Юридический пакет 152-ФЗ на сайте — сводка и чек-лист для юриста
Подготовлено агентом 2026-07-06. Мы не юристы: тексты составлены добросовестно по фактическому устройству системы, но финальную вычитку, дозаполнение реквизитов и решение о публикации итоговой редакции делает юрист владельца. Этот файл — карта пакета и список вопросов к юристу.
Из чего состоит пакет
| Документ | Живая страница (публичная, без входа) | Файл-источник текста | Рендер-страница |
|---|---|---|---|
| Политика обработки персональных данных | https://sekta-atlas.ru/privacy | docs/PRIVACY_POLICY.md | src/app/privacy/page.tsx |
| Пользовательское соглашение (условия использования) | https://sekta-atlas.ru/terms | docs/TERMS_OF_USE.md | src/app/terms/page.tsx |
| Cookie-уведомление (баннер) | на всех страницах, включая /login и кабинет партнёра | — | src/app/_components/CookieConsent.tsx |
Как устроено технически:
- Тексты живут в
.md-файлах (единый источник правды), страницы их рендерят; правка файла = правка страницы после деплоя. - В текстах два плейсхолдера, которые подставляются из констант вверху
соответствующего
page.tsx:%CONTACT_EMAIL%(почта для обращений — пока не заполнена, TODO владельца) и%REVISION_DATE%(дата редакции — при правке текста обновлять руками). - Обе страницы исключены из-под авторизации в
src/middleware.ts(matcher), поэтому открываются без входа — со страницы логина и из подвала меню. - Ссылки на документы: подвал бокового меню (обе), страница входа («Входя в систему, вы принимаете…»), cookie-баннер (обе), взаимные ссылки политика ↔ соглашение.
- Cookie-баннер информирующий (кнопка «Понятно»), отметка о прочтении —
в localStorage браузера (ключ
cookie_consent_v1); повторно не показывается. Рекламных/аналитических cookie на сайте нет — только технические сессии, поэтому выбран режим уведомления, а не управления категориями согласий.
Фактические сведения, на которых построены тексты
Оператор: ИП Киракосян Спартак Спартакович, ИНН 616615631614, ОГРНИП 316619600118305; зарегистрирован в реестре операторов ПДн Роскомнадзора (номер записи в текстах НЕ указан — см. чек-лист). Домен sekta-atlas.ru зарегистрирован на него же как на физлицо.
Что реально обрабатывается (по состоянию системы на 2026-07-06):
- сотрудники (реестр пользователей): ФИО, телефон, почта, должность, отдел, дата рождения, фото профиля; кадровый импорт из Excel; зеркало пользователей Bitrix24;
- партнёры: салоны из Bitrix24 (B2B-контакты — контактные лица, телефоны, адреса), партнёры кабинета (логин, реквизиты ИП/ООО, контакты);
- вход через Яндекс ID: сохраняем только почту и имя (телефон/пол не сохраняем);
- журнал действий: кто-что-когда + IP-адрес (изменения данных и вход/выход; просмотры не логируются);
- cookie: только технические (
sekta_session,sekta_uid,sekta_tech_session,sekta_partner_session,exec_session,sekta_demo); настройки темы и отметка о cookie-баннере — в localStorage. Рекламных/аналитических трекеров нет.
Третьи лица: хостинг Timeweb (серверы в РФ), Bitrix24 (ООО «1С-Битрикс») как источник/зеркало корпоративных данных, Яндекс (Яндекс ID) при OAuth-входе. Трансграничной передачи нет. Биометрии и специальных категорий ПДн нет.
ЧЕК-ЛИСТ ДЛЯ ЮРИСТА — проверить и дозаполнить
Реквизиты и пробелы (обязательно):
- Контактный e-mail для обращений по ПДн — сейчас в обоих
документах плейсхолдер «адрес уточняется (укажет владелец)».
Заполняется в константе
CONTACT_EMAILвверхуsrc/app/privacy/page.tsxиsrc/app/terms/page.tsx. - Регистрационный номер оператора в реестре РКН — в политике написано «включён в реестр» без номера; вписать номер и дату включения (раздел 1 политики).
- Адрес оператора (юридический/почтовый адрес ИП для письменных обращений субъектов) — в текстах его нет; решить, указывать ли (для запросов субъектов на бумаге он обычно нужен).
- Дата редакции — при утверждении финальных текстов обновить
REVISION_DATEв обоихpage.tsx.
Содержательная проверка политики (docs/PRIVACY_POLICY.md):
- Перечень категорий субъектов и состава ПДн (раздел 3) — сверить с фактическим перечнем выше; соответствует ли он целям, заявленным в уведомлении оператора в РКН (категории, цели, действия с ПДн)?
- Правовые основания (раздел 5): достаточно ли «законного интереса» для журнала действий с IP; нужно ли отдельное письменное согласие сотрудников (и партнёров-физлиц/ИП) или хватает трудовых/договорных оснований; нужны ли локальные акты оператора (положение об обработке ПДн, приказ о назначении ответственного).
- Поручения обработки (ст. 6 ч. 3 152-ФЗ): оформлены ли договоры/ условия с Timeweb и Bitrix24 как поручение обработки; корректно ли описан Яндекс ID (самостоятельный оператор, не обработчик).
- Сроки хранения (раздел 7) — сформулированы отсылочно («по законодательству об архивном деле»); при необходимости вписать конкретные сроки из внутреннего регламента (когда он появится).
- Порядок ответа на запросы субъектов (раздел 10): 10 рабочих дней + продление до 5 — сверить с актуальной редакцией ст. 20 152-ФЗ.
- Достаточно ли информирующего cookie-баннера без кнопок выбора категорий (на сайте только строго необходимые cookie) — позиция подтверждается практикой, но решение за юристом.
- Локализация (ст. 18 ч. 5): первичный сбор в БД на серверах РФ (Timeweb) — отражено; проверить, нет ли у юриста замечаний по зеркалированию из Bitrix24.
Содержательная проверка соглашения (docs/TERMS_OF_USE.md):
- Корректность конструкции «условия принимаются входом в систему» для сотрудников (не подменяет ли это трудовые документы) и для партнёров (соотношение с партнёрским договором).
- Оговорка «не публичная оферта» (п. 1.4) — достаточно ли её для каталога с ценами внутри портала.
- Раздел об интеллектуальной собственности: статус обозначений SEKTA / SEKTA ATLAS (есть ли товарные знаки, на кого).
- Ограничение ответственности (раздел 6) — допустимые пределы.
На будущее (когда появится функциональность — дополнить документы):
- Видеонаблюдение — в системе есть ТЗ на подключение камер; в действующую политику НЕ включено, потому что фактически видео пока не обрабатывается. При запуске — отдельный раздел политики (и, возможно, отдельное положение: зоны съёмки, сроки хранения, режим доступа, таблички в помещениях).
- Рассылки/уведомления сотрудникам и партнёрам (если появятся) — основания и отписка.
- Новые внешние сервисы (SMS-шлюз, почтовый сервис, аналитика) — каждое подключение = проверка раздела «третьи лица» и cookie.
Где что править (шпаргалка для разработчика)
- Текст политики:
docs/PRIVACY_POLICY.md; текст соглашения:docs/TERMS_OF_USE.md(служебный HTML-комментарий вверху файлов на страницу не выводится). - Почта и дата редакции: константы
CONTACT_EMAIL/REVISION_DATEвверхуsrc/app/privacy/page.tsxиsrc/app/terms/page.tsx. - Баннер cookie:
src/app/_components/CookieConsent.tsx(подключён вsrc/app/layout.tsx); ключ согласияcookie_consent_v1— при существенном изменении текста баннера сменить версию ключа (v2), чтобы баннер показался всем заново. - Публичность страниц:
src/middleware.ts, matcher (login|privacy|terms|…).