# Legal Checklist Практический checklist для РФ-контура после AI Project Hardening Protocol. > Это не юридическая консультация. Финальные документы и выводы должен проверять профильный юрист или специалист по персональным данным. ## 1. Какие данные собирает проект Проверьте, собираются ли: - ФИО - email - телефон - Telegram / username - адрес - IP - cookie / user ID - данные аккаунта - платежные данные - сообщения пользователя - файлы / uploads ## 2. Персональные данные - Есть ли политика обработки персональных данных. - Есть ли согласие на обработку персональных данных. - Есть ли отдельное согласие на рассылку, если есть email / SMS / мессенджер-коммуникации. - Есть ли ссылка на политику рядом с формами. - Нельзя ли отправить форму без нужного согласия. - Указаны ли оператор, контакты, цели обработки, состав данных, сроки хранения. - Понятно ли, как отозвать согласие. - Нужно ли уведомление РКН. - Хранятся ли данные в РФ, если это требуется для вашей модели обработки. - Есть ли трансграничная передача. - Не попадают ли ПДн в AI prompts, analytics, logs, error trackers без необходимости. ## 3. Cookies и аналитика - Какие cookies ставятся. - Есть ли cookie notice / cookie policy. - Есть ли список third-party processors. - Не передаются ли email / phone / user ID в analytics URL или events. - Есть ли внешние пиксели и трекеры. - Понятно ли, какие системы аналитики подключены. ## 4. Документы сайта Проверьте наличие и актуальность: - политика обработки персональных данных - согласие на обработку ПДн - cookie policy / cookie notice - пользовательское соглашение - публичная оферта, если есть продажа - правила возврата, если есть оплата - контакты и реквизиты - документы по рассылкам и рекламе ## 5. Формы и согласия - Есть ли чекбокс согласия там, где он нужен. - Лежит ли ссылка на документы рядом с кнопкой отправки. - Валидируется ли согласие на клиенте и сервере, если это необходимо. - Понятно ли пользователю, что он отправляет и кому. ## 6. Логи и хранение - Не пишутся ли ПДн в логи без маскирования. - Не пишутся ли токены, cookies и session IDs в логах. - Есть ли retention policy. - Есть ли удаление данных по запросу. - Понятно ли, кто имеет доступ к backup. - Не хранятся ли данные дольше, чем нужно. ## 7. Маркетинг и коммуникации - Есть ли email / SMS / Telegram-рассылки. - Есть ли отдельное согласие на маркетинговые сообщения. - Можно ли отписаться. - Логируется ли согласие. - Не передаются ли контакты в сторонние сервисы без основания. ## 8. Вопросы в backlog - Что нужно проверить с юристом. - Какие документы отсутствуют. - Какие формы требуют согласий. - Есть ли вопросы по РКН / 152-ФЗ. - Есть ли вопросы по трансграничной передаче.