Большинство предпринимателей считают сайт готовым к работе, когда на нём появились описание услуг, контакты и форма заявки. С точки зрения удобства это разумно, но с точки зрения закона — недостаточно. Сайт компании — публичный ресурс, и к нему применяются вполне конкретные требования: по работе с данными пользователей, раскрытию информации о компании и технической безопасности.
Если эти требования не соблюдены, контролирующие органы могут выдать предписание, выписать штраф или заблокировать ресурс. Чаще всего претензии получают не потому, что владелец что-то намеренно нарушил, а потому что просто не знал о существовании этих требований.
Почему к сайту применяются требования законодательства
Основной документ, который касается большинства сайтов с формами и авторизацией — Федеральный закон № 152-ФЗ «О персональных данных». Если на сайте есть форма заявки, подписки на рассылку, обратного звонка или личный кабинет, сайт собирает персональные данные пользователей и подпадает под действие этого закона.
Помимо этого, сайт должен соответствовать требованиям о защите прав потребителей и правилам раскрытия информации о компании. Законодательство периодически обновляется, поэтому сайт, созданный несколько лет назад может не соответствовать актуальным требованиям.
Политика обработки персональных данных
Если сайт собирает данные пользователей через форму обратной связи, заявки или подписки, на сайте должна быть опубликована политика обработки персональных данных. Её размещают в открытом доступе или на отдельной странице.
В документе указывают:
- кто является оператором персональных данных — компания или ИП;
- цели обработки: получение заявок, обратная связь с клиентами и другое;
- перечень собираемых данных — имя, телефон, почту;
- порядок хранения и защиты данных.
Согласие пользователя на обработку данных
Пользователь должен подтвердить согласие с передачей своих данных отдельно от других действий. Это не может быть следствием самого факта отправки формы и не может подменяться общей фразой рядом с кнопкой.
В тексте согласия обязательно указывают, какие именно данные собираются, в каких целях и как они будут обрабатываться.
Ссылка на политику рядом с каждой формой
Рядом с любой формой сбора персональных данных должна быть активная ссылка на политику обработки персональных данных — чтобы пользователь мог ознакомиться с ней до того, как нажмёт кнопку отправки. Ссылка не заменяет отдельное согласие, а идёт вместе с ним.
Корректная настройка форм сбора данных
Некорректно составленные формы — одна из самых распространённых причин претензий при проверках сайтов. При проверке смотрят на следующее:
- форма запрашивает только те данные, которые действительно нужны;
- данные не отправляются без активного подтверждения пользователя;
- под формой есть чекбокс согласия на обработку данных;
- пользователь видит текст согласия и ссылку на политику до отправки;
- из формы понятно, для чего собираются данные.
Данные о владельце сайта и реквизиты компании
По закону о защите прав потребителей пользователь должен понимать, кто именно оказывает услугу или продаёт товар. На сайте нужно разместить:
- наименование компании или ФИО предпринимателя;
- ИНН;
- ОГРН или ОГРНИП;
- юридический адрес;
- контактные данные — телефон, почту или форму обратной связи.
Контакты дополняют реквизиты, а не заменяют их. Одного телефона и почты без юридических данных компании недостаточно.
Уведомление о сборе Куки
Если сайт использует файлы cookie или системы веб-аналитики, пользователя нужно об этом уведомить. Обычно это реализуется через баннер при первом посещении сайта: в нём указывается, что сайт использует cookie, и пользователь может подтвердить или отклонить их использование.
Уведомление Роскомнадзора об обработке персональных данных
Компании, которые собирают персональные данные, в большинстве случаев обязаны заблаговременно уведомить об этом Роскомнадзор. Исключения существуют — например, если данные обрабатываются только для исполнения договора с пользователем или исключительно в кадровых целях. Но для обычного бизнес-сайта с формами и заявками безопаснее исходить из того, что уведомление требуется.
Важно: уведомление не размещается на сайте — его подают через специальную форму на портале Роскомнадзора. Тем не менее его отсутствие напрямую влияет на законность обработки данных пользователей.
SSL-сертификат и протокол HTTPS
Сайт должен работать по защищённому протоколу HTTPS — это базовая мера защиты данных при их передаче между браузером и сервером. Когда на сайте есть формы с персональными данными, отсутствие HTTPS может расцениваться как недостаточная защита этих данных.
Пользовательское соглашение и политика конфиденциальности
Пользовательское соглашение фиксирует правила использования сайта: условия взаимодействия с контентом, ответственность сторон, ограничения на использование материалов. Этот документ помогает снизить юридические риски, связанные с использованием сервисов и контента, размещённых на сайте.
Политика конфиденциальности описывает более широкий контекст: как сайт работает с данными пользователей, использует ли файлы cookie, какие аналитические сервисы задействованы, передаются ли данные третьим сторонам. В ряде случаев её объединяют с политикой обработки персональных данных, в других — размещают отдельным документом.
Русскоязычный интерфейс
Основные элементы интерфейса — кнопки, формы, уведомления, названия разделов и подписи рядом с юридическими документами — должны быть на русском языке. Это особенно важно для форм согласия: пользователь должен точно понимать, на что именно он соглашается.
Что делать, если нашли нарушения
Если сайт давно не обновлялся, на нем могут отсутствовать обязательные документы, а формы и данные о компании — содержать ошибки.
Мы проводим комплексную проверку сайтов и приводим их в юридически корректное состояние: проверяем все элементы, выявляем нарушения, добавляем обязательные документы, исправляем формы сбора данных и настраиваем уведомления.
Оставьте заявку, мы проведём аудит и устраним риски до санкционных мер регулятора <--