В каких случаях на сайте нужны пользовательское соглашение, политика конфиденциальности, согласие на обработку персональных данных, дисклеймеры и предупреждения.
16 июля 2023
Политика конфиденциальности, оферта и дисклеймеры: юридические требования к сайтам в 2023 году
Политика конфиденциальности, оферта и дисклеймеры: юридические требования к сайтам в 2023 году
По закону сайты, где продаются товары или услуги, должны выполнять определенные требования. Нарушение этих требований грозит не только имиджевыми, но и финансовыми потерями. Например, за отправку рекламной рассылки без согласия клиента могут взыскать до 500 тысяч рублей штрафа.
В этой статье мы вместе с head of legal Mindbox Ульяной Жарковой расскажем об обязательном списке документов для каждого сайта, а также о том, как их подготовить.
В этой статье мы вместе с head of legal Mindbox Ульяной Жарковой расскажем об обязательном списке документов для каждого сайта, а также о том, как их подготовить.
Какие документы должны быть на сайте обязательно
В России есть несколько основных юридических требований к сайтам, которые что-то продают, оказывают услуги и собирают данные о пользователях.
Развернутая информация о товаре или услуге.
Эта информация включает в себя потребительские свойства, цену, гарантийный срок, правила использования товара, сроки службы или годности, а также другую обязательную информацию.
Ее можно разместить на виртуальной витрине товаров, в договоре публичной оферты или в другом удобном для покупателя месте. Некоторые бизнесы делают также разделы FAQ или «Информация об оплате и доставке».
Бренд одежды 12 Storeez подробно описывает товары в онлайн-витрине: цену, внешний вид, цвет,
место производства, краткое описание каждого изделия, а также состав и способы ухода
место производства, краткое описание каждого изделия, а также состав и способы ухода
Всю юридически важную информацию о доставке, возврате и способах оплаты 12 Storeez
размещает в разделе «Вопросы и ответы»
размещает в разделе «Вопросы и ответы»
Оферта
Этот документ определяет все существенные условия заключения будущего договора с клиентами: правила покупки товара или заказа услуги, способы доставки и возврата, причины для расторжения договора, а также способы разрешения конфликтных ситуаций.
Контактные данные владельца ресурса и продавца (исполнителя услуги)
Речь идет о полном названии компании, ОГРН, адресе и режиме работы компании. Также можно указать email и номер телефона.
Контактная информация бренда одежды Tom Tailor находится в разделе «Связаться с нами»
Политика обработки персональных данных или конфиденциальности
В политике конфиденциальности четко описывают принципы и порядок обработки персональных данных, а также меры по обеспечению их безопасности. Она помогает пользователям понять, что происходит с их персональными данными и как компания их защищает.
Согласие на обработку персональных данных и маркетинговые коммуникации
Согласие на обработку персональных данных нужно получить, чтобы компания на законном основании могла что-либо делать с персональными данными пользователя: например, отправлять ему рекламные email-рассылки, собирать и анализировать cookie-файлы.
Если формы согласия на обработку информации на сайте нет, контролирующие органы могут привлечь бизнес к административной ответственности и выписать штраф. Это может произойти в двух случаях: если кто-то из пользователей пожалуется на компанию или если Роскомнадзор самостоятельно найдет нарушение в ходе стандартной проверки.
То же касается и рекламы. Если вы планируете делать email-рассылки, отправлять SMS или push-уведомления с рекламой ваших услуг или товаров, у клиента нужно взять отдельное согласие на рекламу. В противном случае он может пожаловаться в управление ФАС и, если вы не покажете согласие клиента, вас оштрафуют.
Согласия на обработку персональных данных и отправку рекламы всегда можно отозвать — если пользователь отправил вам такой запрос, удалите его из базы данных.
Форма согласия на обработку персональных данных в интернет-магазине ЦУМ
В 2023 году за отсутствие какого-либо из обязательных документов могут назначить такие штрафы:
— от 5 до 10 тысяч рублей за отсутствие достоверной информации о товаре или услуге;
— от 30 до 40 тысяч рублей за отсутствие информации о продавце, изготовителе товара или исполнителе услуги;
— от 30 до 60 тысяч рублей за отсутствие политики конфиденциальности;
— от 60 до 100 тысяч рублей за обработку персональных данных без согласия пользователя за первое нарушение и от 100 до 300 тысяч — за повторное;
— от 100 до 500 тысяч рублей за отправку рекламной рассылки без согласия.
Почему пользовательское соглашение необязательно
Есть мнение, что в список необходимых документов входит пользовательское соглашение. Под ним обычно имеют в виду документ, который состоит из элементов политики конфиденциальности, договора оферты и неких правил пользования интернет-ресурсом. Но в российском законодательстве нет никаких требований к наличию пользовательского соглашения. Соответственно, оно необязательно.
Если на сайте есть пользовательское соглашение, но нет необходимых по закону документов, компанию все равно могут оштрафовать.
Скорее всего, практику с пользовательским соглашением позаимствовали из США. Там это называется terms of use. Буквально это означает «правила использования сайта».
Думаю, что в России для малого и среднего бизнеса с интернет-магазином такой документ не имеет смысла. Он либо дублирует обязательные документы (политику обработки персональных данных, оферту), либо абсурден по содержанию — нельзя заставить человека пользоваться сайтом только по четко прописанным правилам. Сайт — это витрина товаров и платежный шлюз, где человек просто выбирает, что ему нужно, и покупает это.
Обязательные требования к продаже товаров в интернете не получится обойти через использование хитрых «правил использования сайта» — такой подход не устроит суд. И едва ли он верен при формировании лояльной клиентской базы.
Оферта
Публичная оферта — это предложение о заключении сделки, которое адресовано всем. Документ содержит все существенные условия договора со стороны продавца или лица, оказывающего услуги.
Договор-оферта в России нужен каждому сайту, который что-то продает и оказывает услуги. Его признают юридически значимым документом, который регулирует отношения между продавцом и покупателем, исполнителем и заказчиком. Этот документ можно использовать в суде для защиты своих прав и подтверждения факта заключения сделки.
Содержание оферты зависит от сферы бизнеса, правил работы конкретной компании и цели сайта. Ритейл-площадки обычно уточняют детали оформления заказа, оплаты товара, а также способов и сроков его доставки. Те, кто оказывает услуги, подробно описывают суть услуги и случаи, когда услуги считаются оказанными. Полный текст договора должен быть доступен на сайте.
Вот основные пункты в оферте Mindbox:
- предмет и основные условия;
- услуги;
- оплата и стоимость;
- сдача-приемка и сверка;
- гарантии и заверения;
- документы и уведомления;
- неустойки и компенсации;
- обстоятельства непреодолимой силы;
- споры и разногласия;
- срок и действие.
Оферта Mindbox размещена в разделе «О компании» вместе с другими важными документами. Оферта доступна с любой страницы и находится в подвале сайта
Общепринятая практика — размещение оферты на видном месте в подвале или меню сайта, где она будет доступна в один или два клика.
Если компания выкладывает новую версию оферты на сайт, нужно сохранить прежний вариант по ссылке как архив. Это позволяет пользователю в любой момент сравнить условия покупки продукта и понять, что в них изменилось.
Бизнесу важно зафиксировать согласие пользователя с офертой, оно будет равнозначно подписанию договора двумя сторонами. Для этого нужно уведомить клиента об оферте в момент совершения активного действия и зафиксировать положительный ответ. Например, в момент оформления корзины и подтверждения заказа, его оплаты или регистрации в личном кабинете можно попросить поставить галочку в чекбоксе с условиями оферты. Либо ввести код, полученный в SMS.
Бренд одежды Rendez-Vous собирает ознакомления с публичной офертой в момент регистрации посетителя на сайте
Политика обработки персональных данных или конфиденциальности
В политике определяются общие принципы и порядок обработки персональных данных, а также меры по обеспечению их безопасности. Этот документ должен находиться в открытом доступе. Лучше всего его разместить так, чтобы он был доступен в один-два клика с любой страницы сайта.
Политика конфиденциальности сети строительных магазинов «Петрович» доступна с каждой страницы каталога товаров в подвале сайта
Персональные данные — это любая информация, которая позволяет идентифицировать человека: фамилия, имя, отчество, номер телефона, email, паспортные данные, дата рождения, адрес, cookie-файлы и т. д. Собирать согласия на обработку персональных данных нужно всем компаниям, которые работают напрямую с клиентами-физлицами и используют персональные данные для рекламных коммуникаций.
Универсального шаблона для оформления политики конфиденциальности для всех видов ритейл-бизнеса не существует. В каждой отдельной сфере могут быть свои требования и специфика, которые влияют на содержание и структуру этого документа. Но есть общий список рекомендаций Роскомнадзора, который можно использовать как основу для создания политики конфиденциальности.
Вот основные положения из рекомендаций к политике конфиденциальности в 2023 году. Она должна содержать:
- название компании, контактные данные;
- перечень обрабатываемых персональных данных (фамилия, имя, отчество, email и т. п.);
- категории людей (клиенты, работники, третьи лица), чьи данные будут обрабатываться;
- основания для сбора и обработки данных (например, согласие на сбор и обработку);
- цель обработки — зачем компании данные, кому они передаются, а также распространяются ли за пределами РФ;
- срок хранения информации;
- меры по защите данных, а также права пользователей.
Здесь же важно указать, куда можно обратиться с жалобами и вопросами, например для отзыва согласия на обработку данных. Обычно оставляют email службы поддержки либо юридического отдела.
Согласие на обработку персональных данных и маркетинговые коммуникации
Чтобы понять, нужно ли брать согласие у клиента на получение и обработку данных, достаточно ответить на два вопроса:
- Оставил ли вам покупатель информацию, по которой вы можете его идентифицировать даже косвенно? Если да, значит, вы обрабатываете персональные данные.
- Есть ли у вас юридическое основание для обработки данных без согласия? Например, договор с клиентом — можете ли вы исполнить оферту, не имея персональных данных? Например, доставить курьером товар домой, если у вас нет адреса и телефона получателя. Если без этих данных нельзя выполнить договор, отдельное согласие запрашивать не нужно. И наоборот, когда вы собираетесь отправлять рекламные рассылки, согласие на обработку персональных данных для маркетинга брать необходимо.
В России нет четкого регламента, как нужно собирать согласие клиента на обработку персональных данных и на рекламу: в письменном (бумажном) или электронном виде. Здесь компания принимает решение самостоятельно. Исключение: бизнес, который работает с особенно важными, чувствительными данными, например с данными о здоровье или национальной принадлежности — в этом случае согласие можно получить только в письменной форме. Заполнения электронной формы на сайте будет недостаточно.
Главное — уведомить пользователя о намерении собирать персональные данные непосредственно перед тем, когда начинается сбор. То есть в момент, когда появляется форма для введения номера телефона, адреса электронной почты или окно для регистрации, нужно попросить человека обозначить свое согласие на обработку данных и прикрепить ссылку на политику конфиденциальности.
Вот популярные способы для сбора согласий на обработку и хранение персональных данных на сайте:
1. Чекбокс с галочкой согласия в общей форме заявки
Клиент ставит галочку в чекбоксе формы для сбора данных напротив ссылки на согласие и правила обработки персональных данных на сайте. Отправленная заявка с проставленной галочкой сохраняется (логируется). При необходимости ее можно использовать в качестве доказательства того, что клиент дал согласие на сбор своих данных.
Сайт Holodilnik.ru: пример правильного использования
чекбокса с галочкой согласия
чекбокса с галочкой согласия
2. Двойное подтверждение — double opt-in
В этом случае клиент сначала оставляет свой email или телефон в форме на сайте, а затем подтверждает согласие, кликнув на ссылку в письме или ответив на SMS.
Вариант оформления double opt-in в email-рассылке
Вариант оформления double opt-in в SMS
3. Устное согласие
Согласие можно собирать даже в устной форме, если потом можно доказать факт разговора. Например, в колл-центре это может быть запись звонка или какой-то другой способ фиксации.
Мы рекомендуем хранить согласия на сбор и обработку персональных данных в течение всего срока их действия. Обычно это период, в течение которого планируется обработка данных, плюс срок, необходимый на случай судебных разбирательств.
Не брать у клиента отдельное согласие можно тогда, когда сайт запрашивает информацию только для оплаты товара, оформления доставки и исполнения условий договора. При этом бизнес не планирует использовать эти данные в других целях — например, отправлять информацию о скидках и распродажах. Тогда сам договор будет законным основанием для обработки данных.
Cookie-файлы
Файлы cookie — это файлы, которые создаются во время посещения сайта и сохраняются на устройстве пользователя. Они собирают информацию о действиях человека на конкретной странице. Например, с их помощью сайт запоминает данные о посещениях, а также о введенном логине и пароле. Cookie могут сохранять уникальные идентификаторы, которые нужны владельцам сайтов, чтобы различать браузеры, приложения или устройства и сегментировать пользователей.
Уведомление о сборе cookie-файлов — это форма получения согласия пользователя на сбор специфичных данных о тех действиях, которые он совершил на сайте за время сеанса. В уведомление о сборе cookie-файлов нужно включить ссылку на политику конфиденциальности либо политику cookies, если правила работы с cookies выделены в отдельный документ.
С cookie-файлами обычно поступают так: когда человек заходит на сайт, всплывает баннер с предупреждением о сборе данных и просьбой одобрить это действие.
В идеальном мире, если человек не дал согласия, то бизнес не имеет права собирать данные. Даже если человек нажал «согласен», баннер должен остаться активным. Это нужно, чтобы пользователь мог в любой момент отозвать согласие так же легко, как он его дал. Но, к сожалению, многие так не делают и продолжают собирать данные без согласия пользователя, а кнопка с согласием на сбор cookie-файлов исчезает, как только пользователь на нее нажал.
Проверить, собираются персональные данные на сайте или нет, можно технически — вручную либо с помощью специальных cookie-сканеров.
Burger King просит оставить согласие на обработку cookie-файлов, как только пользователь оказывается на сайте.
При этом уведомление не мешает пользоваться сайтом дальше
При этом уведомление не мешает пользоваться сайтом дальше
Есть плохая практика, когда окно согласия на обработку cookie-файлов блокирует доступ к сайту до тех пор, пока клиент не согласится с условиями. Впоследствии такой способ может быть расценен как принудительное согласие. Поэтому ресурс должен давать возможность использовать сайт, даже если человек не хочет делиться любыми данными
Дисклеймеры и предупреждения
Для особо регулируемых отраслей бизнеса существуют дополнительные требования в отношении рекламы и контента, а также обязательных дисклеймеров. Не все товары разрешено рекламировать или продавать на сайте. Это касается медицинского, банковского и финансового бизнеса, продажи алкоголя, табака и других сфер. Такие требования нужно соблюдать особенно тщательно, так как эти сферы находятся в зоне особого внимания регулятора и потребителей.
Эти требования специфичны для каждой отрасли, поэтому их следует изучать отдельно.