В каких случаях на сайте нужны пользовательское соглашение, политика конфиденциальности, согласие на обработку персональных данных, дисклеймеры и предупреждения.
Политика конфиденциальности, оферта и дисклеймеры: юридические требования к сайтам в 2023 году
Политика конфиденциальности, оферта и дисклеймеры: юридические требования к сайтам в 2023 году
По закону сайты, где продаются товары или услуги, должны выполнять определенные требования. Нарушение этих требований грозит не только имиджевыми, но и финансовыми потерями. Например, за отправку рекламной рассылки без согласия клиента могут взыскать до 500 тысяч рублей штрафа.
В этой статье мы вместе с head of legal Mindbox Ульяной Жарковой расскажем об обязательном списке документов для каждого сайта, а также о том, как их подготовить.
Какие документы должны быть на сайте обязательно
В России есть несколько основных юридических требований к сайтам, которые что-то продают, оказывают услуги и собирают данные о пользователях.
Развернутая информация о товаре или услуге.
Эта информация включает в себя потребительские свойства, цену, гарантийный срок, правила использования товара, сроки службы или годности, а также другую обязательную информацию.
Ее можно разместить на виртуальной витрине товаров, в договоре публичной оферты или в другом удобном для покупателя месте. Некоторые бизнесы делают также разделы FAQ или «Информация об оплате и доставке».


Оферта
Этот документ определяет все существенные условия заключения будущего договора с клиентами: правила покупки товара или заказа услуги, способы доставки и возврата, причины для расторжения договора, а также способы разрешения конфликтных ситуаций.
Контактные данные владельца ресурса и продавца (исполнителя услуги)
Речь идет о полном названии компании, ОГРН, адресе и режиме работы компании. Также можно указать email и номер телефона.

Политика обработки персональных данных или конфиденциальности
В политике конфиденциальности четко описывают принципы и порядок обработки персональных данных, а также меры по обеспечению их безопасности. Она помогает пользователям понять, что происходит с их персональными данными и как компания их защищает.
Согласие на обработку персональных данных и маркетинговые коммуникации
Согласие на обработку персональных данных нужно получить, чтобы компания на законном основании могла что-либо делать с персональными данными пользователя: например, отправлять ему рекламные email-рассылки, собирать и анализировать cookie-файлы.
Если формы согласия на обработку информации на сайте нет, контролирующие органы могут привлечь бизнес к административной ответственности и выписать штраф. Это может произойти в двух случаях: если кто-то из пользователей пожалуется на компанию или если Роскомнадзор самостоятельно найдет нарушение в ходе стандартной проверки.
То же касается и рекламы. Если вы планируете делать email-рассылки, отправлять SMS или push-уведомления с рекламой ваших услуг или товаров, у клиента нужно взять отдельное согласие на рекламу. В противном случае он может пожаловаться в управление ФАС и, если вы не покажете согласие клиента, вас оштрафуют.
Согласия на обработку персональных данных и отправку рекламы всегда можно отозвать — если пользователь отправил вам такой запрос, удалите его из базы данных.

В 2023 году за отсутствие какого-либо из обязательных документов могут назначить такие штрафы:
— от 5 до 10 тысяч рублей за отсутствие достоверной информации о товаре или услуге;
— от 30 до 40 тысяч рублей за отсутствие информации о продавце, изготовителе товара или исполнителе услуги;
— от 30 до 60 тысяч рублей за отсутствие политики конфиденциальности;
— от 60 до 100 тысяч рублей за обработку персональных данных без согласия пользователя за первое нарушение и от 100 до 300 тысяч — за повторное;
— от 100 до 500 тысяч рублей за отправку рекламной рассылки без согласия.
Почему пользовательское соглашение необязательно
Есть мнение, что в список необходимых документов входит пользовательское соглашение. Под ним обычно имеют в виду документ, который состоит из элементов политики конфиденциальности, договора оферты и неких правил пользования интернет-ресурсом. Но в российском законодательстве нет никаких требований к наличию пользовательского соглашения. Соответственно, оно необязательно.
Если на сайте есть пользовательское соглашение, но нет необходимых по закону документов, компанию все равно могут оштрафовать.
Скорее всего, практику с пользовательским соглашением позаимствовали из США. Там это называется terms of use. Буквально это означает «правила использования сайта».
Думаю, что в России для малого и среднего бизнеса с интернет-магазином такой документ не имеет смысла. Он либо дублирует обязательные документы (политику обработки персональных данных, оферту), либо абсурден по содержанию — нельзя заставить человека пользоваться сайтом только по четко прописанным правилам. Сайт — это витрина товаров и платежный шлюз, где человек просто выбирает, что ему нужно, и покупает это.
Обязательные требования к продаже товаров в интернете не получится обойти через использование хитрых «правил использования сайта» — такой подход не устроит суд. И едва ли он верен при формировании лояльной клиентской базы.
Оферта
Публичная оферта — это предложение о заключении сделки, которое адресовано всем. Документ содержит все существенные условия договора со стороны продавца или лица, оказывающего услуги.
Договор-оферта в России нужен каждому сайту, который что-то продает и оказывает услуги. Его признают юридически значимым документом, который регулирует отношения между продавцом и покупателем, исполнителем и заказчиком. Этот документ можно использовать в суде для защиты своих прав и подтверждения факта заключения сделки.
Содержание оферты зависит от сферы бизнеса, правил работы конкретной компании и цели сайта. Ритейл-площадки обычно уточняют детали оформления заказа, оплаты товара, а также способов и сроков его доставки. Те, кто оказывает услуги, подробно описывают суть услуги и случаи, когда услуги считаются оказанными. Полный текст договора должен быть доступен на сайте.
Вот основные пункты в оферте Mindbox:
- предмет и основные условия;
- услуги;
- оплата и стоимость;
- сдача-приемка и сверка;
- гарантии и заверения;
- документы и уведомления;
- неустойки и компенсации;
- обстоятельства непреодолимой силы;
- споры и разногласия;
- срок и действие.

Общепринятая практика — размещение оферты на видном месте в подвале или меню сайта, где она будет доступна в один или два клика.
Если компания выкладывает новую версию оферты на сайт, нужно сохранить прежний вариант по ссылке как архив. Это позволяет пользователю в любой момент сравнить условия покупки продукта и понять, что в них изменилось.
Бизнесу важно зафиксировать согласие пользователя с офертой, оно будет равнозначно подписанию договора двумя сторонами. Для этого нужно уведомить клиента об оферте в момент совершения активного действия и зафиксировать положительный ответ. Например, в момент оформления корзины и подтверждения заказа, его оплаты или регистрации в личном кабинете можно попросить поставить галочку в чекбоксе с условиями оферты. Либо ввести код, полученный в SMS.

Политика обработки персональных данных или конфиденциальности
В политике определяются общие принципы и порядок обработки персональных данных, а также меры по обеспечению их безопасности. Этот документ должен находиться в открытом доступе. Лучше всего его разместить так, чтобы он был доступен в один-два клика с любой страницы сайта.

Персональные данные — это любая информация, которая позволяет идентифицировать человека: фамилия, имя, отчество, номер телефона, email, паспортные данные, дата рождения, адрес, cookie-файлы и т. д. Собирать согласия на обработку персональных данных нужно всем компаниям, которые работают напрямую с клиентами-физлицами и используют персональные данные для рекламных коммуникаций.
Универсального шаблона для оформления политики конфиденциальности для всех видов ритейл-бизнеса не существует. В каждой отдельной сфере могут быть свои требования и специфика, которые влияют на содержание и структуру этого документа. Но есть общий список рекомендаций Роскомнадзора, который можно использовать как основу для создания политики конфиденциальности.
Вот основные положения из рекомендаций к политике конфиденциальности в 2023 году. Она должна содержать:
- название компании, контактные данные;
- перечень обрабатываемых персональных данных (фамилия, имя, отчество, email и т. п.);
- категории людей (клиенты, работники, третьи лица), чьи данные будут обрабатываться;
- основания для сбора и обработки данных (например, согласие на сбор и обработку);
- цель обработки — зачем компании данные, кому они передаются, а также распространяются ли за пределами РФ;
- срок хранения информации;
- меры по защите данных, а также права пользователей.
Здесь же важно указать, куда можно обратиться с жалобами и вопросами, например для отзыва согласия на обработку данных. Обычно оставляют email службы поддержки либо юридического отдела.
Согласие на обработку персональных данных и маркетинговые коммуникации
Чтобы понять, нужно ли брать согласие у клиента на получение и обработку данных, достаточно ответить на два вопроса:
- Оставил ли вам покупатель информацию, по которой вы можете его идентифицировать даже косвенно? Если да, значит, вы обрабатываете персональные данные.
- Есть ли у вас юридическое основание для обработки данных без согласия? Например, договор с клиентом — можете ли вы исполнить оферту, не имея персональных данных? Например, доставить курьером товар домой, если у вас нет адреса и телефона получателя. Если без этих данных нельзя выполнить договор, отдельное согласие запрашивать не нужно. И наоборот, когда вы собираетесь отправлять рекламные рассылки, согласие на обработку персональных данных для маркетинга брать необходимо.
В России нет четкого регламента, как нужно собирать согласие клиента на обработку персональных данных и на рекламу: в письменном (бумажном) или электронном виде. Здесь компания принимает решение самостоятельно. Исключение: бизнес, который работает с особенно важными, чувствительными данными, например с данными о здоровье или национальной принадлежности — в этом случае согласие можно получить только в письменной форме. Заполнения электронной формы на сайте будет недостаточно.
Главное — уведомить пользователя о намерении собирать персональные данные непосредственно перед тем, когда начинается сбор. То есть в момент, когда появляется форма для введения номера телефона, адреса электронной почты или окно для регистрации, нужно попросить человека обозначить свое согласие на обработку данных и прикрепить ссылку на политику конфиденциальности.
Вот популярные способы для сбора согласий на обработку и хранение персональных данных на сайте:
1. Чекбокс с галочкой согласия в общей форме заявки
Клиент ставит галочку в чекбоксе формы для сбора данных напротив ссылки на согласие и правила обработки персональных данных на сайте. Отправленная заявка с проставленной галочкой сохраняется (логируется). При необходимости ее можно использовать в качестве доказательства того, что клиент дал согласие на сбор своих данных.

2. Двойное подтверждение — double opt-in
В этом случае клиент сначала оставляет свой email или телефон в форме на сайте, а затем подтверждает согласие, кликнув на ссылку в письме или ответив на SMS.


3. Устное согласие
Согласие можно собирать даже в устной форме, если потом можно доказать факт разговора. Например, в колл-центре это может быть запись звонка или какой-то другой способ фиксации.
Мы рекомендуем хранить согласия на сбор и обработку персональных данных в течение всего срока их действия. Обычно это период, в течение которого планируется обработка данных, плюс срок, необходимый на случай судебных разбирательств.
Не брать у клиента отдельное согласие можно тогда, когда сайт запрашивает информацию только для оплаты товара, оформления доставки и исполнения условий договора. При этом бизнес не планирует использовать эти данные в других целях — например, отправлять информацию о скидках и распродажах. Тогда сам договор будет законным основанием для обработки данных.
Cookie-файлы
Файлы cookie — это файлы, которые создаются во время посещения сайта и сохраняются на устройстве пользователя. Они собирают информацию о действиях человека на конкретной странице. Например, с их помощью сайт запоминает данные о посещениях, а также о введенном логине и пароле. Cookie могут сохранять уникальные идентификаторы, которые нужны владельцам сайтов, чтобы различать браузеры, приложения или устройства и сегментировать пользователей.
Уведомление о сборе cookie-файлов — это форма получения согласия пользователя на сбор специфичных данных о тех действиях, которые он совершил на сайте за время сеанса. В уведомление о сборе cookie-файлов нужно включить ссылку на политику конфиденциальности либо политику cookies, если правила работы с cookies выделены в отдельный документ.
С cookie-файлами обычно поступают так: когда человек заходит на сайт, всплывает баннер с предупреждением о сборе данных и просьбой одобрить это действие.
В идеальном мире, если человек не дал согласия, то бизнес не имеет права собирать данные. Даже если человек нажал «согласен», баннер должен остаться активным. Это нужно, чтобы пользователь мог в любой момент отозвать согласие так же легко, как он его дал. Но, к сожалению, многие так не делают и продолжают собирать данные без согласия пользователя, а кнопка с согласием на сбор cookie-файлов исчезает, как только пользователь на нее нажал.
Проверить, собираются персональные данные на сайте или нет, можно технически — вручную либо с помощью специальных cookie-сканеров.

Есть плохая практика, когда окно согласия на обработку cookie-файлов блокирует доступ к сайту до тех пор, пока клиент не согласится с условиями. Впоследствии такой способ может быть расценен как принудительное согласие. Поэтому ресурс должен давать возможность использовать сайт, даже если человек не хочет делиться любыми данными
Дисклеймеры и предупреждения
Для особо регулируемых отраслей бизнеса существуют дополнительные требования в отношении рекламы и контента, а также обязательных дисклеймеров. Не все товары разрешено рекламировать или продавать на сайте. Это касается медицинского, банковского и финансового бизнеса, продажи алкоголя, табака и других сфер. Такие требования нужно соблюдать особенно тщательно, так как эти сферы находятся в зоне особого внимания регулятора и потребителей.
Эти требования специфичны для каждой отрасли, поэтому их следует изучать отдельно.