Что обязательно должно быть на сайте по закону
Как собирать персональные данные пользователей на сайте, не нарушая закон
Многие из нас постоянно регистрируются на разных ресурсах в Сети, подписываются на рассылки, заполняют формы и оставляют комментарии. Все эти действия так или иначе подразумевают сбор персональных данных. Мы расскажем, как обрабатывать персональные данные пользователей сайта и при этом избежать серьёзных нарушений и штрафов.
Если вы собираете данные пользователей из России, то основной документ, на который нужно полагаться — Федеральный закон № 152-ФЗ «О персональных данных». Давайте разберёмся, в чём его суть и как организовать сбор персональных данных законным путём.
Что такое персональные данные?
В соответствии с определением вышеупомянутого закона: «Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных)».
То есть, к персональным данным (далее ПД) можно отнести: ФИО, дату рождения, телефон, адрес, ИНН, сведения о работе, ссылки на аккаунты в соцсетях или личный сайт и другую подобную информацию.
На любые данные найдётся тот, кто их обрабатывает — то есть делает все те вещи, которые описаны в соглашениях на обработку ПД (вы наверняка это знаете, если когда-нибудь читали подобные документы). А именно сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение. Человек, обрабатывающий ПД, называется оператором персональных данных. Он несёт ответственность за незаконную обработку ПД и может быть как юридическим, так и физическим лицом.
Вас можно считать оператором персональных данных, если на вашем сайте есть формы:
Обратите внимание, что не все данные являются персональными сами по себе, но их совокупность позволяет им приобрести такой статус. Например, если пользователь укажет только своё имя, то этого явно не хватит для идентификации его личности. А вот имя и e-mail уже дают более полноценное определение. В то же время такие сведения, как номер телефона или ИНН, сами по себе уже являются ПД, так как при наличии доступа к соответствующей базе данных они позволяют получить полную информацию о человеке.
Поэтому определить, являетесь ли вы оператором ПД, можно в зависимости от того, какие именно данные вы собираете через формы обратной связи на сайте.
Что делать, если я обрабатываю ПД у себя на сайте?
Собирая информацию о пользователях, вы можете задаться вопросом: «Как обрабатывать ПД, чтобы избежать штрафных санкций?». Сущесвтует ряд условий обработки персональных данных для сайта. Вам необходимо:
На всякий случай подчеркнём, что нужно выполнить все эти шаги. Пройдёмся по каждому из пунктов.
SSL-сертификат
SSL-сертификат — стандарт безопасности для обмена данными между сайтом и пользователем. Главное преимущество SSL-сертификата — зашифрованное соединение, которое защищает трафик, не давая перехватить его и использовать оставленные на сайте персональные данные в мошеннических целях.
Критически важно перейти на протокол SSL всем сайтам, где есть информация первой и второй категории (подробнее о категориях информации можно узнать здесь). Это, например, данные банковских карт, логины и пароли от аккаунтов, формы с указанием полного имени и адреса и прочее.
Политика конфиденциальности
Составляя политику конфиденциальности, обратите внимание на принципы обработки персональных данных. В ней необходимо указать следующую информацию:
Посетители вашего сайта должны иметь возможность беспрепятственно ознакомиться с политикой конфиденциальности, поэтому мы советуем разместить её в футере каждой страницы.
Согласие на обработку персональных данных
В соответствии с законом «О персональных данных» пользователь должен самостоятельно решать, предоставлять ли вам свои данные, и давать согласие на их обработку. При этом согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Сделайте чекбокс с уведомлением о том, что клиент соглашается на обработку ПД и ознакомлен с политикой конфиденциальности (не забудьте дать на неё ссылку). Посетитель сайта должен самостоятельно поставить галочку в чекбоксе, и делать это за него мы не рекомендуем.
Но есть ряд случаев, когда согласие на обработку ПД можно получить и другим способом. К ним относится, например, подписание договора, одной из сторон которого является пользователь.
Уведомление Роскомнадзора
Закон «О персональных данных» гласит, что вам необходимо уведомить Роскомнадзор о сборе и обработке персональных данных посетителей вашего сайта. Сделать это можно через специальную форму.
Но есть и исключения, когда уведомлять Роскомнадзор не обязательно. Среди них, например, обработка общедоступной информации (то есть той, которую пользователь сделал доступной для неопределённого круга лиц, например данные о себе, опубликованные на личном сайте или в открытом профиле социальной сети) или данных, включающих в себя только ФИО.
Выводы
1. Персональные данные — это любая информация, по которой можно прямо или косвенно определить человека.
2. Если вы обрабатываете ПД — подключите к сайту SSL-сертификат, разместите политику конфиденциальности и уведомите Роскомнадзор.
3. У посетителей сайта необходимо брать согласие на обработку персональных данных — разместите под формой ввода данных соответствующую строку с чекбоксом и ссылкой на политику конфиденциальности.
4. Храните персональные данные людей, проживающих в РФ, на серверах, располагающихся на территории России.
Юридические документы на сайте
При запуске сайта с информацией об услугах / товаре или интернет-магазина помимо создания гайдлайна и брендбука, красивого оформления сайта, подбора картинок и написания текстов, необходимо не забывать о юридически важной составляющей сайта. Разберем, какие 4 важных документа должны присутствовать на сайте.
Зачем вообще нужно размещать юридические документы на сайте?
Корректно составленные и размещенные документы помогут избежать административных штрафов и гражданских исков, а также, помогут владельцу сайта отстоять свои права в суде в случае их нарушения.
Какие это документы и где они должны размещаться?
Политика в отношении обработки персональных данных (ПД)
Пп. 2 ст. 18.1. ФЗ-152 от 27.07.2006 г.:
Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПД, к сведениям о реализуемых требованиях к защите ПД.
Этот документ также можно назвать “политикой конфиденциальности” или “пользовательским соглашением”.
Политика обязательно должна быть размещена на сайте, если на сайте есть хоть одна форма сбора контактов, форма регистрации в личном кабинете или форма обратной связи.
При использовании на сайте сервисов Google Analytics и/или Яндекс.Метрика необходимо также указывать их в Политике, указать объем использования сервиса и дать ссылку на Политику соответствующего сервиса.
Как правило, Политику размещают в футере сайта, но можно и в любом ином месте, главное, чтобы у пользователей был свободный доступ к документу.
Согласие на обработку ПД
Неотъемлемо связано с Политикой. Согласие можно интерпретировать и как действие, и как документ.
Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме.
Ключевое в этом то, что оператор обязан суметь подтвердить тот факт, что пользователь выразил согласие: это может быть “галочка”, кнопка, ссылка, или еще что-то.
Важно помнить, что проставляя “галочку” на сайте рядом с текстом “согласен на обработку ПД” пользователь акцептует оферту (п. 435 ГК РФ). Поэтому очень важно, чтобы галочка не была проставлена заранее, иначе получается, что оферта уже кем-то акцептована и вы не сможете доказать согласие пользователя на обработку его ПД.
Согласие может быть сформулировано как отдельный от Политики документ, так быть единым документом.
Формулировка рядом с галочкой “Ознакомлен с политикой” не подходит, т.к. необходим именно факт выражения согласия.
*за каждое лицо, согласие которого не было подтверждено.
Согласие должно быть расположено около каждой формы сбора ПД.
2.1. Согласие на сбор файлов cookie
2.2. Согласие на сбор данных через сервисы Google Analytics и Яндекс.Метрика
Чем такое Согласие в корне отличает от простого согласия на обработку ПД?
Собирать файлы cookie, а также данные через сервисы ЯМ и ГА сайт начинает, как правило, сразу после того как пользователь заходит на сайт. Т.е. поведение пользователя и данные о нем начинают обрабатываться еще до того как он сам их ввел в форму обратной связи и выразил согласие на их обработку, что в результате толкуется как “обработка ПД без согласия пользователя” и является нарушением, как указано в п.2.
Соответственно, выходом в данном случае является информирование пользователя внизу экрана, в середине или где-либо еще в заметном месте на сайте. Необходимо, чтобы пользователь совершил активное действие для выражения согласия.
Согласие на получение рекламы
Очень многие считают, что согласие на обработку ПД тоже самое, что и согласие на рассылку. Нет, это не так.
Вопросы рекламы в РФ контролирует ФАС, согласие на рекламу предусмотрено п.1. ст. 18 ФЗ-38 от 13.03.2006.
Распространение рекламы по сетям электросвязи, в том числе посредством использования телефонной, факсимильной, подвижной радиотелефонной связи, допускается только при условии предварительного согласия абонента или адресата на получение рекламы. При этом реклама признается распространенной без предварительного согласия абонента или адресата, если рекламораспространитель не докажет, что такое согласие было получено.
Необходимо иметь в виду, что в случае с распространением рекламы добросовестность лица, оставляющего свои контакты, например имейл, для получения рекламы не презюмируется. Поэтому необходимо проверять, действительно ли номер телефона или электронный адрес, на который вы планируете рассылать рекламу, принадлежит тому лицу, которое его оставило.
Проверить можно, например, через DOI письмо или код-смс.
Условия оказания услуг / Правила / Оферта / Пользовательское соглашение / Договор
Название документа должно так или иначе отражать содержание, но по большей части оно не имеет значение.
4.1. Правила Программы лояльности (ПЛ) / Конкурсов / Акций
Грамотно прописанные правила ПЛ или акции помогают избежать претензий со стороны участников. В таких правилах обязательно должны быть сроки действия различных скидок, условия их получения, условия и порядок обмена онлайн-бонусов или получение каких-либо подарков.
Зачем нужны эти документы, если по закону они не обязательны и можно аппелировать к ГК РФ?
Да, подобные моменты регулируются ГК РФ, Законом о защите прав потребителей и иными нормативно правовыми актами, но если они урегулированы продавцом и размещены в интернет-магазине, то в первую очередь при разрешении спора будут руководствоваться документами, размещенными на сайте, которые были доступны пользователю при совершении определенных действий, например таких как оформление покупки. Если документы на сайте не соответствуют закону, то будут руководствоваться законом, а здесь следует помнить старое правило “Покупатель всегда прав”.
В таких документах можно предусмотреть различные риски, которые могут возникнуть на сайте, например если слетит цена у какого-то товара и вместо 50 000, он вдруг станет доступен за 5 000 и вы захотите отказать покупателю в покупке по указанной цене.
Такие документы можно размещать в футере, как и Политику, либо создать отдельный раздел. При оформлении заказа необходимо делать ссылку на ознакомление с этими документами, можно уже без галочки, а например “нажимая оформить заказ я подтверждаю, что ознакомился с …”.
Юридические требования к сайтам
Сделали вы себе сайт: красиво, технологично, всё по маркетингу. Открыли шампанское, отмечаете. И тут в разгар праздника врывается Рос-что-нибудь-надзор и говорит: «Сайт у вас так себе. Переделывайте, а то оштрафуем». И действительно оштрафуют, ведь к интернет-ресурсам есть требования со стороны закона.
Нормативные акты заставляют публиковать определённую информацию и даже прибегать к определённым техническим и дизайнерским решениям. Если вы этого не сделаете, вас накажут. К тому же у вас возникнут проблемы с таргетингом, ведь модераторы соцсетей проверяют сайты, на которые вы ставите ссылки в рекламных постах.
В общем, здесь мы говорим не о маркетинговой логике разработки сайта, а только о юридических требованиях. Выполнять их нужно, потому что нужно. В подготовке статьи нам помогали пресс-службы Роскомнадзора и Федеральной антимонопольной службы, за что им спасибо.
Эти требования относятся к информационным сайтам, соцсетям, интернет-магазинам, SaaS-сервисам — короче, ко всем сетевым ресурсам, которые собирают персональные данные. Под этим понимается любая информация, которая относится к конкретному человеку прямо или косвенно. Например, имя, фамилия, возраст, место рождения, фотография, адрес, номер телефона, геолокация, cookie, IP-адрес.
Вы обязаны сообщить пользователю, какую именно информацию вы собираете, как храните и как будете использовать. Всё это нужно упаковать в документ «Политика обработки персональных данных» и опубликовать на сайте.
Кроме того, на сайте обязательно должен быть документ под названием «Пользовательское соглашение», где также прописано всё о сборе информации. Но может быть и отдельное «Соглашение об обработке персональных данных». Если вы забудете опубликовать эти документы, память вам освежит штраф до 30 тысяч рублей.
Доступ к ним должен быть свободным, а содержание должно соответствовать законам. Например, нельзя писать, что вы имеете право передать кому-то ещё данные пользователя без его согласия, потому что это противоречит закону «О персональных данных».
Пользователь имеет право запретить вам собирать и хранить данные о нём. Поэтому нужно убедиться, что он согласен со всеми условиями.
Согласие может быть получено проставлением галочки в соответствующей веб-форме или конклюдентным действием. При этом важно помнить, что при определении формы согласия на оператора персональных данных дополнительно возлагается обязанность отслеживать, что именно этот человек предоставил ему свое согласие.
Если вы начнёте собирать данные без согласия пользователя, штраф может быть до 75 тысяч рублей.
Хранить данные вы можете только на серверах, которые находятся на территории Российской Федерации. В противном случае вам грозит штраф до 6 млн рублей. Если покажется мало, за повторное нарушение — уже до 18 млн рублей.
Если вы будете нарушать закон «О персональных данных» и игнорировать предписания Роскомнадзора, ваш ресурс могут вообще заблокировать. Так случилось, например, с LinkedIn: их соглашение противоречило закону, базы данных хранились не в России, на претензии компания не реагировала.
Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ.
Поскольку это в первую очередь магазин, вам нужен некий аналог «Уголка потребителя». Обязательно опубликуйте оферту, где будут расписаны все права и обязанности покупателей, порядок покупки и возврата товара.
По закону вы обязаны дать покупателю подробную информацию о товаре. Вот основные пункты:
Ещё на сайте нужно разместить полное юридическое название вашей организации и адрес. Если это маркетплейс, нужно указывать и все данные продавцов, которые выставляют свои товары в вашем сервисе.
Как и в любом магазине, вы обязаны использовать специальное кассовое оборудование и выдавать покупателям чеки. Хотите, чтобы покупатели платили банковской картой на сайте, — подключайте онлайн-кассу с фискальным накопителем (это как лента в кассовом аппарате, только электронная).
Накопитель собирает информацию об оплате и передаёт её в специальный сервис, который называется оператор фискальных данных. Он уже в свою очередь направит информацию в налоговую, а пользователю — чек на электронную почту.
Также обратите внимание, что онлайн-магазины обязаны предложить пользователю услугу доставки.
Чек-лист: какие документы должны быть на сайте?
Краткий чек-лист юридической документации, которая должна присутствовать на сайте.
Необходимость размещения реквизитов обусловлена требования Закона о защите прав потребителей, где в статье 26.1 указано, что продавцом должна быть предоставлена информация о наименовании продавца и его месте нахождения.
Как правило, реквизиты размещаются в “подвале” сайта либо на отдельной страничке. Главное, чтобы посетитель сайта мог беспрепятственно с ними ознакомиться.
Таким образом, желательно разместить на сайте следующие реквизиты: название компании, ОГРН, ИНН, место нахождения, сведения о лицензиях, аккредитациях.
Что может грозить компании за отсутствие реквизитов?
Продавца могут оштрафовать за нарушение прав потребителей по ст. 14.8 КоАП РФ на сумму до 10 тысяч рублей. Штраф возможен, если поступит соответствующая жалоба от человека в Роспотребнадзор.
✔️ Пользовательское соглашение
Документ с указанием прав и обязанностей посетителей сайта, их взаимоотношениях с владельцем сайта.
Данный документ представляет собой соглашение между владельцем сайта и его посетителем на использование бесплатного функционала сайта.
Таким образом, пользовательского соглашения может не быть на сайте интернет-магазина, но его желательно иметь на “обычном” сайте. Так и в обратной ситуации: оферты не будет на каком-то информационном сайте, но пользовательское соглашение там желательно.
Документ не обязательный, но при грамотном составлении и наличии облегчает возможные споры.
Для чего разделять оферту и пользовательское соглашение?
Для разделения ответственности и обязанностей при различных действиях на сайте.
Например, в пользовательское соглашение можно включить условия регистрации на сайте, порядок пользования личным кабинетом, указать на недопустимость использования текстов или изображений на сайте без согласия владельца
Кстати, вопрос использования текстов довольно актуален и спорные ситуации встречаются довольно часто. Многие посетители сайтов берут готовые тексты или картинки и публикуют их на своих ресурсах без разрешения правообладателя.
✔️ Политика конфиденциальности (политика обработки персональных данных)
Актуальность документа возросла пару лет назад в связи с увеличением штрафов за нарушения в области персональных данных.
Обязательно для любого сайта, собирающего данные пользователя.
В интернете можно найти много образцов подобного документа и большинство “диванных” специалистов скажут вам, что можно их брать и не обращаться к юристам, но стоит помнить, что штрафы предусмотрены не только за обработку персональных данных без соответствующего документа, но и за обработку персональных данных, несовместимую с целями сбора.
Например, будет у вас документ, скачанный из интернета, в котором будет написано, что вы собираете “имя, фамилию, отчество, дату рождения, паспортные данные…”, но для того, чтобы продать покупателю условный продукт, дату рождения собирать не нужно.
В таком случае, на вашу компанию может быть наложен штраф до 50 000 рублей.
Поэтому, к составлению данного документа нужно подходить со всей ответственностью либо привлекать специалистов.
А согласие покупателя заключить договор называется “акцепт”.
Однако, на интернет-площадках (чаще всего, в интернет магазинах) данное понятие подразумевает собой договор между магазином и покупателем.
Оферта может иметь различные названия: “Условия продажи товаров”, “Договор публичной оферты” и т.д.
С публичной офертой (т.е. офертой для неопределенного круга лиц, любого, кто обратиться к продавцу) мы сталкиваемся практически ежедневно: покупаем продукты в магазине или билет в метро.
Данный документ является одним из самых важных для интернет-магазинов и его составление стоит поручить специалисту.
Как пример некорректно составленного документа и последующих негативных последствий для продавца можно привести следующий пример:
согласно “Правилам продажи товаров дистанционным способом” (Постановление Правительства РФ № 612 от 27.09.2007 г.) покупатель вправе вернуть товар в течение 7 дней.
Однако, если покупателю не было предоставлено информации о сроках и порядке возврата (т.е. в оферте не содержалось условие, что товар можно вернуть в течение 7 дней и как это сделать), то покупатель может вернуть товар в течение 3 месяцев (!) с момента покупки.
Таким образом, предприниматель, сэкономив на услугах специалиста и взяв некорректный образец документа, может предоставить покупателю значительно большие права, чем того требует закон и, например, получить весной купленную покупателем в феврале зимнюю куртку и тем самым, убытки в виде неликвидного к моменту возврата товара.
Итак, что должна содержать в себе “оферта”?
— сроки и порядок возврата товара
— предмет договора (например, купля-продажа товара)
— момент акцепта (т.е. принятие покупателем условий договора, моментом акцепта может быть оформление заказа)
— иные условия взаимодействия продавца и покупателя (ответственность и т.д.)
А что нельзя включать в оферту?
Любые условия, ущемляющие права потребителей. Например, невозможность вернуть товар или срок менее 7 дней на возврат.
Оферту, как и политику конфиденциальности, следует размещать в доступном для посетителей сайта месте, чтобы с ней можно было ознакомиться без всяких препятствий.
✔️ Согласие на обработку персональных данных
Как правило, в виде “галочки” под формой сбора персональных данных с ссылкой на Политику обработки.
До недавнего времени шли споры, можно ли получать согласие путем “проставления галочки” в электронной форме.
Но, роскомнадзор расставил все по своим местам, выпустив информационное письмо, в котором указал, что получение согласия в таком виде возможно и не противоречит закону.
Стоит отметить, что какое-либо упрощение подобного сбора, например, автоматическая постановка галочки за пользователя, не рекомендуется, т.к. может расцениваться как неполучение согласия от субъекта персональных данных, ведь получение такого согласия должно быть “конкретным и сознательным”, как говорит об этом закон.
✔️ Уведомление об использовании “cookies
Чаще всего, включается в Политику обработки персональных данных, так как есть мнение, что использование куки равно использованию персональных данных. Однако, с точки зрения IT-специалистов, куки не персонализируют посетителя сайта, а значит это не совсем персональные данные.
Поэтому, рекомендуется уведомление помещать сразу при переходе посетителя на сайт в виде всплывающего окна.
На территории РФ вроде бы нет законодательных норм обязывающих предупреждать об использовании cookies или это спорный вопрос?
Дело в том, что наши контролирующие органы не могут определиться, что такое cookies.
Есть мнения, что они относятся к персональным данным, поэтому возможно наказание за сбор и обработку без уведомления.
Какие-либо разъяснения или, хотя бы, мнения официальных лиц, отсутствуют, поэтому владельцы сайтов размещают такие уведомления, чтобы не было причин к ним докопаться по этому поводу.
Да, вроде тоже не слышал чтобы ввели обязаловку.
Очень полезно, благодарю
Их можно заказать до 7 декабря, чтобы принять участие в розыгрыше призов.
Владельцам сайтов: изменения в законе
о персональных данных
Почти все владельцы сайтов обрабатывают персональные данные — например, собирают почтовые адреса для рассылки.
1 июля 2017 года вступают в силу изменения в законе о персональных данных, из-за которых в разы вырастут штрафы. Максим Лагутин, эксперт по персональным данным в компании Б-152, рассказывает, на кого это повлияет и как избежать штрафов.
Сейчас по статье 13.11 есть только одно нарушение со штрафом 10 000 рублей для юрлиц. После 1 июля их станет семь и общий штраф может составить до 295 000 рублей.
Почему сейчас? Все штрафы, которые вступают в силу с 1 июля, являются наиболее частыми нарушениями, которые Роскомнадзор выявлял в течение последних пяти лет. Ужесточение нашего законодательства связано с ужесточением законодательства в Евросоюзе.
Например, если в форме обратной связи нет ссылки на соглашение на обработку персональных данных, компания должна будет заплатить 50 000 рублей. Если на сайте нет политики конфиденциальности, ИП оштрафуют на 10 000 рублей, компанию — на 30 000 рублей.
Хостинг и база данных с персональными данными должна располагаться на территории России. Об этом прямо говорят данные проверок Роскомнадзора (снова LinkedIn) и закон № 242-ФЗ, который обязывает записывать, хранить, обновлять и извлекать персональные данные граждан РФ с использованием баз данных на территории России с 1 сентября 2015 года.
Это касается иностранных компаний с юрлицом в России и без него, а также российских компаний, которые пользуются иностранными хостинг-провайдерами, дата-центрами и облачными платформами. Все осложняется тем, что требования Роскомнадзора до конца не ясны, приходится догадываться самим.
Если вы не понимаете, где хранить данные и что делать, обратитесь с запросом в Роскомнадзор или Минкомсвязи. И возможно у вашего хостинг-провайдера есть готовые решения на такой случай.
Какая информация должна быть в соглашении об обработке персональных данных
Согласно ч.4 ст. 9 закона 152-ФЗ «О персональных данных» в соглашении обязательно должна быть следующая информация:
Также нужно указать информацию о том, как физическое лицо может отозвать свое согласие на обработку персональных данных (ч.2 ст. 9 152-ФЗ «О персональных данных»).