Какие документы нужно разместить на сайте, чтобы бизнес в онлайне был защищен
Пандемия спровоцировала беспрецедентный рост рынка электронной коммерции в мире и в Беларуси в частности. Бизнес переходит в онлайн и кроме работы над созданием сайта, необходимо также принимать во внимание юридическую составляющую – разместить на сайте нижеприведенные документы, которые позволят избежать штрафов от контролирующих органов, защитить интересы в отношениях с заказчиками и не нарушить права потребителей.
1. Договор с покупателем / заказчиком
Договор с покупателем / заказчиком (публичная оферта) нужен для того, чтобы между вами и вашими клиентами были оговорены и четко зафиксированы все существенные условия сделки.
Публичная оферта нужна интернет-магазинам; сайтам, на которых продаются информационные продукты (например, курсы по SMM); сайтам-сервисам, которые предлагают услуги (например, разработка маркетинговой стратегии); сайтам-посредникам, которые предоставляют посреднические услуги другим сайтам или отдельным лицам (например, сервисы почтовых рассылок, приема платежей).
Условия публичной оферты будут отличаться в зависимости от специфики сайта. Однако есть перечень основных положений, которые должны быть в договоре:
- четко сформулированный предмет договора;
- условия оплаты;
- способы оформления заказа на сайте и его отмены и т.д.
При подготовке оферты мы всегда рекомендуем клиентам вспомнить все недочеты в работе с покупателями / заказчиками как со своей, так и с их стороны, для того чтобы исключить их из процесса.
Напомним, что размещение публичной оферты на сайте обозначает, что вы готовы продать товар / оказать услугу каждому, кто к вам обратится. Если же вы планируете, например, оказать услуги определённой категории юридических лиц, необходимо отметить на сайте, что предложение на сайте не является публичной офертой.
Размещенная на сайте оферта позволяет не заключать письменный договор с каждым клиентом, что значительно упрощает документооборот. Размещение публичной оферты на сайте не требуется, если посредством сайта ничего не продаётся, например, на информационном портале достаточно разместить пользовательское соглашение.
2. Пользовательское соглашение
Пользовательское соглашение – это документ, который рассказывает посетителям вашего сайта о правилах его использования. Данный документ не является обязательным, однако его наличие позволит избежать неопределенности и споров относительно объема прав и обязанностей покупателя/заказчика, риска привлечения к ответственности продавца/исполнителя, в т.ч. за технические ошибки.
Достаточно часто можно встретить ситуации, когда пользовательское соглашение и публичная оферта – это один документ. Такой подход не противоречит законодательству, но мы его не рекомендуем клиентам, т.к. документ становится объемнее, а это в свою очередь повышает вероятность того, что пользователи не прочитают / не дочитают важные условия.
Кроме этого, акцепт пользовательского соглашения и акцепт договора публичной оферты возникают в разные моменты времени: пользовательское соглашение начинает действовать в момент, когда пользователь получил доступ к сайту и начал им пользоваться, публичная оферта начинает действовать, когда тот же пользователь, например, оформил или оплатил заказ на сайте.
3. Документы, обеспечивающие законность обработки персональных данных
C 15 ноября 2021 г. вступил в силу Закон Республики Беларусь от 07.05.2021 г. № 99-З «О защите персональных данных» (далее — Закон о защите персональных данных). Его особенность состоит в том, что это первое в Республике Беларусь специализированное регулирование вопросов защиты персональных данных. Соответственно, с появлением Закона о защите персональных данных появился ряд абсолютно новых обязанностей, о которых мы расскажем дальше.
На что нужно обратить внимание в рамках приведения сайта в соответствие с Законом о защите персональных данных:
- Формы, через которые сайт собирает персональные данные (форма регистрации, обратной связи и т.д.),
- Использование файлов-сookie,
- Политика обработки персональных данных
Алгоритм приведения в соответствие форм сбора персональных данных
Шаг 1.
Проверить объем запрашиваемых данных
По Закону о защите персональных данных нельзя собирать избыточный объем персональных данных. Это означает, что данные, которые не являются необходимыми для реализации заявленных целей обработки персональных данных, не должны запрашиваться.
|
Анкета для получения скидочкой карты Сейчас для получения скидочкой карты (то при оформлении заявки на ее получение) необходимо предоставить следующую информацию: ФИО: |
Однако для участия в программе лояльности такие данные, как место работы и должность явно избыточны. Необходимо откорректировать анкету, исключить лишние поля.
Шаг 2.
Если необходимо – в соответствующей форме сбора персональных данных добавить запрос согласия на обработку персональных данных
При этом, далеко не всегда необходимо получать согласие пользователя. Закон о защите персональных данных предусматривает несколько оснований для обработки персональных данных, наряду с согласием. В частности, обработка персональных данных пользователей также может осуществляться на основании «договора», под которым может пониматься и пользовательское соглашение.
Пример разграничения договора и согласия как правовых оснований обработки персональных данных в разных целях:
- Согласие на обработку в целях оформления заказа (в отношении данных, которые необходимы для оформления заказа) не запрашивается (основание – договор (пользовательское соглашение)),
- Согласие запрашивается только в целях осуществления рекламной рассылки,
- При этом, субъект может отказаться от дачи такого согласия. Ошибкой будет в данном случае не запрашивать отдельное согласие на направление рекламной рассылки, поскольку такое согласие будет вынужденным (нельзя оформить заказ, не подписавшись на рассылку).
|
Оформление заказа Имя: Чек-бокс Я даю согласие (гиперссылка) на получение e-mail рассылки о новых предложениях и скидках. |
Шаг 3.
Убедиться, что пользователь до дачи согласия получил доступ к информации о том, как будут обрабатываться его персональные данные (п. 5 ст. 5 Закона о защите персональных данных). К такой информации относятся информация об оператора, перечень персональных данных, цели их обработки, срок предоставления согласия и иное.
Такая информация может быть предоставлена следующими способами:
Способ 1.
Разместив необходимую информацию во всплывающем информационном окне на странице с формой, через которую субъект персональных данных предоставляет свои персональные данные, или
Способ 2.
Разместив гиперссылку на соответствующий раздел политики обработки персональных данных, где структурированно обозначено, какой перечень данных для данной конкретной цели будет обрабатываться, а также указана иная информация, предоставление которой требуется для получения информированного согласия.
Как обеспечить законность обработки персональных данных с помощью cookie?
Если на сайте используются cookie-фалы, то необходимо получить согласие пользователей на использование cookie. На сегодняшний день в законодательстве Республики Беларусь нет отдельно закреплённых критериев к согласию на использование cookie. При этом, такие критерии были выработаны в Европейском союзе правоприменительной практикой (дело Twitter (Испания), 2020 год, штраф 30 000 евро; дело Google (Франция), 2020 год, штраф суммарно 100 млн. евро; дело Amazon (Франция), 2020 год, штраф 35 млн. евро).
Более подробно о нарушениях:
Рекомендации по разработке сookie-баннера на основании зарубежного опыта
- Cookie-файлы не должны быть заранее активированы, пока пользователь не выразил свое согласие на их использование (нажал на кнопку «Принимаю»),
- Избегать фраз похожих на «Продолжая пользоваться нашим сайтом, вы соглашаетесь…», поскольку при таком подходе пользователь не может выразить свое согласие или отказаться от использования файлов-cookie,
- Пользователь должен иметь возможность настроить свои cookie-предпочтения (к примеру, согласиться на использование cookie в аналитических целях, но отказаться от использования рекламных cookie).
Политика обработки персональных данных
Каждая компания обязана по Закону о защите персональных данных издать документы, определяющие политику компании в отношении обработки персональных данных. Такой документ может иметь название «политика конфиденциальности», «политика обработки персональных данных», «privacy policy» и т.д. – в данном случае главное не название, а содержание.
Основное назначение такого документа – разъяснить субъектам персональных данных (!), кто собирает, использует или иным образом обрабатывает их персональные данные, в каком объеме и для каких целей осуществляется обработка, какие права есть у субъектов в связи с этим, и каков механизм реализации их прав.
При этом прямо разрешено разрабатывать разные документы в отношении разных бизнес-процессов. Это означает, что компания может разработать отдельный документы в отношении кандидатов, работников (их родственников) и контрагентов, и отдельный – в отношении пользователей сайта.
В политике необходимо отразить следующую информацию:
- наименование оператора;
- бизнес-процессы, на которые распространяется действие политики и иное;
- цели и правовые основания обработки персональных данных;
- категории субъектов и перечень обрабатываемых персональных данных;
- перечень действий с персональными данными, источник получения персональных данных;
- информация об уполномоченных лицах;
- срок хранения персональных данных или критерии его определения;
- права субъектов персональных данных;
- трансграничная передача персональных данных и иное.
Более подробно о том, как написать публичную оферту, пользовательское соглашение, а также политику обработки персональных данных, мы расскажем в следующих материалах.