом 2026-07-06. Мы не юристы: тексты составлены добросовестно по фактическому устройству системы, но финальную вычитку, дозаполнение реквизитов и решение о публикации итоговой редакции делает юрист владельца. Этот файл — карта пакета и список вопросов к юристу.

Из чего состоит пакет

ДокументЖивая страница (публичная, без входа)Файл-источник текстаРендер-страница
Политика обработки персональных данныхhttps://sekta-atlas.ru/privacydocs/PRIVACY_POLICY.mdsrc/app/privacy/page.tsx
Пользовательское соглашение (условия использования)https://sekta-atlas.ru/termsdocs/TERMS_OF_USE.mdsrc/app/terms/page.tsx
Cookie-уведомление (баннер)на всех страницах, включая /login и кабинет партнёраsrc/app/_components/CookieConsent.tsx

Как устроено технически:

  • Тексты живут в .md-файлах (единый источник правды), страницы их рендерят; правка файла = правка страницы после деплоя.
  • В текстах два плейсхолдера, которые подставляются из констант вверху соответствующего page.tsx: %CONTACT_EMAIL% (почта для обращений — пока не заполнена, TODO владельца) и %REVISION_DATE% (дата редакции — при правке текста обновлять руками).
  • Обе страницы исключены из-под авторизации в src/middleware.ts (matcher), поэтому открываются без входа — со страницы логина и из подвала меню.
  • Ссылки на документы: подвал бокового меню (обе), страница входа («Входя в систему, вы принимаете…»), cookie-баннер (обе), взаимные ссылки политика ↔ соглашение.
  • Cookie-баннер информирующий (кнопка «Понятно»), отметка о прочтении — в localStorage браузера (ключ cookie_consent_v1); повторно не показывается. Рекламных/аналитических cookie на сайте нет — только технические сессии, поэтому выбран режим уведомления, а не управления категориями согласий.

Фактические сведения, на которых построены тексты

Оператор: ИП Киракосян Спартак Спартакович, ИНН 616615631614, ОГРНИП 316619600118305; зарегистрирован в реестре операторов ПДн Роскомнадзора (номер записи в текстах НЕ указан — см. чек-лист). Домен sekta-atlas.ru зарегистрирован на него же как на физлицо.

Что реально обрабатывается (по состоянию системы на 2026-07-06):

  • сотрудники (реестр пользователей): ФИО, телефон, почта, должность, отдел, дата рождения, фото профиля; кадровый импорт из Excel; зеркало пользователей Bitrix24;
  • партнёры: салоны из Bitrix24 (B2B-контакты — контактные лица, телефоны, адреса), партнёры кабинета (логин, реквизиты ИП/ООО, контакты);
  • вход через Яндекс ID: сохраняем только почту и имя (телефон/пол не сохраняем);
  • журнал действий: кто-что-когда + IP-адрес (изменения данных и вход/выход; просмотры не логируются);
  • cookie: только технические (sekta_session, sekta_uid, sekta_tech_session, sekta_partner_session, exec_session, sekta_demo); настройки темы и отметка о cookie-баннере — в localStorage. Рекламных/аналитических трекеров нет.

Третьи лица: хостинг Timeweb (серверы в РФ), Bitrix24 (ООО «1С-Битрикс») как источник/зеркало корпоративных данных, Яндекс (Яндекс ID) при OAuth-входе. Трансграничной передачи нет. Биометрии и специальных категорий ПДн нет.

ЧЕК-ЛИСТ ДЛЯ ЮРИСТА — проверить и дозаполнить

Реквизиты и пробелы (обязательно):

  • Контактный e-mail для обращений по ПДн — сейчас в обоих документах плейсхолдер «адрес уточняется (укажет владелец)». Заполняется в константе CONTACT_EMAIL вверху src/app/privacy/page.tsx и src/app/terms/page.tsx.
  • Регистрационный номер оператора в реестре РКН — в политике написано «включён в реестр» без номера; вписать номер и дату включения (раздел 1 политики).
  • Адрес оператора (юридический/почтовый адрес ИП для письменных обращений субъектов) — в текстах его нет; решить, указывать ли (для запросов субъектов на бумаге он обычно нужен).
  • Дата редакции — при утверждении финальных текстов обновить REVISION_DATE в обоих page.tsx.

Содержательная проверка политики (docs/PRIVACY_POLICY.md):

  • Перечень категорий субъектов и состава ПДн (раздел 3) — сверить с фактическим перечнем выше; соответствует ли он целям, заявленным в уведомлении оператора в РКН (категории, цели, действия с ПДн)?
  • Правовые основания (раздел 5): достаточно ли «законного интереса» для журнала действий с IP; нужно ли отдельное письменное согласие сотрудников (и партнёров-физлиц/ИП) или хватает трудовых/договорных оснований; нужны ли локальные акты оператора (положение об обработке ПДн, приказ о назначении ответственного).
  • Поручения обработки (ст. 6 ч. 3 152-ФЗ): оформлены ли договоры/ условия с Timeweb и Bitrix24 как поручение обработки; корректно ли описан Яндекс ID (самостоятельный оператор, не обработчик).
  • Сроки хранения (раздел 7) — сформулированы отсылочно («по законодательству об архивном деле»); при необходимости вписать конкретные сроки из внутреннего регламента (когда он появится).
  • Порядок ответа на запросы субъектов (раздел 10): 10 рабочих дней + продление до 5 — сверить с актуальной редакцией ст. 20 152-ФЗ.
  • Достаточно ли информирующего cookie-баннера без кнопок выбора категорий (на сайте только строго необходимые cookie) — позиция подтверждается практикой, но решение за юристом.
  • Локализация (ст. 18 ч. 5): первичный сбор в БД на серверах РФ (Timeweb) — отражено; проверить, нет ли у юриста замечаний по зеркалированию из Bitrix24.

Содержательная проверка соглашения (docs/TERMS_OF_USE.md):

  • Корректность конструкции «условия принимаются входом в систему» для сотрудников (не подменяет ли это трудовые документы) и для партнёров (соотношение с партнёрским договором).
  • Оговорка «не публичная оферта» (п. 1.4) — достаточно ли её для каталога с ценами внутри портала.
  • Раздел об интеллектуальной собственности: статус обозначений SEKTA / SEKTA ATLAS (есть ли товарные знаки, на кого).
  • Ограничение ответственности (раздел 6) — допустимые пределы.

На будущее (когда появится функциональность — дополнить документы):

  • Видеонаблюдение — в системе есть ТЗ на подключение камер; в действующую политику НЕ включено, потому что фактически видео пока не обрабатывается. При запуске — отдельный раздел политики (и, возможно, отдельное положение: зоны съёмки, сроки хранения, режим доступа, таблички в помещениях).
  • Рассылки/уведомления сотрудникам и партнёрам (если появятся) — основания и отписка.
  • Новые внешние сервисы (SMS-шлюз, почтовый сервис, аналитика) — каждое подключение = проверка раздела «третьи лица» и cookie.

Где что править (шпаргалка для разработчика)

  • Текст политики: docs/PRIVACY_POLICY.md; текст соглашения: docs/TERMS_OF_USE.md (служебный HTML-комментарий вверху файлов на страницу не выводится).
  • Почта и дата редакции: константы CONTACT_EMAIL / REVISION_DATE вверху src/app/privacy/page.tsx и src/app/terms/page.tsx.
  • Баннер cookie: src/app/_components/CookieConsent.tsx (подключён в src/app/layout.tsx); ключ согласия cookie_consent_v1 — при существенном изменении текста баннера сменить версию ключа (v2), чтобы баннер показался всем заново.
  • Публичность страниц: src/middleware.ts, matcher (login|privacy|terms|…).
Передать гайд файлом:Скачать .mdСкачать для Word