Что должно быть у вас на сайте. Часть 1: политика, согласия и всё-всё-всё
Вы открыли свой бизнес, создали сайт или приложение, уже разместили там свои товары и услуги. Но тут вы вспоминаете, что видели у своих конкурентов какие-то оферты, пользовательские соглашения, согласия. Нужно ли это вашему бизнесу? Наша команда подготовила серию материалов, в которой мы рассказываем, какие сведения нужны на ваш сайт, как их подготовить и с какими рисками вы можете столкнуться. В первой части разбираемся с политикой, согласиями и реквизитами.
Если просто запустить сайт и начать продавать свои товары/услуги – ваш бизнес рискует понести существенные убытки из-за штрафов от государственных органов. Более того, из-за неправильной оферты, к примеру, вы можете понести имущественные потери, став жертвой потребительского экстремизма. Именно поэтому перед запуском онлайн-бизнеса вам нужно убедиться, что у вас есть пакет документов, который не скачан с первой ссылки, а отвечает особенностям и потребностям вашей компании.
Статью подготовил:
Содержание:
Какие сведения нужны
При открытии онлайн-бизнеса впервые учесть все особенности законодательства может быть довольно трудно. В России нет одного закона, в котором бы чётко и по пунктам был бы расписан перечень документов и требования к ним. Всё разбросано по разным нормативным актам и без достаточной юридической подготовки в этом можно утонуть. К тому же, эти акты зависят от угла, под которым на них смотреть. С точки зрения персональных данных – это один акт и один порядок, а с точки зрения потребительских отношений – совсем другое.
Поэтому мы проанализировали всё с разных сторон и составили этот перечень документов:
- Реквизиты владельца сайта (ч. 2 ст. 10 ФЗ №149 «Об информации, информационных технологиях и о защите информации»);
- Документ о порядке обработки персональных данных (ч. 2 ст. 18.1 ФЗ №152 «О персональных данных»);
- Согласие на обработку персональных данных (п. 1 ч. 1 ст. 6 ФЗ №152 «О персональных данных»);
- Публичная оферта (п. 12 Правил продажи товаров при дистанционном способе продажи товара по договору розничной купли-продажи).
А теперь обо всём по порядку.
Реквизиты
Реквизиты – это такие сведения о вас, как о владельце сайта, которые помогут вашим клиентам идентифицировать вас и связаться с вами при необходимости. По закону обязательными реквизитами считаются:
- Наименование компании или ФИО предпринимателя/самозанятого, который владеет сайтом;
- Юридический адрес компании или адрес предпринимателя/самозанятого;
- Адрес электронной почты для связи.
Статья 9 Закон РФ от 07.02.1992 N 2300-1 «О защите прав потребителей» и правила хорошего тона помимо всего прочего обязывают доводить до сведения потребителя:
- ОГРН или ОГРНИП;
- Номер лицензии, сроки её действия и информацию об органе, выдавшем её – если деятельность лицензируемая.
Эти реквизиты не должны быть спрятаны в глубинах сайта. По общему правилу их нужно указывать там, где любой пользователь сможет быстро и без проблем их найти. Самый распространённый способ – разместить реквизиты в подвале сайта.
Но можно также создать отдельный раздел, например, «О нас» или «Контакты». Никакие законы и иные нормативные акты этого не запрещают.
Риски: В целом за неразмещение реквизитов не предусмотрено наказание. Но к вам может прийти Роскомнадзор и потребовать всё разместить. А уже в случае неисполнения этого предписания, вас могут оштрафовать по ст. 19.5 КоАП РФ. Для юридических лиц максимальная сумма штрафа – 20 тысяч рублей.
Политика обработки персональных данных
Если при продаже своих товаров/услуг вы собираете с клиентов фамилию, имя, отчество, дату рождения, адрес, номер телефона, электронную почту – по закону вы являетесь оператором персональных данных. Даже если вы собираете только куки на сайте-визитке и у вас там нет формы обратной связи, вы – оператор! А значит на вас распространяются требования ФЗ–152.
К таким требованиям относится в том числе размещение на сайте документа о порядке обработки персональных данных (часто встречается название «политика конфиденциальности» или «политика обработки персональных данных»).
Политика обработки персональных данных – это специальный документ, в котором вы показываете своим клиентам как, в каких объёмах и с какой целью вы обрабатываете персональных данные.
Политика должна размещаться на отдельной странице вашего сайта, и пользователь должен иметь возможность в любой момент обратиться к ней. Ссылку на политику можно также разместить в подвале сайта или в разделе с юридической информацией.
Ссылку на политику также нужно разместить под каждой формой, где собираются персональные данные. При этом пользователь должен подтвердить своё ознакомление с ней. Обычно это реализуется путём проставления галочки в чек-боксе.
Важно: галочка в чек-боксе не должна быть преднастроенной. Пользователь должен каждый раз сам проставлять её и таким образом подтверждать, что он со всем ознакомлен.
Риски: Если вы будете собирать и обрабатывать персональные данные без политики, ваш бизнес могут оштрафовать по ч. 3 ст. 13.11 КоАП РФ. Максимальная сумма штрафа для юридических лиц – 60 тысяч рублей.
Важно! Только написать и выложить политику – недостаточно. У вас также должен быть пакет внутренних документов, связанных с обработкой персональных данных. Например, регламент уничтожения персональных данных, приказ о назначении ответственного по работе с персональными данными, положение о внутреннем аудите работы с персональными данными и другие.
Согласие на обработку персональных данных
Вместе с Политикой бок о бок идёт согласие на обработку персональных данных. Согласие – это акт волеизъявления субъекта персональных данных (пользователя сайта), который разрешает вам обработку его персональных данных.
Согласие может быть дано в любой форме, позволяющей подтвердить факт его получения. Оно может быть получено, например, через проставление галочки в чек-боксе, под которым должна быть ссылка на текст согласия. При этом вы, как оператор персональных данных, обязаны доказать получение согласия.
Согласие – это всегда решение вашего клиента, оно должно быть свободным и соответствовать интересу клиента. А выражение этого согласия должно быть:
конкретным – пользователь должен осуществить конкретное и понятное действие, которое будет выражать его согласие;
предметным – согласие не должно быть расплывчатым, общим, оно должно совпадать с реальными целями обработки и содержать понятную информацию (об этом ниже);
информированным – у пользователя должна быть возможность ознакомиться с текстом согласия и понять его;
сознательным – система должна быть построена так, чтобы при совершении определенных действий пользователь понимал, что он дает согласие на обработку своих персональных данных;
однозначным – согласие должно выражаться таким образом, чтобы не было даже гипотетической возможности трактовать его как-то иначе.
В тексте согласия нужно указать:
- кому дается согласие – наименование и адрес вашей компании;
- перечень персональных данных, которые собираются и обрабатываются – например, ФИО, адрес, номер телефона, электронная почта и так далее;
- перечень действий с персональными данными – сбор, запись, систематизация, накопление, хранение и так далее;
- цель, для которой собираются и обрабатываются данные – например, создание личного кабинета и получения доступа к функционалу сервиса;
- срок действия согласия – можно установить конкретную календарную дату, период или наступление юридического события, например, заключение сделки;
- способы, которыми можно отозвать согласие – например, путем направления электронного заявления по электронному адресу компании.
Обращаем внимание также и на то, что не всегда достаточно одного согласия. В нашей практике был кейс, когда компания предоставляла несколько смежных услуг. Для каждой из услуг собирался различный перечень персональных данных. Поэтому помните: если данные собираются с разными целями и в различном объёме, одним согласием обойтись нельзя. Это исходит из требования к конкретности согласия.
К персональным данным своих клиентов мы советуем относиться очень серьезно. Важно не только формально соблюдать требования закона, например, размещать политику или обрабатывать данные только с согласия. Нужно действительно обеспечивать безопасность. Если этого не будет сделано, может произойти утечка. А клиент, чьи данные были «слиты» с помощью специальных программ, сможет узнать, откуда произошла эта самая утечка. И в таком случае вы рискуете столкнуться с неприятными последствиями в виде репутационных и имущественных издержек.
Риски: сбор и обработка персональных данных без согласия влечёт наложение штрафа. Максимальная сумма штрафа для юридических лиц – до 700 тысяч рублей по ч. 2 ст. 13.11 КоАП РФ.
Заключение
Как можно понять, перечень документов для сайта очень обширный. Если вы что-то упустите или разместите неверно, то можете столкнуться с крупными штрафами. Чтобы соблюдать требования закона и не терять ресурсы, обращайтесь к профессиональным юристам.
А в следующей части мы разберёмся, что такое публичная оферта, как и где её размещать и чем она отличается от пользовательского соглашения и договора.
Подписывайтесь на наш канал. Мы отслеживаем новости права для ИТ-компаний, а также пишем большие разборы интересных ситуаций.
Мы оказываем полный спектр услуг для ИТ-компаний: получение льгот, регистрация интеллектуальной собственности, подготовка договоров, персональные данные, проведение аудита ИС. Можете обращаться +7 (969) 790-00-90 или по электронной почте info@ag-legal.ru.