Реквизиты, оферта, акцепт, подтверждение заказа, пользовательское соглашение, согласие на обработку персональных данных, уведомление о сборе куки-файлов, согласие на получение рекламы.
Реквизиты. Нужно размещать на всех сайтах. На любых, в том числе лендингах для рекламы и на сайтах-визитках. Реквизиты — это сведения о владельце сайта и о том, как с ним связаться. Как минимум нужно указать наименование компании, ФИО предпринимателя или самозанятого и электронную почту. Организациям — добавить юридический адрес, а ИП и самозанятым — адрес, по которому они смогут получать корреспонденцию. На сайте, который используют для рекламы или продажи товаров, работ или услуг, дополнительно указывают ОГРН компании, ОГРНИП индивидуального предпринимателя либо ИНН самозанятого. Размещение там, где посетитель сможет их легко найти. Распространенная практика — публиковать реквизиты в «подвале» сайта, разделе внизу каждой страницы. Или можно сделать отдельную страницу под названием «Контакты», «О нас» или «Юридическая информация». За отсутствие реквизитов штрафа нет, но Роскомнадзор может выдать предписание об исполнении этого требования. Если его проигнорировать, бизнес могут оштрафовать: граждан — на 300—500 ₽, ИП — на 1000—2000 ₽, малые предприятия — на 5000—10 000 ₽, средние и крупные организации — на 10 000—20 000 ₽.
Оферта. Размещать в интернет-магазинах и платных сервисах, то есть там, где клиент заключает с бизнесом сделку. Оферта не нужна, если сайт информационный и на нем нельзя что-то купить. Это предложение заключить сделку на определенных условиях. Владелец сайта обязан выполнить условия оферты, если посетитель согласится с ними. По закону оферту нужно размещать на сайтах интернет-магазинов, которые ориентированы на розничную торговлю. Но лучше публиковать оферту везде, где бизнес заключает сделку: на страницах платных сервисов, на сайтах с оптовой продажей или там, где можно заказать работу или услугу. В оферте прописывают условия сделки, она же заменяет отдельный письменный договор с каждым клиентом — это упрощает заключение сделок. Текст оферты зависит от того, какой товар, работа или услуга продается. Оферту обычно публикуют на отдельной странице в открытом доступе. Страницу называют так, чтобы посетитель сайта понял ее назначение, например «Условия продаж» или «Оферта». При продаже товара, работы или услуги розничному покупателю — штраф: для ИП — 3000—4000 ₽, для малых предприятий — 15 000—20 000 ₽, для средних и крупных организаций — 30 000—40 000 ₽. Штрафа за отсутствие оферты при продаже другому предпринимателю или компании нет.
Как минимум в оферте должно быть:
– наименование компании, ФИО предпринимателя или самозанятого;
– фраза о том, что этот документ и информация на сайте об объекте продажи — публичная оферта;
– описание, что продает бизнес в целом, при этом необязательно указывать в оферте конкретные параметры каждого продукта — можно написать, что описание товара, работы – или услуги размещено в каталоге;
– как сделать заказ и как его отменить;
– как оплатить;
– условия доставки, срок хранения товара в пункте выдачи, другие правила взаимодействия клиента и бизнеса.
Акцепт размещать везде, где есть оферта. Для заключения договора в ответ на оферту клиент должен ответить согласием — акцептом. Обычно это кнопка с пояснением: если клиент нажмет на нее — согласится с условиями оферты. Бывает, что отдельную кнопку для акцепта не создают, вместо этого делают форму с уведомлением: если клиент оформляет и оплачивает заказ, то он соглашается с условиями продажи. Можно отображать форму акцепта при создании заказа или при регистрации аккаунта. Если не разместить, клиент может заявить, что случайно перечислил деньги, и потребует вернуть их. Например, в Саратове организация обратилась в суд с претензией: якобы с их счета ошибочно сняли деньги в пользу разработчика сайтов, с которым никаких договоров предприятие не заключало. Суд с истцом не согласился: ответчики разместили у себя на сайте оферту на оказание услуг по разработке. Заказчик зарегистрировался на этом сайте, «подписал» соглашение кликом на кнопку «Я согласен с условиями», после этого перевел деньги. По мнению суда, это законные оферта и акцепт, поэтому иск оставили без удовлетворения.
Подтверждение заказа размещать в интернет-магазинах, ориентированных на розничного покупателя. Интернет-магазин должен подтвердить заключение договора на условиях оферты после размещения заказа покупателем . Можно отправить письмо по электронной почте, смс-уведомление или вывести всплывающее окно на сайте. Важно, чтобы клиент понял, что это его покупка. Поэтому в уведомлении должен быть номер или другой способ идентификации заказа. Для размещения можно использовать любую форму, главное — подтвердить заказ сразу после его оформления или оплаты. Если не разместить. Штраф для граждан — 1500—2000 ₽, для ИП — 3000—4000 ₽, для малых предприятий — 15 000—20 000 ₽, для организаций — 30 000—40 000 ₽.
Пользовательское соглашение нужно размещать на сайтах с личным кабинетом, форумами, нейросетями, графическими редакторами и другими полезными для посетителей сервисами. В документе описывают правила использования сайта. Пользовательское соглашение помогает явно проговорить, какую ответственность бизнес готов брать на себя, а какую нет. Например, у предпринимателя сайт с калькулятором примерной стоимости работ по ремонту квартиры. В пользовательском соглашении такого ресурса указывают, что итоговый расчет не окончательный, и потребитель не может требовать исполнения ремонта только на основе предложенной калькулятором цены. Сюда же относятся правила использования контента — допустим, в пользовательском соглашении можно указать, как разрешено копировать статьи и как нет. Можно разместить на отдельной странице сайта в открытом доступе. Ссылку на нее разместитт под каждым значимым сервисом ресурса, на странице с офертой или в подвале. Штрафов за отсутствие пользовательского соглашения нет, но оно поможет урегулировать споры с клиентами. Например, если покупатель потребует что-то в суде, вы можете сослаться на соглашение: вот правила, и когда клиент применял сервис, он согласился их соблюдать.
К правилам использования сайта относятся:
– права и обязанностей посетителей;
– описание функций сервиса;
– правила размещения или копирования контента;
– условия использования контента;
– правила регистрации и использования личного кабинета;
– условия подписки на контент, если такая есть.
Политика обработки персональных данных размещается на любых сайтах, где пользователи оставляют персональные данные: фамилию, имя, отчество, дату рождения, адрес доставки, место работы. Обычно такие данные собирают интернет-магазины и форумы. Если на сайте есть форма обратной связи, подписки, авторизации или регистрации, то должна быть и политика обработки персональных данных. В документе владелец сайта сообщает посетителям, какими способами, для каких целей и в каком объеме на сайте будут обрабатывать их персональные данные. Для политики обработки можно сделать отдельную страницу с текстом политики обработки персональных данных. Можно добавить ссылку в подвал сайта. Под каждой формой, собирающей персональные данные, следует разместить текст «Нажимая на кнопку „Отправить“, вы соглашаетесь с „Политикой обработки персональных данных“» и оставить ссылку на документ. Если не разместить. Штраф для граждан — 1500—3000 ₽, для ИП и малых предприятий — 10 000—20 000 ₽, для организаций — 30 000—60 000 ₽. В политике нужно указать:
– ссылку на сайт, к которому она применяется;
– ФИО предпринимателя или название организации, которая получает согласие посетителя сайта;
– цели обработки персональных данных, то есть для чего данные собирают. Например, для продажи товара, рассмотрения кандидатур соискателей при трудоустройстве, – предоставления доступа к программе;
– перечень обрабатываемых данных, то есть что конкретно собирает сайт;
– если пользователи размещают на сайте данные, доступные всем остальным посетителям, то надо указать, что «обрабатываются общедоступные персональные данные»;
– если собираются сведения о расовой и национальной принадлежности, политических, религиозных и философских взглядах, состоянии здоровья, подробности интимной жизни, – информация о судимостях, то надо указать, что «обрабатываются специальные категории персональных данных»;
– сроки обработки данных — период времени или событие, например до отчисления из онлайн-школы;
– способы обработки данных, например: «сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление»;
– порядок уничтожения персональных данных, например «стирание с носителя информации без возможности восстановления».
Согласие на обработку персональных данных размещаются на любых ресурсах, где пользователи оставляют персональные данные, например фамилию, имя, отчество, дату рождения, адрес получения товара, место работы. Если сайт собирает персональные данные, у пользователя нужно получить согласие. Согласие может быть дано в любой форме, главное — подтвердить факт его получения. Например, можно сделать страницу с текстом согласия и дать ссылку на нее в каждой форме со сбором данных, а также добавить кнопку с подтверждением — пока пользователь не укажет, что согласен на сбор и обработку данных, он не сможет пользоваться сервисом. Если не разместить. Штраф для граждан — 10 000—15 000 ₽, для ИП — 100 000—300 000 ₽, для малых предприятий — 150 000—350 000 ₽, для остальных организаций — 300 000—700 000 ₽.
В тексте согласия разрешения должны быть:
– наименование компании или ФИО владельца сайта;
– перечень персональных данных, на обработку которых дается согласие;
– цель обработки;
– срок действия согласия;
– способы отказаться от согласия на обработку данных, например заполнить форму с отказом на сайте или отправить уведомление об отказе на юридический адрес компании.
Согласие на обработку персональных данных, разрешенных для распространения нужно размещать на сайтах, где пользователи не только оставляют данные, но и размещают их для всеобщего обозрения: это, например, форумы, соцсети, корпоративные порталы и магазины с отзывами. На распространение персональных данных нужно получать отдельное согласие. Распространение — это когда данные может увидеть любой посетитель сайта. Например, публикация на сайте компании фамилии и номера телефона менеджера или отзыва покупателя. Создать такое согласие можно в сервисе Роскомнадзора. Конструктор предлагает заполнить поля, после этого шаблон уходит на проверку специалистам ведомства. Если нужно, оператору дают рекомендации по доработке документа. Итоговый результат направляют на электронную почту. Согласие может быть на отдельной странице. Рядом с каждой формой, в которой посетитель оставляет свои данные, должна быть ссылка на текст согласия и кнопка, подтверждающая, что посетитель предоставил разрешение. Если не разместить. Штраф для граждан — 10 000—15 000 ₽, для ИП — 100 000—300 000 ₽, для малых предприятий — 150 000—350 000 ₽, для остальных организаций — 300 000—700 000 ₽ .
При этом в согласии у посетителя сайта должен быть выбор, какие данные он:
– разрешает распространять;
– запрещает публиковать для всеобщего доступа — такие сведения может обрабатывать только владелец сайта;
– определяет условия обработки, например запрет на использование информации для статистических исследований. Если посетитель указал условия распространения – персональных данных, владелец сайта обязан в течение трех рабочих дней опубликовать такие условия.
В идеале нужно предоставлять посетителю список — какие его персональные данные будут обрабатываться. Из этого списка посетитель должен выбрать сведения, которые можно распространять.
Владелец сайта обязан быть оператором персональных данных и соблюдать закон. По закону можно собирать персональные данные и передавать их кому-то на обработку. Владелец сайта может передать данные клиентов вебмастеру, интернет-магазин — сервису рассылки. Тот, кому он передаст данные на обработку, отдельное разрешение получать не должен, а соблюдать закон — должен. Отвечать за соблюдение закона перед посетителями сайта будет его владелец. Владельца сайта Роскомнадзор и суд будут определять по совокупности данных. Если на сайте размещена информация о конкретном юридическом лице или ИП, спросят с него. Если таких данных нет, спросят с администратора домена.
По закону операторы обязаны хранить персональные данные на российских серверах. Есть несколько исключений, но это частности. Любой интернет-магазин или сервис по подписке должен хранить базу с персональными данными граждан в России. Потом можно передавать эти данные за границу. Это законно, но при определенных условиях. Иначе нельзя было бы бронировать гостиницы и покупать билеты на самолет за границей.
Роскомнадзор может потребовать предоставить подтверждение по поводу места хранения баз данных. Например, договор с дата-центром, хостингом или документы на собственный сервер. Если выяснится, что персональные данные хранятся с нарушениями и не в России, будут проблемы. Кроме закона о персональных данных есть требования Федеральной службы по техническому и экспортному контролю и ФСБ. Еще к проверке может подключиться прокуратура. Им хватит полномочий, чтобы узнать, где на самом деле хранятся данные, и разобраться с нарушениями.
Закон о персональных данных нужно соблюдать, если сайт используется для работы на территории РФ. Теоретически Роскомнадзор имеет право и может его заблокировать. Вот какие признаки используют, чтобы это понять:
– доменное имя связано с РФ или субъектом;
– есть русскоязычная версия сайта;
– расчет за товары или услуги происходит в рублях, доставка возможна на территорию РФ;
– потребители содержимого сайта — россияне;
– есть реклама на русском, которая ведет на этот сайт.
Если есть какое-то сочетание этих факторов, оператор персональных данных должен соблюдать закон, даже если это иностранная компания. А это значит, что документы должны быть доступны и понятны в РФ. Достаточно иметь их на русском языке, чтобы их понимал Роскомнадзор и граждане России. На нерезидентов за пределами страны наш закон о персональных данных не распространяется.
Как определять гражданство посетителя, закон не объяснил. Операторам предложили решать эту проблему самостоятельно. А если четкой позиции и инструментов нет, стоит соблюдать закон в отношении всех персональных данных, которые собрали на территории России.
Дублировать те же документы на иностранных языках для россиян нет смысла. Но эти правила придумали не в России. Есть конвенция Совета Европы о защите частных лиц в отношении автоматизированной обработки данных личного характера. Так что, если собираете данные иностранцев, подумайте, как соблюдаете закон той страны, резидентами которой они являются.
В Европе за однократное нарушение правил обработки персональных данных штрафуют на сотни тысяч евро. В России максимальный штраф с 1 июля 2017 года — 75 тысяч рублей.
Закон о персональных данных защищает данные только физических лиц. Он не распространяется на данные о компаниях. Но то, что указано в форме обратной связи, — это формальность. Важно, какие именно данные и с какой целью собирает владелец сайта.
Если это на самом деле название компании и телефон офиса, такая информация не попадает под действие закона. Но если сайт собирает почтовые адреса и телефоны сотрудников компаний, чтобы потом делать по ним рассылку или передавать их третьим лицам, могут быть проблемы как со стороны этих сотрудников, так и от Роскомнадзора.
В Роскомнадзоре должны зарегистрироваться все операторы персональных данных. Исключения только для случаев, перечисленных в п. 2 ст. 22 закона о персональных данных.
Организатором рапространения информации могут признать почти любой сайт. Для этого достаточно дать пользователям возможность комментировать, обмениваться сообщениями и писать отзывы о товарах.
Всем владельцам сайтов, блогов и форумов нужно разобраться в том, как работает закон для организаторов распространения информации. Скорее всего, вы даже не думаете, что он вас касается и у вас есть дополнительные обязанности. Но если их не выполнить, есть опасность штрафа. Например, 300 тысяч рублей за то, что вы не уведомили Роскомнадзор о начале работы. Или миллион рублей за то, что вы не храните данные о пользователях и их сообщениях или храните их не в России.
Уведомление о сборе куки-файлов размещать на всех ресурсах, где собирают куки-файлы, то есть информацию о поведении пользователей, которая хранится в браузерах. Обычно это делают сайты, которые подключены к сервисам статистики и ЦРМ, интернет-магазины и ресурсы, в которых есть авторизация пользователя. Уточнить, собирает ли ваш сайт куки-файлы, можно с помощью браузера. Например, на компьютере с Виндоус — зайти на сайт через Chrome, затем нажать Ctrl+Shift+I, выбрать раздел Application→Storage→Cookies. Или уточнить у администратора сайта. И хотя в законе нет прямого указания, что пользователей нужно об этом уведомлять, есть судебная практика, в которой эту техническую информацию приравнивают к персональным данным, а значит, ее сбор требует уведомления. К примеру, американский сервис по измерению скорости интернета Speedtest оштрафовали на 1 млн рублей за отказ хранить персональные данные своих пользователей на территории России. Рассматривая дело, суд признал, что собираемые сервисом куки-файлы — тоже такие данные. Сервисы начинают собирать куки-файлы сразу же после захода пользователя на сайт, поэтому стандартное уведомление об обработке данных не подходит — иначе придется сначала получать согласие и только потом пускать человека на главную страницу сайта. Для куки-файлов делают отдельную форму, часто с кнопкой, которая появляется сразу после загрузки страницы сайта. При переходе на сайт должно сразу отображаться всплывающее окно с уведомлением, что на сайте собираются куки (cookies). Есть риск, что суд сочтет сбор куки-файлов без предварительного предупреждения обработкой персональных данных без получения согласия. Тогда владельца сайта оштрафуют: граждан — на 10 000—15 000 ₽, ИП — на 100 000—300 000 ₽, малые предприятия — на 150 000—350 000 ₽, средние и крупные организации — на 300 000—700 000 ₽.
Согласие на получение рекламы нужно размещать, там, где предприниматель или компания собирает контакты пользователей для рекламных рассылок. Рекламным контентом считаются смс, пуш-уведомления, письма, которыми привлекают и продают товары, работы и услуги. Например, письмо с подборкой товаров от интернет-магазина считается рекламой, а уведомление о доставке товара — нет. При распространении рекламы с помощью мобильной связи и интернета нужно получить разрешение пользователя. Для этого готовят форму с текстом, в которой указывают:
– кто будет рассылать рекламу — название компании или ФИО предпринимателя;
– что будет рассылаться — информация о мероприятиях, подборки товаров, уведомления об акциях;
– как будет рассылаться информация — например, через смс или по электронной почте;
– правила отказа от согласия — обычно это нажатие на ссылку «Отписаться от рассылки».
Текст согласия размещают на отдельной странице. Ссылку на нее оставляют под формой сбора контактов пользователя. Предпринимателю нужно убедиться, что контактные данные оставил их владелец. Для этого, например, на номер мобильного отправляют смс с уникальным кодом, а пользователь должен ввести его в отдельную форму на сайте. Если не разместить. Для граждан штраф — 2000—2500 ₽, для ИП — 4000—20 000 ₽, для малых предприятий — 50 000—250 000 ₽, для остальных организаций — 100 000—500 000 ₽ .
