Разрешения для интернет-магазина

Вы уже открыли свой магазин на маркетплейсе и решили запустить сайт. Нужно не только купить домен — рассказываем, что предстоит сделать, чтобы не получить штраф по закону «О персональных данных».

Если у вас нет сайта, а продажи вы ведёте только на маркетплейсе, площадка всё делает за вас. Например, в правилах пользования Wildberries есть все необходимые условия о товаре, доставке, обработке персональных данных.

Что такое персональные данные

Персональные данные (ПД) — это любая информация о человеке. Интернет-магазины собирают персональные данные о пользователях: формы для регистрации, окно для номера телефона, чтобы оставить заявку, корзины с оформлением доставки.

Персональные данные включают в себя все сведения, которые позволяют идентифицировать человека:

общие — полное имя, домашний адрес, ИНН,
специальные — национальность, состояние здоровья,
биометрические — отпечатки пальцев, образцы голоса, вес.

Исключение составляет номер телефона — сама комбинация цифр не является ПД, но если покупатель указывает в форме заявки своё имя и контактный номер, то такие сведения становятся персональными данными.

Если в вашем интернет-магазине есть формы для заполнения имени, адреса, телефона, вы являетесь оператором персональных данных. И по закону обязаны вступить в реестр операторов персональных данных Роскомнадзора (РКН) и организовать базу для хранения данных.

Обработка персональных данных

Обработка ПД — это все действия, которые вы совершаете с данными: собираете, записываете, храните, используете — и при необходимости передаёте или удаляете. Например, если вы будете делать рассылки с промоакциями, напишите об этом в политике конфиденциальности или пользовательском соглашении. Когда вы вносите сведения о фамилии и имени человека, номер его телефона и дату рождения в CRM, вы храните и систематизируете персональные данные.

Для начала обработки персональных данных подайте уведомление в Роскомнадзор.

Форма уведомления на странице официального сайта Роскомнадзора

Уведомление заполняется на сайте РКН. Роскомнадзор включит вас в реестр операторов в течение 30 дней после регистрации вашей заявки. Сообщение о том, что вас включили в реестр, ведомство обычно не присылает — лучше самостоятельно проверьте, появились ли вы в реестре.

Назначьте ответственного за обработку персональных данных. Издайте приказ с указанием конкретных функций и на кого они возлагаются. Специальных требований к ответственному за обработку персональных данных нет, поэтому в ООО таким лицом может быть как руководитель, так и специалист службы безопасности. Индивидуальный предприниматель может назначить ответственным самого себя.
Пропишите, что будете делать с персональными данными. Например, просто собирать их невозможно — вы в любом случае их храните и копите. То, что вы будете делать с данными клиентов, нужно прописать подробно.
Определите, где будете хранить и как защищать персональные данные.
Пропишите цели обработки персональных данных. Например, Mango на своём сайте делает это так.

Политика конфиденциальности интернет-магазина Mango

Хранить персональные данные можно двумя способами — самостоятельно и с помощью других компаний.

Чтобы хранить данные своими силами, достаточно программы, в которой вы привыкли работать, например Excel или любой CRM. Главное, чтобы вы обеспечили ей защиту от посторонних вмешательств и возможных взломов.

Второй вариант — купить или взять в аренду сервер и передать данные в компанию, которая обеспечит персональным данным хранение и защиту. Такие организации размещают ПД в облачном хранилище и защищают их от атак. Обязательно проверьте, если ли у компании соответствующая лицензия.

По закону «О персональных данных» обработка должна осуществляться с использованием баз данных, которые находятся на территории России — но запрета на передачу данных за пределы России нет.

Что делать, если вы решили передать полномочия по обработке — например, хранение и систематизация — на сервер в другую страну:

получите на это согласие субъекта персональных данных,
проверьте, если ли у России международное соглашение о передаче данных с выбранной вами страной,
подпишите договор с компанией, которой вы собираетесь эти функции делегировать.

Без согласия клиента обработка его персональных данных запрещена. Среди исключений есть, например, оказание неотложной медицинской помощи, участие в судебном процессе, но обработка данных клиента на сайте к ним не относится.

В форме согласия на обработку персональных данных укажите:

способ выражения согласия,
порядок отзыва,
список передаваемых персональных данных.

Большой текст согласия можно упростить — напишите, что все условия есть в политике конфиденциальности.

За нарушение требований закона, связанных с обработкой персональных данных, оператор несёт ответственность:

если персональным данным не была обеспечена защита: штраф для ИП — до 20 000 рублей, для юрлиц — до 60 000 рублей;
если обработка персональных данных противоречит целям сбора: штраф для ИП — до 20 000, для юрлиц — до 100 000 рублей. За повторное нарушение штраф для ИП составит до 100 000 рублей, для юрлиц — до 300 000 рублей;
если персональные данные обрабатываются без согласия посетителя сайта: для ИП — до 40 000 рублей, для юрлиц — до 150 000 рублей.

Кроме административной ответственности может наступить и уголовная. По ст. 137 УК РФ за незаконный сбор или распространение сведений о частной жизни лица без его согласия можно получить до двух лет лишения свободы.

Политика конфиденциальности

Политика конфиденциальности — официальный документ. Он объясняет пользователю, с чем он соглашается, оставляя свои персональные данные, и что с ними на сайте будет происходить дальше.

Политика конфиденциальности может называться «Условия обработки персональных данных». Иногда её объединяют с пользовательским соглашением и офертой, но так лучше не делать: это разные по смыслу документы, и Роскомнадзор может посчитать это нарушением. Наименование документа ни на что не влияет — главное, чтобы его содержание соответствовало закону.

Образцы политики конфиденциальности можно найти в интернете — поскольку виды и цели обработки персональных данных и их защита в e-commerce (интернет-продажах) схожие, скорректировать форму под себя будет не трудно.

Включите в политику конфиденциальности такую информацию:

Какие персональные данные вы собираете. Также укажите об использовании cookies — эти данные не персонализированные, но они напрямую связаны с компьютером или телефоном клиента.
В каких целях вы обрабатываете ПД. Например, уведомление о состоянии заказа, создание учетной записи, предоставление доступа к ресурсам сайта. От этого зависит, какие данные вы можете обрабатывать. Собирать и использовать персональных данных больше, чем нужно для целей, вы не вправе.
Сколько вы будете хранить персональные данные. Точных сроков нет, но закон требует хранить их до достижения цели их обработки — а после этого удалить их за 30 дней.
Какие вы принимаете меры для защиты персональных данных — например, резервное копирование, антивирусная защита, обеспечение целостности информационной системы и данных.
Какое действие клиента выражает его согласие на обработку его персональных данных: например, нажатие кнопки «Ок» и продолжение пользования сайтом или регистрация в личном кабинете.

Если вы решили обрабатывать персональные данные самостоятельно, позаботьтесь об их охране. Для этого:

С каждым сотрудником подпишите соглашение о неразглашении конфиденциальной информации (NDA). В нем зафиксируйте, что вся коммерческая информация является конфиденциальной, а за её разглашение или передачу предусмотрите штраф.
Издайте приказ, в котором перечислите сотрудников, имеющих доступ к персональным данным — это могут быть сисадмин, курьер, менеджер по работе с клиентами.
Обеспечьте доступ к данным только тем людям, у которых на это есть права.
Защитите материалы от копирования, чтобы быть в курсе, какие действия осуществляют с ПД сотрудники.
Установите ПО, которое защитит данные от угроз: межсетевые экраны, антивирусные программы.

В Приказе ФСТЭК № 21 все средства и способы указаны подробно — вам не нужно использовать их все, но лучше ознакомиться, чтобы знать, что ждёт от оператора государство.

За отсутствие политики конфиденциальности статьёй 13.11 КоАП РФ предусмотрены штрафы: для ИП — до 10 000 рублей, для юрлиц — до 30 000 рублей.

Пользовательское соглашение

В пользовательском соглашении указываются права и обязанности пользователя и интернет-магазина, взаимная ответственность, условия, на которых контент публикуется, фиксируется порядок защиты персональных данных, определяется процедура разрешения споров.

Например, есть формулировка: «Получая доступ к Сайту, Пользователь соглашается с условиями Соглашения и считается присоединившимся к настоящему Соглашению».

В ней момент присоединения клиента к соглашению определён конкретно, компания добросовестно выполнила требование закона. Пользователь подтвердил своё согласие с условиями работы сайта, при этом не имеет значения, насколько внимательно он с ними ознакомился, — свои обязательства перед пользователем компания выполнила.

Скриншот страницы сайта Reserved

Если ваши услуги и товары предполагают, что клиенты должны быть старше 18 лет или иметь определенное образование (например, медицинское) — это условие тоже необходимо добавить в пользовательское соглашение.

Пользовательское соглашение должно защищать не только пользователя, но и вас, и ваш контент. Для этого включите в него раздел «Условия использования сайта». В нём вы можете зафиксировать свои авторские права на контент, определить, разрешаете ли его использование посетителям.

Пропишите также условие о рекламных рассылках и уведомлениях: как часто и куда вы их направляете, как от них можно отказаться.

Договор оферты: как составить и что включить

По правилам дистанционной продажи продавец обязан заключать договор купли-продажи на условиях оферты с каждым покупателем. Такой договор не нужно подписывать — достаточно разместить его текст на сайте.

Оферта — это предложение одной стороны. Чтобы заключить договор на условиях оферты, вторая сторона должна направить акцепт. Акцепт — это согласие со всеми условиями оферты. Как выражается такое согласие, должно быть указано в самой оферте или на странице продавца.

Миф	Правда
«Договор-оферта» — общеупотребимое понятие, так можно писать в документах	Понятия «Договор-оферта» нет. Есть понятие «Договор, заключаемый на условиях оферты».
Не обязательно указывать все условия о покупке и возврате — всё есть в законе, не буду перегружать оферту.	Есть условия, которые продавец обязан включить в оферту. Например, если не уведомить покупателя о том, что срок возврата товара, приобретённого онлайн, равняется 7 дням, то срок увеличится до 3 месяцев.
Я выставляю оферту, мне и решать, какие условия в ней будут.	Условия оферты не должны противоречить закону. Например, если в оферте вы укажете, что в случае обнаружения недостатков возврат товара не производится, такое условие будет недействительным. А если покупатель из-за такого пункта оферты понесёт убытки, вам придётся их возместить. Все дело в том, что договор не может ухудшать положение покупателя по сравнению с законом. Всё, что уменьшит права клиента, не будет иметь силу.

Что должна включать в себя оферта:

1. Наименование продавца и указание на круг покупателей

Наименование продавца в «шапке» оферты можно указать коротко, например: «Интернет-магазин “Косметика”», а все необходимые реквизиты (ИНН, ОГРН, адрес, банковские реквизиты) вставить в конце текста оферты.

Чтобы указать в договоре на условиях оферты сведения о покупателе, часто достаточно фразы «все физические лица». Но не всегда. Например, если в оферте идёт речь о страховании физического лица, то клиентом будет «Дееспособное физическое лицо старше 18 лет».

При указании в оферте покупателей нельзя допускать дискриминации по любым признакам. Например, если вы продаёте уходовую косметику, нельзя ограничивать круг покупателей по половому или возрастному принципу.

3. Описание момента, в который оферта считается принятой

Поскольку оферта — лишь предложение заключить договор, продавец должен определить, какое событие будет означать, что покупатель её принял. Надёжнее всего использовать такие действия клиента, которые можно будет трактовать однозначно: например, оплата товара (или услуги) или регистрация на сайте. Так, подойдёт формулировка «Оферта считается принятой Клиентом в момент совершения оплаты согласно ценам, указанным на Сайте». Из неё покупателю ясно, что оплата товара подтверждает его согласие со всеми условиями оферты.

Скриншот формы оферты, источник: справочная правовая система «КонсультантПлюс»

Плюсы этой формы от «Консультант Плюс»: точно указан момент принятия оферты и понятно определены те клиенты, для которых условия о цене будут отличаться от указанных на сайте.

4. Описание товара или услуги

Предмет оферты — это все товары и услуги, которые можно найти на вашем сайте. Они должны быть описаны подробно и ясно.

Допустим, клиент хочет заказать подарочный набор с косметическими продуктами и мелочами для дома. Он нашёл на сайте магазина фотографию набора с описанием «Гель для душа, маска для сна, щётка для тела и ароматические свечи. Конечный набор может отличаться от изображения на сайте». Решив, что значительных изменений быть не должно, он оплачивает заказ. При этом в тексте оферты на сайте указано: «Предметом Оферты являются Товары, размещенные на Сайте». Курьер привозит доставку покупателю — и набор совсем не похож на тот, что изображён на сайте. Маска для совсем другая, а аромат свеч не тот, что указан на картинке. Клиент недоволен, потому что получил совсем не то, что хотел. А продавец дал неполную информацию о товаре: возможно, этот покупатель больше не вернётся на его сайт или оставит негативный отзыв или пожалуется в Роспотребнадзор.

Описывайте все потребительские свойства товара: из чего сделано, для чего предназначено, как хранить и кому может не подойти. Чем больше информации будет у клиента, тем меньше у вас возникнет разногласий.

5. Условия покупки: порядок доставки, обмена и возврата товара

Подробно укажите, каким образом покупатель может получить товар — курьерская служба, самовывоз, почтовое отправление. Если для товара необходимы специальные условия хранения — укажите, как они соблюдаются при доставке.

Условия возврата и обмена товара не должны быть хуже, чем предусмотренные законом «О защите прав потребителей».

В оферте должны быть прописаны все существенные условия покупки товара или оказания услуги. Во-первых, чтобы при возникновении спора вы могли подтвердить, что ничего не скрыли от клиента, а во-вторых, чтобы не нарушить права покупателя.

В 2019 году в интернете появилось много статей с историями о том, что гости домов, снятых на Airbnb, замечали скрытые камеры.

Всё дело в условиях оферты. По правилам оферты сервиса Aibnb арендодатель вправе устанавливать скрытые камеры в жилище, но обязан указать об этом в своем объявлении. Если пользователь-арендатор невнимательно прочёл условия оферты или объявления, сайт не будет нести за это ответственность.

Стандарты сообщества Airbnb

Юридическая информация: о чём еще должен говорить ваш сайт

Если основные продажи у вас проходят через офлайн-магазин, а в Инстаграме вы выкладываете фото вещей, принимаете предзаказы или оформляете доставку, то правила для интернет-магазинов действуют и для вас.

Онлайн-магазин должен соответствовать тем же законам и правилам, что и офлайн-продажи. Общие для всех видов торговли требования есть главе 30 Гражданского Кодекса, законе «О защите прав потребителей», Правилах продажи товаров, ГОСТ Р 57489-2017 .

Какая информация о продавце должна быть на вашей странице:

полное наименование юридического лица или ИП;
данные о регистрации физлица в качестве предпринимателя — можно приложить свидетельство о госрегистрации, а можно указать его номер и дату выдачи;
реквизиты продавца — ИНН и ОГРН для юрлиц и ИНН и ОГРНИП — для индивидуальных предпринимателей;
юридический адрес (для ИП — адрес регистрации);
контакты для связи — электронная почта и номер телефона;
способы направления претензий;
лицензия или документ об аттестации — если товар или услуга требуют их наличия. Часто владельцы прикладывают скан такого документа, но также можно указать на сайте номер, дату выдачи, срок действия и наименование ведомства, выдавшего такой документ.

Где именно размещать такую информацию — решать вам, но, чтобы избежать претензий со стороны покупателя, лучше выбрать самые очевидные разделы — «О нас» или футер (самый низ) страницы.

Кроме информации о продавце укажите на странице подробные сведения о способах оплаты, доставки, свойствах товара и данные о его возврате.

За несоблюдение требований есть штрафы по статье 14.8 КоАП РФ:

за нарушение права потребителя на получение информации о товаре или о продавце для ИП — до 1000 рублей, для юрлиц — до 10 000 рублей;
за включение в договор условий, ущемляющих права потребителя для ИП — до 2000 рублей, для юрлиц — до 20 000 рублей.

Реклама и рекламные рассылки

Если ваш сайт стал привлекательным для других как платформа для рекламы, убедитесь в том, что её размещение не обернётся для вас проблемами с законом.

Если вы публикуете рекламу чужого продукта или другой компании, вы становитесь рекламораспространителем — и тоже несёте ответственность за нарушение закона «О рекламе».

Проверьте, что реклама, которую вам предлагают разместить на своей странице:

не содержит некорректных сравнений с товарами других производителей,
не порочит честь, достоинство или деловую репутацию других лиц,
не содержит недостоверные сведения, в том числе о преимуществах рекламируемого товара перед другими товарами,
не нарушает честную конкуренцию,
не побуждает к совершению противоправных действий,
не призывает к насилию и жестокости,
не содержит изображений курения или употребления алкоголя,
не содержит образы медицинских и фармацевтических работников,
не указывает на лечебные свойства продукта,
не содержит ненормативную лексику,
указывает на цену продукта в рублях.

Вы должны убедиться в соответствии рекламы закону самостоятельно — в том числе, в наличии у рекламодателя необходимых документов. Например, для рекламы онлайн-школы на своём сайте запросите у компании лицензию на образовательную деятельность. Если в предложенном макете есть указание на сроки проведения акции — проверьте их на сайте компании. Неготовность рекламодателя предоставить вам нужные документы, например свидетельство на товарный знак, станет для вас поводом для отказа в размещении.

Перед размещением рекламы подпишите с рекламодателем договор: в нём предусмотрите условие о том, что рекламодатель гарантирует наличие у него авторских прав на все материалы в макете.

Проверка достоверности и этичности рекламы поможет вам избежать административной ответственности и штрафа: для ИП — до 20 000 рублей, для юрлиц — до 500 000 рублей. За размещение рекламы табачных изделий по ст. 14.3.1 КоАП РФ есть штраф для ИП — до 25 000 рублей, для юрлиц — до 600 000 рублей.

Перед запуском собственной рекламной рассылки проверьте, давали ли на это согласие клиенты: писали ли вы, что будете использовать их данные для уведомлений по телефону и почте. Используйте только самостоятельно собранную базу персональных данных.

В пользовательском соглашении или в политике конфиденциальности должен быть указан способ, которым клиент может отозвать своё согласие на обработку: так же должно быть и с рассылкой. Идеальным вариантом будет указание на это в самом тексте рассылки — например, добавление кнопки «Отказаться от рассылки» в email.

При создании рассылок с рекламой помните о требованиях закона «О рекламе»: при направлении рекламных уведомлений вы будете являться рекламодателем, и правила закона для вас будут обязательны.

Размещение товаров: требования к помещению и хранению

Если особенности и количество товара предполагают наличие у вас склада, проверьте, соответствует ли он закону. При выборе складского помещения опирайтесь на СНиП 31-04-2001: он описывает требования к хранению товаров, высоте потолков, разгрузочной зоне.

Если для вашего товара не требуется особых условий и к нему не предъявляются специальные требования по хранению, вы вправе выбрать любое подходящее вам помещение. Перед подписанием договора аренды проверьте выписку из ЕГРН и свидетельство о праве собственности: важно, чтобы назначение помещения было нежилым.

В помещении склада соблюдайте правила пожарной безопасности: внутри запрещено курение, хранение легковоспламеняющихся веществ и обязательно наличие средств пожаротушения и систем оповещения о пожаре.

Внутри склада следите за:

поддержанием определённой температуры и уровня влажности,
содержанием в надлежащем состоянии систем вентиляции,
соблюдением санитарных норм,
регулярной организацией влажной уборки.

Чек-лист готовности сайта и товаров

подали уведомление в Роскомнадзор о включении вас в список операторов;
опубликовали политику конфиденциальности, пользовательское соглашение и оферту;
назначили ответственных за обработку персональных данных сотрудников;
подготовили базу для хранения персональных данных;
собрали подписанные соглашения о неразглашении и установили антивирусное ПО;
описали информацию о товарах и продавце на сайте подробно и в доступной форме;
оборудовали места для хранения товаров в соответствии с законом.