Detalles, oferta, aceptación, confirmación de pedido, acuerdo de usuario, consentimiento al tratamiento de datos personales, notificación de la recogida de cookies, consentimiento para recibir publicidad.
Detalles. Debe publicarse en todos los sitios web. En cualquiera, incluidas las páginas de destino para sitios de publicidad y tarjetas de presentación. Los detalles son información sobre el propietario del sitio y cómo contactarlo. Como mínimo será necesario indicar el nombre de la empresa, nombre completo del empresario o autónomo y correo electrónico. Las organizaciones deben agregar una dirección legal, y los empresarios individuales y los trabajadores por cuenta propia deben agregar una dirección en la que puedan recibir correspondencia. En un sitio web que se utilice para publicidad o venta de bienes, obras o servicios, indique adicionalmente el OGRN de la empresa, el OGRNIP de un empresario individual o el TIN de un autónomo. Colóquelos donde los visitantes puedan encontrarlos fácilmente. Una práctica común es publicar detalles en el “pie de página” del sitio, una sección al final de cada página. O puede crear una página separada llamada “Contactos”, “Acerca de nosotros” o “Información legal”. No hay multa por omitir detalles, pero Roskomnadzor puede emitir una orden para cumplir con este requisito. Si lo ignora, las empresas pueden recibir una multa: ciudadanos: 300-500 rublos, empresarios individuales: 1000-2000 rublos, pequeñas empresas: 5000-10 000 rublos, organizaciones medianas y grandes: 10 000-20 000 rublos.
Oferta. Colóquelo en tiendas online y servicios pagos, es decir, donde el cliente cierra un trato con la empresa. No se necesita una oferta si el sitio es informativo y no se puede comprar algo en él. Esta es una oferta para concluir una transacción bajo ciertas condiciones. El propietario del sitio está obligado a cumplir los términos de la oferta si el visitante está de acuerdo con ellos. Por ley, la oferta debe colocarse en los sitios web de tiendas online enfocadas al comercio minorista. Pero es mejor publicar una oferta dondequiera que una empresa cierre un trato: en las páginas de servicios pagos, en sitios web con ventas mayoristas o donde puede solicitar trabajos o servicios. La oferta establece los términos de la transacción y reemplaza un acuerdo escrito separado con cada cliente; esto simplifica la conclusión de las transacciones. El texto de la oferta depende del producto, trabajo o servicio que se vende. La oferta suele publicarse en una página separada de dominio público. La página tiene un nombre para que el visitante del sitio comprenda su propósito, por ejemplo, “Condiciones de venta” u “Oferta”. Al vender un producto, trabajo o servicio a un comprador minorista, se aplica una multa: para empresarios individuales: 3000-4000 rublos, para pequeñas empresas: 15 000-20 000 rublos, para organizaciones medianas y grandes: 30 000-40 000 rublos. No hay penalización por la falta de oferta al vender a otro empresario o empresa.
Como mínimo, la oferta debe contener:
– nombre de la empresa, nombre completo del empresario o autónomo;
– una frase que indique que este documento y la información en el sitio web sobre el objeto de venta son una oferta pública;
– una descripción de lo que vende la empresa en su conjunto, aunque no es necesario indicar parámetros específicos de cada producto en la oferta; puede escribir que la descripción del producto, trabajo o servicio está publicada en el catálogo;
– cómo realizar un pedido y cómo cancelarlo;
– cómo pagar;
– condiciones de entrega, vida útil de la mercancía en el lugar de entrega, otras reglas de interacción entre el cliente y la empresa.
Coloque la aceptación donde haya una oferta. Para celebrar un contrato en respuesta a una oferta, el cliente debe responder con su consentimiento: aceptación. Suele ser un botón con una explicación: si el cliente hace clic en él, aceptará los términos de la oferta. Sucede que no se crea un botón de aceptación separado, sino que se crea un formulario con una notificación: si el cliente realiza y paga el pedido, acepta las condiciones de venta. Puede mostrar un formulario de aceptación al crear un pedido o al registrar una cuenta. Si no publica, el cliente puede afirmar que transfirió el dinero accidentalmente y exigir su devolución. Por ejemplo, en Saratov, una organización presentó una demanda ante los tribunales: supuestamente, se retiró dinero por error de su cuenta a favor de un desarrollador de sitios web con el que la empresa no había celebrado ningún acuerdo. El tribunal no estuvo de acuerdo con el demandante: los demandados publicaron en su sitio web una oferta para la prestación de servicios de desarrollo. El cliente se registró en este sitio, “firmó” el acuerdo haciendo clic en el botón “Acepto los términos” y luego transfirió el dinero. Según el tribunal, se trata de una oferta y aceptación legal, por lo que se desestimó la demanda.
Realizar confirmación de pedido en tiendas online dirigidas a compradores minoristas. La tienda en línea debe confirmar la celebración del contrato según los términos de la oferta después de que el comprador realice el pedido. Puede enviar un correo electrónico, una notificación por SMS o mostrar una ventana emergente en el sitio web. Es importante que el cliente entienda que esta es su compra. Por tanto, la notificación deberá incluir un número u otra forma de identificación del pedido. Puedes utilizar cualquier formulario de realización, lo principal es confirmar el pedido inmediatamente después de realizarlo o pagarlo. Si no se publica. La multa para los ciudadanos es de 1.500 a 2.000 rublos, para empresarios individuales, de 3.000 a 4.000 rublos, para pequeñas empresas, de 15.000 a 20.000 rublos, para organizaciones, de 30.000 a 40.000 rublos.
El acuerdo de usuario debe publicarse en sitios con una cuenta personal, foros, redes neuronales, editores gráficos y otros servicios útiles para los visitantes. El documento describe las reglas de uso del sitio. El acuerdo de usuario ayuda a establecer claramente qué responsabilidades la empresa está dispuesta a asumir y cuáles no. Por ejemplo, un empresario tiene un sitio web con una calculadora del coste aproximado de las obras de renovación de un apartamento. El acuerdo de usuario de dicho recurso indica que el cálculo final no es definitivo y que el consumidor no puede exigir reparaciones únicamente sobre la base del precio ofrecido por la calculadora. Esto también incluye las reglas para el uso del contenido; por ejemplo, en el acuerdo de usuario puede especificar cómo se le permite copiar artículos y cómo no. Se puede colocar en una página separada del sitio en el dominio público. Se colocará un enlace debajo de cada servicio de recursos importante, en la página de oferta o en el pie de página. No existen sanciones por no tener un acuerdo de usuario, pero ayudará a resolver disputas con los clientes. Por ejemplo, si un cliente exige algo en los tribunales, puede consultar el acuerdo: estas son las reglas, y cuando el cliente utilizó el servicio, aceptó cumplirlas.
Las reglas de uso del sitio incluyen:
– derechos y obligaciones de los visitantes;
– descripción de funciones de servicio;
– reglas para publicar o copiar contenido;
– condiciones de uso del contenido;
– reglas para registrarse y utilizar su cuenta personal;
– condiciones de suscripción de contenidos, si las hubiera.
La política de procesamiento de datos personales se publica en cualquier sitio donde los usuarios dejen datos personales: apellido, nombre, patronímico, fecha de nacimiento, dirección de entrega, lugar de trabajo. Normalmente, estos datos se recopilan en foros y tiendas en línea. Si el sitio tiene un formulario de comentarios, suscripción, autorización o registro, entonces también debería haber una política para el procesamiento de datos personales. En el documento, el propietario del sitio informa a los visitantes de qué manera, con qué fines y en qué medida se procesarán sus datos personales en el sitio. Para la política de procesamiento, puede crear una página separada con el texto de la política de procesamiento de datos personales. Puede agregar un enlace al pie de página del sitio. Debajo de cada formulario que recopile datos personales, deberá colocar el texto “Al hacer clic en el botón “Enviar”, acepta la “Política de Procesamiento de Datos Personales”” y dejar un enlace al documento. Si no se publica. La multa para los ciudadanos es de 1.500 a 3.000 rublos, para empresarios individuales y pequeñas empresas, de 10.000 a 20.000 rublos, para organizaciones, de 30.000 a 60.000 rublos. La política debe indicar:
– un enlace al sitio al que se aplica;
– Nombre completo del empresario o nombre de la organización que recibe el consentimiento del visitante del sitio;
– los fines del procesamiento de datos personales, es decir, por qué se recopilan los datos. Por ejemplo, para vender bienes, considerar solicitantes de empleo, brindar acceso al programa;
– una lista de datos procesados, es decir, qué recopila exactamente el sitio;
– si los usuarios publican datos en el sitio a los que pueden acceder todos los demás visitantes, se debe indicar que “se procesan datos personales públicos”;
– si se recopila información sobre raza y nacionalidad, opiniones políticas, religiosas y filosóficas, estado de salud, detalles de la vida íntima, – información sobre antecedentes penales, debe indicarse que “se procesan categorías especiales de datos personales”;
– plazo para el procesamiento de datos: un período de tiempo o un evento, por ejemplo, antes de la expulsión de una escuela en línea;
– métodos de procesamiento de datos, por ejemplo: “recopilación, registro, sistematización, acumulación, almacenamiento, aclaración, extracción, uso, transferencia, despersonalización, bloqueo, eliminación”;
– el procedimiento para destruir datos personales, por ejemplo, “borrar de un medio de almacenamiento sin posibilidad de recuperación”.
El consentimiento para el procesamiento de datos personales se publica en cualquier recurso donde los usuarios dejen datos personales, como apellido, nombre, patronímico, fecha de nacimiento, dirección de recepción de mercancías, lugar de trabajo. Si un sitio recopila datos personales, se debe obtener el consentimiento del usuario. El consentimiento se puede dar de cualquier forma, lo principal es confirmar el hecho de su recepción. Por ejemplo, puede crear una página con un texto de consentimiento y proporcionar un enlace a ella en cada formulario con recopilación de datos, y también agregar un botón de confirmación; hasta que el usuario indique que está de acuerdo con la recopilación y el procesamiento de datos, no poder utilizar el servicio. Si no se publica. La multa para los ciudadanos es de 10.000 a 15.000 rublos, para empresarios individuales: de 100.000 a 300.000 rublos, para pequeñas empresas: de 150.000 a 350.000 rublos, para otras organizaciones: de 300.000 a 700.000 rublos.
El texto del consentimiento debe contener:
– el nombre de la empresa o el nombre completo del propietario del sitio;
– lista de datos personales para cuyo procesamiento se da consentimiento;
– finalidad del tratamiento;
– período de validez del consentimiento;
– formas de rechazar el consentimiento para el procesamiento de datos, por ejemplo, completando un formulario de rechazo en el sitio web o enviando un aviso de rechazo al domicilio legal de la empresa.
El consentimiento para el procesamiento de datos personales permitidos para su distribución debe colocarse en sitios donde los usuarios no solo dejan datos, sino que también los publican para su visualización pública: estos son, por ejemplo, foros, redes sociales, portales corporativos y tiendas con reseñas. Se debe obtener un consentimiento por separado para la distribución de datos personales. La distribución es cuando los datos pueden ser vistos por cualquier visitante del sitio web. Por ejemplo, publicar en el sitio web de la empresa el nombre y el número de teléfono de un gerente o la reseña de un cliente. Puede crear dicho consentimiento en el servicio Roskomnadzor. El diseñador se ofrece a completar los campos, después de lo cual se envía la plantilla para que los especialistas del departamento la verifiquen. Si es necesario, el operador recibe recomendaciones para finalizar el documento. El resultado final se envía por correo electrónico. El consentimiento puede estar en una página separada. Junto a cada formulario en el que el visitante deja sus datos, debe haber un enlace al texto de consentimiento y un botón que confirme que el visitante ha otorgado su permiso. Si no se publica. La multa para los ciudadanos es de 10.000 a 15.000 rublos, para empresarios individuales: de 100.000 a 300.000 rublos, para pequeñas empresas: de 150.000 a 350.000 rublos, para otras organizaciones: de 300.000 a 700.000 rublos.
Al mismo tiempo, en el consentimiento, el visitante del sitio debe poder elegir qué datos:
– permite que se distribuyan;
– prohíbe la publicación para acceso público; dicha información sólo puede ser procesada por el propietario del sitio;
– define las condiciones de procesamiento, por ejemplo, la prohibición del uso de información para investigaciones estadísticas. Si el visitante ha indicado las condiciones para la distribución de datos personales, el propietario del sitio está obligado a publicar dichas condiciones dentro de los tres días hábiles.
Lo ideal es proporcionar al visitante una lista de los datos personales que se procesarán. De esta lista, el visitante debe seleccionar información que pueda ser distribuida.
El propietario del sitio está obligado a ser un operador de datos personales y cumplir con la ley. Por ley, usted puede recopilar datos personales y transferirlos a otra persona para su procesamiento. El propietario del sitio puede transferir los datos del cliente al webmaster y la tienda en línea puede transferir los datos del cliente al servicio de correo. La persona a quien transfiere datos para su procesamiento no necesita obtener un permiso por separado, pero debe cumplir con la ley. El propietario del sitio será responsable del cumplimiento de la ley ante los visitantes del sitio. Roskomnadzor y el tribunal determinarán el propietario del sitio basándose en la totalidad de los datos. Si el sitio web contiene información sobre una entidad jurídica o un empresario individual específico, le preguntarán. Si no existe dicho dato, se lo preguntarán al administrador del dominio.
Por ley, los operadores están obligados a almacenar datos personales en servidores rusos. Hay algunas excepciones, pero son específicas. Cualquier tienda online o servicio de suscripción debe almacenar una base de datos con los datos personales de los ciudadanos de Rusia. Entonces podrás transferir estos datos al extranjero. Esto es legal, pero bajo ciertas condiciones. De lo contrario, sería imposible reservar hoteles y comprar billetes de avión en el extranjero.
Roskomnadzor puede exigir confirmación de la ubicación de almacenamiento de las bases de datos. Por ejemplo, un acuerdo con un centro de datos, hosting o documentos para su propio servidor. Si resulta que los datos personales se almacenan de forma ilegal y no en Rusia, habrá problemas. Además de la ley sobre datos personales, existen requisitos del Servicio Federal de Control Técnico y de Exportaciones y del FSB. La fiscalía también puede participar en la investigación. Tienen suficiente poder para descubrir dónde se almacenan realmente los datos y hacer frente a las infracciones.
Se debe observar la ley sobre datos personales si el sitio se utiliza para operar en la Federación de Rusia. En teoría, Roskomnadzor tiene el derecho y puede bloquearlo. Estos son los signos que se utilizan para entender esto:
– el nombre de dominio está asociado con la Federación de Rusia o con un sujeto;
– existe una versión en ruso del sitio;
– el pago de bienes o servicios se realiza en rublos, la entrega es posible en el territorio de la Federación de Rusia;
– los consumidores del contenido del sitio son rusos;
– hay un anuncio en ruso que lleva a este sitio.
Si existe alguna combinación de estos factores, el responsable del tratamiento debe cumplir con la ley, incluso si se trata de una empresa extranjera. Esto significa que los documentos deben ser accesibles y comprensibles en la Federación de Rusia. Basta con tenerlos en ruso para que Roskomnadzor y los ciudadanos rusos los entiendan. Nuestras leyes de privacidad no se aplican a no residentes fuera del país.
La ley no explica cómo determinar la ciudadanía de un visitante. Se pidió a los operadores que resolvieran este problema ellos mismos. Y si no hay una posición y herramientas claras, vale la pena cumplir con la ley en relación con todos los datos personales recopilados en el territorio de Rusia.
No tiene sentido que los rusos dupliquen los mismos documentos en idiomas extranjeros. Pero estas reglas no fueron inventadas en Rusia. Existe un convenio del Consejo de Europa sobre la protección de las personas en lo que respecta al procesamiento automatizado de datos personales. Entonces, si recopilas datos de extranjeros, piensa en cómo cumples con la ley del país donde residen.
En Europa se imponen multas de cientos de miles de euros por una sola infracción de las normas de tratamiento de datos personales. En Rusia, la multa máxima a partir del 1 de julio de 2017 es de 75 mil rublos.
La Ley de Datos Personales sólo protege los datos de las personas físicas. No se aplica a los datos de la empresa. Pero lo que se indica en el formulario de comentarios es una formalidad. Es importante qué datos recopila el propietario del sitio y con qué propósito.
Si este es realmente el nombre de la empresa y el número de teléfono de la oficina, dicha información no está sujeta a la ley. Pero si un sitio recopila direcciones postales y números de teléfono de los empleados de la empresa para luego enviarles correos o transferirlos a terceros, puede haber problemas tanto por parte de estos empleados como de Roskomnadzor.
Todos los operadores de datos personales deben registrarse en Roskomnadzor. Las excepciones son sólo para los casos enumerados en el párrafo 2 del art. 22 leyes sobre datos personales.
Casi cualquier sitio puede ser reconocido como organizador de difusión de información. Para ello, basta con dar a los usuarios la oportunidad de comentar, intercambiar mensajes y escribir reseñas sobre productos.
Todos los propietarios de sitios web, blogs y foros deben comprender cómo funciona la ley para los organizadores de la difusión de información. Lo más probable es que ni siquiera creas que te concierne y que tienes responsabilidades adicionales. Pero si no se cumplen, existe el peligro de recibir una multa. Por ejemplo, 300 mil rublos por no notificar a Roskomnadzor sobre el inicio del trabajo. O un millón de rublos por no almacenar datos sobre los usuarios y sus mensajes o no almacenarlos en Rusia.
Colocar un aviso sobre la recopilación de cookies en todos los recursos donde se recopilan cookies, es decir, información sobre el comportamiento del usuario que se almacena en los navegadores. Esto generalmente lo hacen sitios que están conectados a estadísticas y servicios CRM, tiendas en línea y recursos que tienen autorización del usuario. Puede comprobar si su sitio recopila cookies utilizando su navegador. Por ejemplo, en una computadora con Windows, vaya al sitio a través de Chrome, luego presione Ctrl+Shift+I, seleccione la sección Aplicación→Almacenamiento→Cookies. O consulte con el administrador del sitio. Y aunque la ley no indica directamente que los usuarios deban ser notificados al respecto, existe una práctica judicial en la que esta información técnica se equipara a datos personales, por lo que su recopilación requiere notificación. Por ejemplo, el servicio estadounidense de medición de la velocidad de Internet Speedtest fue multado con 1 millón de rublos por negarse a almacenar datos personales de sus usuarios en Rusia. Considerando el caso, el tribunal reconoció que las cookies recopiladas por el servicio también son dichos datos. Los servicios comienzan a recopilar cookies inmediatamente después de que el usuario ingresa al sitio, por lo que una notificación estándar sobre el procesamiento de datos no es adecuada; de lo contrario, primero deberá obtener el consentimiento y solo luego permitir que la persona acceda a la página principal del sitio. Para las cookies, se crea un formulario separado, a menudo con un botón que aparece inmediatamente después de que se carga la página del sitio. Cuando acceda al sitio, debería aparecer inmediatamente una ventana emergente notificándole que el sitio recopila cookies. Existe el riesgo de que el tribunal considere la recopilación de cookies sin previo aviso como un procesamiento de datos personales sin obtener el consentimiento. Luego, el propietario del sitio será multado: ciudadanos: 10 000-15 000 rublos, empresarios individuales: 100 000-300 000 rublos, pequeñas empresas: 150 000-350 000 rublos, organizaciones medianas y grandes: 300 000-700 000 rublos.
El consentimiento para recibir publicidad debe colocarse donde el empresario o empresa recopila los contactos de los usuarios para envíos publicitarios. Se consideran contenidos publicitarios los SMS, notificaciones push, cartas que atraen y venden bienes, obras y servicios. Por ejemplo, una carta con una selección de productos de una tienda online se considera publicidad, pero una notificación sobre la entrega de la mercancía no. Al distribuir publicidad a través de comunicaciones móviles e Internet, es necesario obtener el permiso del usuario. Para ello, prepare un formulario con un texto que indique:
– quién enviará el anuncio – el nombre de la empresa o el nombre completo del empresario;
– qué se enviará – información sobre eventos, selecciones de productos, notificaciones sobre promociones;
– cómo se enviará la información – por ejemplo, mediante SMS o correo electrónico;
– reglas para rechazar el consentimiento; normalmente esto significa hacer clic en el enlace “Cancelar suscripción”.
El texto del consentimiento se coloca en una página separada. Se deja un enlace debajo del formulario de recopilación de contactos del usuario. El empresario debe asegurarse de que la información de contacto la haya dejado el propietario. Para ello, por ejemplo, se envía un SMS con un código único a un número de móvil y el usuario debe introducirlo en un formulario aparte en el sitio web. Si no se publica. Para los ciudadanos, la multa es de 2000-2500 ₽, para empresarios individuales – 4000-20 000 ₽, para pequeñas empresas – 50 000-250 000 ₽, para otras organizaciones – 100 000-500 000 ₽.
