Политика конфиденциальности, оферта и дисклеймеры: юридические требования к сайтам в 2023 году

Политика конфиденциальности, оферта и дисклеймеры: юридические требования к сайтам в 2023 году

По закону сайты, где продаются товары или услуги, должны выполнять определенные требования. Нарушение этих требований грозит не только имиджевыми, но и финансовыми потерями. Например, за отправку рекламной рассылки без согласия клиента могут взыскать до 500 тысяч рублей штрафа.

В этой статье мы вместе с head of legal Mindbox Ульяной Жарковой расскажем об обязательном списке документов для каждого сайта, а также о том, как их подготовить.

Какие документы должны быть на сайте обязательно

В России есть несколько основных юридических требований к сайтам, которые что-то продают, оказывают услуги и собирают данные о пользователях.
Развернутая информация о товаре или услуге.
Эта информация включает в себя потребительские свойства, цену, гарантийный срок, правила использования товара, сроки службы или годности, а также другую обязательную информацию.
Ее можно разместить на виртуальной витрине товаров, в договоре публичной оферты или в другом удобном для покупателя месте. Некоторые бизнесы делают также разделы FAQ или «Информация об оплате и доставке».
Картинка
Бренд одежды 12 Storeez подробно описывает товары в онлайн-витрине: цену, внешний вид, цвет, 
место производства, краткое описание каждого изделия, а также состав и способы ухода
Картинка
Всю юридически важную информацию о доставке, возврате и способах оплаты 12 Storeez 
размещает в разделе «Вопросы и ответы»
Оферта
Этот документ определяет все существенные условия заключения будущего договора с клиентами: правила покупки товара или заказа услуги, способы доставки и возврата, причины для расторжения договора, а также способы разрешения конфликтных ситуаций.
Контактные данные владельца ресурса и продавца (исполнителя услуги)
Речь идет о полном названии компании, ОГРН, адресе и режиме работы компании. Также можно указать email и номер телефона.
Картинка
Контактная информация бренда одежды Tom Tailor находится в разделе «Связаться с нами»
Политика обработки персональных данных или конфиденциальности
В политике конфиденциальности четко описывают принципы и порядок обработки персональных данных, а также меры по обеспечению их безопасности. Она помогает пользователям понять, что происходит с их персональными данными и как компания их защищает.
Согласие на обработку персональных данных и маркетинговые коммуникации
Согласие на обработку персональных данных нужно получить, чтобы компания на законном основании могла что-либо делать с персональными данными пользователя: например, отправлять ему рекламные email-рассылки, собирать и анализировать cookie-файлы.
Если формы согласия на обработку информации на сайте нет, контролирующие органы могут привлечь бизнес к административной ответственности и выписать штраф. Это может произойти в двух случаях: если кто-то из пользователей пожалуется на компанию или если Роскомнадзор самостоятельно найдет нарушение в ходе стандартной проверки.
То же касается и рекламы. Если вы планируете делать email-рассылки, отправлять SMS или push-уведомления с рекламой ваших услуг или товаров, у клиента нужно взять отдельное согласие на рекламу. В противном случае он может пожаловаться в управление ФАС и, если вы не покажете согласие клиента, вас оштрафуют.
Согласия на обработку персональных данных и отправку рекламы всегда можно отозвать — если пользователь отправил вам такой запрос, удалите его из базы данных.
Картинка
Форма согласия на обработку персональных данных в интернет-магазине ЦУМ
В 2023 году за отсутствие какого-либо из обязательных документов могут назначить такие штрафы:
— от 5 до 10 тысяч рублей за отсутствие достоверной информации о товаре или услуге;
— от 30 до 40 тысяч рублей за отсутствие информации о продавце, изготовителе товара или исполнителе услуги;
— от 30 до 60 тысяч рублей за отсутствие политики конфиденциальности;
— от 60 до 100 тысяч рублей за обработку персональных данных без согласия пользователя за первое нарушение и от 100 до 300 тысяч — за повторное;
— от 100 до 500 тысяч рублей за отправку рекламной рассылки без согласия.

Почему пользовательское соглашение необязательно

Есть мнение, что в список необходимых документов входит пользовательское соглашение. Под ним обычно имеют в виду документ, который состоит из элементов политики конфиденциальности, договора оферты и неких правил пользования интернет-ресурсом. Но в российском законодательстве нет никаких требований к наличию пользовательского соглашения. Соответственно, оно необязательно.
Если на сайте есть пользовательское соглашение, но нет необходимых по закону документов, компанию все равно могут оштрафовать.

Оферта

Публичная оферта — это предложение о заключении сделки, которое адресовано всем. Документ содержит все существенные условия договора со стороны продавца или лица, оказывающего услуги.
Договор-оферта в России нужен каждому сайту, который что-то продает и оказывает услуги. Его признают юридически значимым документом, который регулирует отношения между продавцом и покупателем, исполнителем и заказчиком. Этот документ можно использовать в суде для защиты своих прав и подтверждения факта заключения сделки.
Содержание оферты зависит от сферы бизнеса, правил работы конкретной компании и цели сайта. Ритейл-площадки обычно уточняют детали оформления заказа, оплаты товара, а также способов и сроков его доставки. Те, кто оказывает услуги, подробно описывают суть услуги и случаи, когда услуги считаются оказанными. Полный текст договора должен быть доступен на сайте.
Вот основные пункты в оферте Mindbox:
  • предмет и основные условия;
  • услуги;
  • оплата и стоимость;
  • сдача-приемка и сверка;
  • гарантии и заверения;
  • документы и уведомления;
  • неустойки и компенсации;
  • обстоятельства непреодолимой силы;
  • споры и разногласия;
  • срок и действие.
Картинка
Оферта Mindbox размещена в разделе «О компании» вместе с другими важными документами. Оферта доступна с любой страницы и находится в подвале сайта
Общепринятая практика — размещение оферты на видном месте в подвале или меню сайта, где она будет доступна в один или два клика.
Если компания выкладывает новую версию оферты на сайт, нужно сохранить прежний вариант по ссылке как архив. Это позволяет пользователю в любой момент сравнить условия покупки продукта и понять, что в них изменилось.
Картинка
Бренд одежды Rendez-Vous собирает ознакомления с публичной офертой в момент регистрации посетителя на сайте

Политика обработки персональных данных или конфиденциальности

В политике определяются общие принципы и порядок обработки персональных данных, а также меры по обеспечению их безопасности. Этот документ должен находиться в открытом доступе. Лучше всего его разместить так, чтобы он был доступен в один-два клика с любой страницы сайта.
Картинка
Политика конфиденциальности сети строительных магазинов «Петрович» доступна с каждой страницы каталога товаров в подвале сайта
Персональные данные — это любая информация, которая позволяет идентифицировать человека: фамилия, имя, отчество, номер телефона, email, паспортные данные, дата рождения, адрес, cookie-файлы и т. д. Собирать согласия на обработку персональных данных нужно всем компаниям, которые работают напрямую с клиентами-физлицами и используют персональные данные для рекламных коммуникаций.
Универсального шаблона для оформления политики конфиденциальности для всех видов ритейл-бизнеса не существует. В каждой отдельной сфере могут быть свои требования и специфика, которые влияют на содержание и структуру этого документа. Но есть общий список рекомендаций Роскомнадзора, который можно использовать как основу для создания политики конфиденциальности.
Вот основные положения из рекомендаций к политике конфиденциальности в 2023 году. Она должна содержать:
  • название компании, контактные данные;
  • перечень обрабатываемых персональных данных (фамилия, имя, отчество, email и т. п.);
  • категории людей (клиенты, работники, третьи лица), чьи данные будут обрабатываться;
  • основания для сбора и обработки данных (например, согласие на сбор и обработку);
  • цель обработки — зачем компании данные, кому они передаются, а также распространяются ли за пределами РФ;
  • срок хранения информации;
  • меры по защите данных, а также права пользователей.
Здесь же важно указать, куда можно обратиться с жалобами и вопросами, например для отзыва согласия на обработку данных. Обычно оставляют email службы поддержки либо юридического отдела.

Согласие на обработку персональных данных и маркетинговые коммуникации

Чтобы понять, нужно ли брать согласие у клиента на получение и обработку данных, достаточно ответить на два вопроса:
  1. Оставил ли вам покупатель информацию, по которой вы можете его идентифицировать даже косвенно? Если да, значит, вы обрабатываете персональные данные.
  2. Есть ли у вас юридическое основание для обработки данных без согласия? Например, договор с клиентом — можете ли вы исполнить оферту, не имея персональных данных? Например, доставить курьером товар домой, если у вас нет адреса и телефона получателя. Если без этих данных нельзя выполнить договор, отдельное согласие запрашивать не нужно. И наоборот, когда вы собираетесь отправлять рекламные рассылки, согласие на обработку персональных данных для маркетинга брать необходимо.
В России нет четкого регламента, как нужно собирать согласие клиента на обработку персональных данных и на рекламу: в письменном (бумажном) или электронном виде. Здесь компания принимает решение самостоятельно. Исключение: бизнес, который работает с особенно важными, чувствительными данными, например с данными о здоровье или национальной принадлежности — в этом случае согласие можно получить только в письменной форме. Заполнения электронной формы на сайте будет недостаточно.
Главное — уведомить пользователя о намерении собирать персональные данные непосредственно перед тем, когда начинается сбор. То есть в момент, когда появляется форма для введения номера телефона, адреса электронной почты или окно для регистрации, нужно попросить человека обозначить свое согласие на обработку данных и прикрепить ссылку на политику конфиденциальности.
Вот популярные способы для сбора согласий на обработку и хранение персональных данных на сайте:
1. Чекбокс с галочкой согласия в общей форме заявки
Клиент ставит галочку в чекбоксе формы для сбора данных напротив ссылки на согласие и правила обработки персональных данных на сайте. Отправленная заявка с проставленной галочкой сохраняется (логируется). При необходимости ее можно использовать в качестве доказательства того, что клиент дал согласие на сбор своих данных.
Картинка
Сайт Holodilnik.ru: пример правильного использования
 чекбокса с галочкой согласия
2. Двойное подтверждение — double opt-in
В этом случае клиент сначала оставляет свой email или телефон в форме на сайте, а затем подтверждает согласие, кликнув на ссылку в письме или ответив на SMS.
Картинка
Вариант оформления double opt-in в email-рассылке
Картинка
Вариант оформления double opt-in в SMS
3. Устное согласие
Согласие можно собирать даже в устной форме, если потом можно доказать факт разговора. Например, в колл-центре это может быть запись звонка или какой-то другой способ фиксации.

Cookie-файлы

Файлы cookie — это файлы, которые создаются во время посещения сайта и сохраняются на устройстве пользователя. Они собирают информацию о действиях человека на конкретной странице. Например, с их помощью сайт запоминает данные о посещениях, а также о введенном логине и пароле. Cookie могут сохранять уникальные идентификаторы, которые нужны владельцам сайтов, чтобы различать браузеры, приложения или устройства и сегментировать пользователей.
Уведомление о сборе cookie-файлов — это форма получения согласия пользователя на сбор специфичных данных о тех действиях, которые он совершил на сайте за время сеанса. В уведомление о сборе cookie-файлов нужно включить ссылку на политику конфиденциальности либо политику cookies, если правила работы с cookies выделены в отдельный документ.
Картинка
Burger King просит оставить согласие на обработку cookie-файлов, как только пользователь оказывается на сайте. 
При этом уведомление не мешает пользоваться сайтом дальше
Есть плохая практика, когда окно согласия на обработку cookie-файлов блокирует доступ к сайту до тех пор, пока клиент не согласится с условиями. Впоследствии такой способ может быть расценен как принудительное согласие. Поэтому ресурс должен давать возможность использовать сайт, даже если человек не хочет делиться любыми данными

Дисклеймеры и предупреждения

Для особо регулируемых отраслей бизнеса существуют дополнительные требования в отношении рекламы и контента, а также обязательных дисклеймеров. Не все товары разрешено рекламировать или продавать на сайте. Это касается медицинского, банковского и финансового бизнеса, продажи алкоголя, табака и других сфер. Такие требования нужно соблюдать особенно тщательно, так как эти сферы находятся в зоне особого внимания регулятора и потребителей.
Эти требования специфичны для каждой отрасли, поэтому их следует изучать отдельно.