Все знают, что на сайте должны быть размещены красивые картинки товаров, отзывы покупателей, кнопка призыва к действию. Но далеко не все в курсе, что кроме маркетинговых элементов, здесь обязательны еще и документы, без которых владелец ресурса рискует попасть под пристальное внимание налоговых органов или даже прокуратуры. Причем количество этих документов постоянно увеличивается.
Обязательный минимум по состоянию на май 2021 года включает:
- Политику обработки данных.
- Согласие на обработку данных.
- Согласие на получение рекламы.
- Оферту.
- Согласие на распространение данных пользователей.
Есть еще пользовательское соглашение, которое, по сути, является той же офертой, только используется не для продающих, а для информационных сайтов. Кроме того, желательно разместить уведомление об обработке cookie, счетчиков и других аналитических инструментов, а также сведения о продавце. Последние 2 пункта не являются документами, но де-юре они тоже обязательны, иначе – штраф от 5–10 (данные о магазине) до 150 тыс. рублей для юридических лиц (cookie).
Как правильно оформить сайт, чтобы не подпасть под санкции или расследования? Разберем по пунктам.
Все, что касается персональных данных
Правила работы с персональными данными регулирует 152-ФЗ, согласно которому к личной информации о пользователе относятся:
- номер телефона;
- адрес проживания или регистрации;
- email;
- даже имя (полное или неполное).
Таким образом, любой сайт, который предлагает посетителю заполнить форму с именем и контактами (обратной связи, например), является оператором персональных данных (ПД). Соответственно, он должен предлагать в свободном доступе документ, в котором подробно расписано, как он собирает информацию, для каких целей, что с ней делает, и какими способами защищает ее от попадания не в те руки.
Политика
Такой документ называется политикой обработки данных или конфиденциальности. В ней обязательно указываются:
- характер собираемой информации (что может запросить оператор);
- цели сбора;
- способы хранения данных;
- инструменты обработки;
- уровни защиты;
- объем использования и т. д.
Если сайт подключен к сервисам, которые тоже обращаются к данным пользователя (Яндекс.Метрика, Google Analytics), в документе нужно дать ссылку на политику конфиденциальности этих сервисов.
Cookie Policy
Второй пункт того же плана (обработка ПД) – Cookie Policy. Это уже не полноценный документ, а уведомление, которое достаточно подключить одной строкой на всех страницах, использующих куки. В форме нужно предусмотреть место, в котором пользователь поставит галочку. По правилам она не должна стоять по умолчанию.
Обработка ПД
Третий документ – согласие на обработку данных. Если с политикой читатель может просто ознакомиться, а в строке о cookie поставить галочку напротив «понятно», «Оk» или «хорошо» (в ответ на фразу типа «мы используем файлы cookie, если вы продолжаете пользоваться сайтом, значит, согласны»), то согласие предполагает только одну формулировку.
Человек должен согласиться с условиями, описанными в документе. Никаких «ознакомлен» или «понял» здесь быть не может. Сам документ может быть приложением к политике конфиденциальности.
Новинка марта 2021 года
Не всегда, но часто сайтам нужно еще и разрешение субъектов персональных данных на распространение их информации (поправки в 152-ФЗ, регламентирующие этот вопрос, вступили в силу совсем недавно – в марте 2021 года). Требование касается:
- форумов;
- сайтов с личными кабинетами пользователей;
- социальных сетей;
- ресурсов, на страничках которых размещаются видеоотзывы или фотообзоры товаров от покупателей;
- порталов с фото и страницами авторов или сотрудников компании.
Все, чьи данные размещены на ресурсе, должны дать разрешение на распространение информации о них. Этот документ тоже можно вложить в папку с политикой или разместить отдельно. При этом объединять в один документ согласие на обработку ПД и разрешение на их распространение закон запрещает.
Кроме персональных данных
Документы, которые не касаются использования личной информации, но все равно должны быть на сайте, – оферта и согласие на получение рекламы. В первом случае речь о полноценном договоре, заключения которого (онлайн в данном случае) требует ст. 10 закона о защите прав потребителей № 2300–1.
Что в нем должно быть:
- данные о продавце (наименование, номера лицензий, реквизиты, адреса);
- предмет (услуги, товары, продажа, абонемент);
- условия доставки, оплаты, возврата, обмена;
- права и обязанности сторон;
- момент принятия условий пользователем (как правило, это оформление заказа).
Де-юре оферта не является строго обязательной для всех сайтов, которые что-либо продают. Но де-факто, как показал опыт, она дает лучшую защиту, чем разбросанные по страницам данные, которые можно свести в этот документ.
Согласие на получение рекламных материалов требуется в соответствии с 38-ФЗ и может быть оформлено по аналогии с использованием cookie (одной или несколькими строками с описанием, напротив которого пользователь ставит галочки, если хочет получать рекламу).
Как правило, эти строки добавляют в форму заказа или сбора персональных данных. Недопустима техническая настройка форм, при которых человек не сможет отправить запрос без согласия на рекламу.
Сведения о бренде, магазине, продавце
Сведения о владельце сайта или торговом предприятии, которое он (сайт) представляет, – это не документ. Более того, такие данные содержатся в пользовательском соглашении или оферте. И все же юристы рекомендуют собрать эту информацию и вынести на отдельную площадку – в блок контактов или футер на главной.
Что здесь должно быть:
- полное наименование (Ф. И. О, если это ИП);
- ОГРН для юрлица или индивидуальный номер предпринимателя;
- адреса регистрации, места нахождения и email (для компаний);
- номер телефона.
Если деятельность, которую осуществляет компания или ИП, требует получения дополнительных разрешительных документов, в сведениях о продавце желательно указать номера свидетельств, разрешений, лицензий. Хорошо, если на сайт будут загружены и сканы таких документов. Тогда по факту жалобы со стороны пользователя владельца сайта будет сложно обвинить в неполном информировании.