Полезное

Документы, которые должны быть на сайте бизнеса

Полный список, чтобы не получить штраф от ФАС или Роскомнадзора

Оглавление

Зачем нужны документы на сайте

На сайте любого бизнеса должно быть несколько публичных документов. Разбираем, зачем это нужно:

  • Юридические требования. За отсутствие некоторых документов можно получить штрафы. Например, если у вас на сайте нет политики конфиденциальности, юрлица могут получить штраф до 60 тысяч рублей. А за работу без опубликованной оферты — до 40 тысяч.
  • Защита от споров. Например, пользовательское соглашение снимет с вас часть ответственности, если на вас пожалуется клиент.
  • Доверие клиентов. Полный комплект документов производит хорошее впечатление на потенциальных клиентов, которые раньше не взаимодействовали с вашей компанией. Для некоторых сфер это особенно критично. Например, подозрение вызовет сайт с рекламой онлайн-курсов, на котором нет опубликованной лицензии на образовательные услуги.
Последний пункт особенно важен для B2B-компаний, которые работают с крупными корпоративными клиентами. Их юридический отдел перед сделкой обязательно изучает потенциальных партнёров на соответствие регламенту и законам перед заключением сделки.

Документы, обязательные для сайта

Приводим список документов, которые должны быть на сайте, чтобы соблюсти все требования закона и защититься от клиентских исков.

Политика конфиденциальности

Что: Публичный документ, который описывает, что вы делаете с персональными данными посетителей сайта, лидов и клиентов — что, как и зачем собираете, каким третьим лицам передаёте, как обрабатываете и уничтожаете. Писать надо о следующих данных:

  • собранные через любые формы обратной связи на сайте
  • собранные через сторонние инструменты — например, встроенный мессенджер на сайте, который берёт у клиента email-адрес для ответа
  • cookie-файлы — если у вас нет отдельного документа про них

Наличие этого документа с корректной информацией требует 152-ФЗ «О персональных данных».

Требования: Строгих требований к структуре нет, пишем в свободной форме. Можно даже использовать конструктор политики, встроенный в вашу CMS, или отдельный продукт — например, Privacy Check от Б-152.

Опубликовать политику конфиденциальности нужно на отдельной странице вашего сайта в том же домене — вот пример от Mailganer.

Ссылки на эту страницу должны быть:

  • В футере сайта
  • Во всех формах для сбора персональных данных — для лидогенерации, подписки на рассылки и др. Например, в форме для записи на демо Mailganer под кнопкой отправки есть короткий текст со ссылкой на политику
  • В форме регистрации — вместе с пользовательским соглашением
  • В cookie-баннере

Политика использования cookies

Что: Публичный документ, который подробно описывает, какие cookie-файлы вы собираете на сайте, зачем, с помощью каких инструментов обрабатываете и сколько времени храните у себя. Нужен для соответствия требованиям GDPR — это принятый в Евросоюзе регламент работы с персональными данными, по сути международный аналог 152-ФЗ.
Роскомнадзор пока не требует отдельного документа для cookie-файлов — прописать политику использования cookies можно в общей политике конфиденциальности. Но это требование может появиться — и, если вы хотите действительно подробно описать политику cookie, для удобства пользователя лучше завести отдельную страницу.

Требования: Строгих требований к структуре нет, но большая часть политик cookie строится по одной схеме:

  • Вводная часть — объясняем, что такое cookie, какими бывают, кратко описываем цели сбора.
Пример вводной части политики использования cookies. Источник: Yandex
  • Основная часть — либо полный список cookies со всей информацией от названия и поставщиков до срока хранения, либо описания формата «мы храним постоянные cookie-файлы, такие как X или Y, для осуществления целей A и B». Полный список для удобства часто оформляют в виде таблицы.
Пример таблицы в политике файлов cookie. Источник: Группа компаний Б1
  • Инструкция по отключению — в том числе можно добавить прямые ссылки на настройки разных браузеров.
Пример инструкции по отключению cookies в политике в отношении cookie-файлов. Источник: МТС
Если вы хотите соответствовать требованиям GDPR, на страницу политики нужно добавить тумблеры для отключения сбора необязательных cookie-файлов. Так сделали Flowwow.
Пример страницы с настройками сбора куки-файлов прямо на сайте. Источник: Flowwow
Если вы хотите соответствовать требованиям GDPR, на страницу политики нужно добавить тумблеры для отключения сбора необязательных cookie-файлов. Так сделали Flowwow.
Пример страницы с настройками сбора куки-файлов прямо на сайте. Источник: Flowwow
Опубликовать политику в отношении cookies надо, как и политику конфиденциальности, на отдельной странице в домене основного сайта. Ссылка на эту страницу должна быть в cookie-баннере.
Пример cookie-баннера со ссылкой на политику в отношении файлов cookie. Источник: Flowwow

Согласие на обработку персональных данных

Что: Документ, который делает законным сбор персональных данных — например, его можно прописать конкретно для формы лидогенерации, как у Б-152. По закону, данные нельзя собирать просто так — но в том числе можно, если человек сам на это согласился.

Согласие на обработку описывает:

  • Какие данные будут собраны и зачем
  • Операции с данными
  • Список третьих лиц, которым они будут переданы (по необходимости)
  • Сколько времени вы будете обрабатывать данные и когда удалите
  • Как отозвать согласие

Требования: Публикуем в том же домене, что и основной сайт — в том числе часто встречаются согласия, опубликованные в формате PDF, как у Selectel.

Жёстких требований к структуре тоже нет, но согласие должно быть:

  • Конкретным — читатель должен чётко понимать, зачем вы будете собирать его данные, кто и как будет их обрабатывать.
  • Однозначным — согласие должно быть выражено активным действием. «Нажимая на кнопку, вы даёте согласие на…» — приемлемо. Предустановленный чекбокс в форме — плохо.
  • Сознательным — то есть данным без принуждения. С принуждением — это когда вы, например, закрываете пользователю доступ к сайту, если он на что-то не согласился.

Ссылки на форму согласия должны быть там же, где и политика — в футере и везде, где вы собираете персональные данные. Например, вот так выглядят ссылки в форме обратной связи на сайте Б-152:

Источник: Б-152

Публичная оферта

Что: Предложение заключить сделку с вашей компанией, которое адресовано неопределённому кругу лиц. Оферта обязательна для интернет-магазинов — за работу без оферты можно получить штраф согласно статье 14.5 КоАП РФ. Помимо этого, публичную оферту стоит опубликовать, чтобы защититься от споров с клиентами.

Требования: Основное требование закона к публичной оферте — в ней надо указать всю «существенную» информацию, необходимую для заключения сделки. Однозначного списка нет, но скорее всего в оферту нужно будет включить:

  • Информацию о продавце — название организации, реквизиты, юридический адрес.
  • Информацию о клиенте — кто может принять предложение, например, только физические или юридические лица.
  • Акцепт — описание действия клиента, после которого оферта считается принятой и договор вступает в силу. Для интернет-магазина акцептом скорее всего будет оформление заказа на конкретном сайте
Пример описания акцепта в оферте онлайн-магазина. Источник: Savage
  • Права и обязанности продавца и клиента — как в обычном письменном договоре купли-продажи.
  • Ограничение вашей ответственности — для защиты от споров и потребительского экстремизма. Например, если клиент испортил предмет одежды из деликатной ткани стиркой не по инструкции, от претензий с его стороны вас спасёт одна строчка в оферте:
Источник: ELEN DAN
  • Условия получения и возврата товаров — для защиты от споров и регламентации бизнес-процесса. Правила возврата часто дублируют в сокращённом и простом варианте на отдельной странице — пример. Советуем тоже так сделать, чтобы пользователям было проще.

Как и другие документы, оферту тоже публикуем в домене основного сайта и ссылаемся на неё в футере. Также ссылку с чекбоксом «Согласен с офертой» стоит продублировать в форме регистрации и при оформлении заказа.

Пользовательское соглашение

Что: Публичная сделка между владельцем платформы (необязательно платной) и всеми пользователями. Закон наличия не требует, но SaaS-сервисам и другим цифровым продуктам, онлайн-медиа и форумам лучше сделать для защиты от споров и ограничения ответственности.

У Mailganer тоже есть пользовательское соглашение.

Требования: Публикуем в домене сайта, ссылаемся в футере. Стоит добавить ссылку и чекбокс «Принимаю условия пользовательского соглашения» в форму регистрации на сайте или в приложении.
В пользовательском соглашении описываем:

  • Правила использования сервиса и ответственность за их нарушение
  • Права и обязанности пользователей и владельца платформы
  • Порядок разрешения споров и ограничение вашей ответственности
  • Условия и правила возврата средств, если сервис платный

Лицензии и сертификаты

Что: Если индустрия требует государственного разрешения на оказание услуг (например, медицинских или образовательных), нужно обязательно опубликовать лицензию на сайте. Например, у Нетологии есть отдельная страница. На ней компания подтверждает, что после обучения студенты получат сертификаты государственного образца, а также даёт ссылку на лицензию в базе Рособрнадзора.

Ссылка нужна не только чтобы вас не заподозрили в оказании услуг без разрешения, но и для доверия потенциальных клиентов.

Требования: К конкретным документам — зависят от индустрии. К публикации — сделайте отдельную страницу на сайте и добавьте ссылку в футер, но это не единственный возможный вариант. Например, можно просто добавить номер лицензии в футер без ссылки.
Источник: Институт пластической хирургии и косметологии
Или, что особенно актуально для сетей с несколькими филиалами, оформить список лицензий с номерами в отдельный PDF-файл и дать на него ссылку на сайте.
По ссылке откроется большой документ в формате PDF со списком лицензий всех клиник этой сети.
Источник: Все свои!

Что ещё должно быть на сайте

Закон требует не только пакет больших документов, размещённых на отдельных страницах сайта. Объясняем, как не получить штраф из-за пары сотен символов.

Реквизиты компании

Если вы что-то продаёте онлайн, закон «О защите прав потребителей» обязывает вас разместить на сайте реквизиты компании — полное название организации, код ОГРН, ИНН, адрес и контакты. Банковские реквизиты можно не размещать. За отсутствие — штраф до 10 тысяч рублей согласно 14.8 КоАП РФ.

Можно разместить всю информацию в футере или на отдельной странице «Контакты»
Раздел с реквизитами на сайте Mailganer

Уведомление о сборе cookie-файлов

Cookie-файлы — это персональные данные, которые нельзя собирать без согласия пользователя. Чтобы это согласие взять, на сайт нужно добавить поп-ап, в котором должны быть:

  • Ссылка на политику — либо на общую политику конфиденциальности, либо на политику в отношении файлов cookie, если она у вас есть.
  • Цель сбора cookie-файлов — кратко, пара предложений. Можно просто сослаться на политику.
  • Инструкции по отключению сбора cookies — «Отключить можно в настройках браузера» или ссылка на страницу, где можно настроить сбор необязательных куки-файлов.
  • Кнопка «Согласен» — нажатие на кнопку является согласием на сбор cookie-файлов.
Вот так выглядит уведомление о сборе cookie-файлов на сайте Mailganer:

Согласие на рекламную рассылку

Отправка рекламных сообщений без согласия получателя по любому каналу связи нарушает закон «О рекламе» — юридическим лицам грозит штраф до 300 тысяч рублей. При этом согласие должно быть привязано к конкретному адресату.

Как получить согласие на рекламные сообщения в зависимости от канала:

  • Email-рассылки — настроить double opt-in. Если вы отправляете письма на список зарегистрированных в цифровом сервисе, в форму регистрации добавить чекбокс «Согласен на получение рекламных сообщений». Если вы собрали адреса офлайн, например, на мероприятии — отправьте первым письмом сообщение «Вы получили это письмо, потому что…» и отпишите всех, кто не перешёл по ссылке подтверждения.
  • SMS — тоже настроить подтверждение подписки через код в первом сообщении. Если отправляете рассылки на зарегистрированных в сервисе, добавьте чекбокс с согласием на рекламу в форму. Если собираете номера телефонов офлайн, например, при первой покупке в магазине — добавьте чекбокс в анкету и подтвердите подписку через код по SMS.
  • Мессенджеры — в автоцепочку для новых пользователей добавить сообщение с запросом согласия на рекламу.
Важно: Юристы не рекомендуют «прятать» согласие на рекламные сообщения в другие документы — например, в оферту или согласие на сбор персональных данных. Сейчас однозначного требования в законе нет, но оно может появиться.

Дисклеймер

Чтобы защитить бизнес от судебных исков, потребительского и конкурентного терроризма, рекомендуем добавить дисклеймер. Это может быть отдельная страница или приписка в футере сайта, главная функция которой — снять с вас лишнюю ответственность.

Например, на сайте Т-Банка есть раздел с рекламой инвестиционных продуктов. В футере этого раздела есть ссылка на такой дисклеймер:
Источник: Т-Банк
Этот дисклеймер позволит банку увернуться от претензий клиентов, которые потеряли деньги из-за упавшей стоимости акций — банк действительно не имеет отношение к тому, что происходит на фондовом рынке.

Дисклеймеры точно нужны не всем бизнесам, но стоит их добавить:

  • банкам, fintech-продуктам и другим компаниям, связанным с финансами;
  • производителям и продавцам лекарств и БАДов;
  • производителям и продавцам алкоголя, табака и электронных сигарет (то самое «Чрезмерное употребление вредит вашему здоровью») — этого требует закон «О рекламе»;
  • СМИ — будет полезно добавить в футер «Копирование запрещено» для защиты авторских прав и «Мнение редакции может не совпадать с мнением автора», чтобы в случае споров под удар не попала вся организация.

Как соблюсти требования Роскомнадзора

Помимо документов на сайте, есть нюансы, из-за которых к вам может предъявить претензии Роскомнадзор. Рассказываем, что ещё сделать, чтобы удовлетворить требования РКН.

Подайте уведомление в РКН

У Роскомнадзора есть Реестр операторов персональных данных. Операторами считаются все, кто хоть как-то работает с чужими данными от сбора cookies на сайте до хранения информации о хотя бы одном сотруднике компании.

Подать уведомление нужно в форме по ссылке. Это спасёт вас от 100–300 тысяч рублей штрафа.

Следите за формулировками в cookie-баннере

Текст для cookie-баннера необязательно делать сухим и канцелярским — вы можете вписать его в tone of voice бренда. Но чрезмерно креативить тоже не стоит.

Ниже — плохой пример cookie-баннера. В нём нет ни краткого описания цели сбора, ни ссылки на политику (общую или по cookies). В итоге креатив может и смешной, но юридическую функцию не выполняет — опции отказаться нет, а с чем соглашаться, тоже непонятно.
Источник: КОМРЕДА
Этот пример лучше, но последнее предложение может вызвать вопросы у РКН. Получается, единственный способ отказаться от сбора cookies — покинуть сайт?
Источник: Ясно

Урегулируйте процессы работы с данными

Нашумевшие поправки 420-ФЗ и 421-ФЗ по сути ужесточают наказание за нарушения Закона о персональных данных, и следить за его соблюдением теперь будут строже. Вот что стоит сделать:

  • Назначить ответственного за организацию обработки персональных данных — не гендиректора для галочки, а сотрудника или организацию, которые действительно будут этим заниматься.
  • Разработать регламент реагирования на утечки — от мониторинга до процесса расследования и подачи уведомлений об утечках в Роскомнадзор через форму на ЕСИА. Так вы успеете вовремя сообщить РКН об инциденте и проведённом расследовании — на это у вас есть 24 и 72 часа соответственно. Это сэкономит вам 1–3 млн рублей штрафа.
  • Наладить обработку запросов от клиентов и посетителей сайта о том, что вы делаете с их данными. Сюда же входит то, что вы будете делать после отзыва согласия на сбор персональных данных.

Исключите трансграничную передачу данных

После 30 мая 2025 года фактически запрещена передача персональных данных за рубеж, если этого не требует бизнес (например, бронирование отелей). Если к вашей компании это не относится, вот что стоит сделать:

  • Перейти на российский софт — нельзя использовать зарубежные продукты для маркетинга, CRM-системы, CMS и хостинги, облачные хранилища, конструкторы форм для сбора данных и др. Также исключите утечку трафика через CDN на вашем сайте.
  • Проверить подрядчиков — все третьи физические и юридические лица, которые работают с данными в вашей компании, должны иметь регистрацию и принимать оплату в РФ, входить в Реестр операторов персональных данных, хранить данные на российских серверах и иметь все нужные документы на сайтах.

Собирайте только нужные данные

Закон запрещает избыточный сбор и обработку, которая не соответствует целям сбора персональных данных. Поэтому через сайт собирайте только те данные, которые действительно нужны для оказания услуг, персонализации рассылок или корректной загрузки сайта.
Не избыточный сбор: Адрес и почтовый индекс для доставки товара, купленного онлайн

Избыточный сбор: История покупок и товары в брошенной корзине, если вы не проводите кампании на основе этих данных, а держите их «на всякий случай»

Чеклист

Собрали список документов для сайта бизнеса в чеклист — проверьте, всё ли есть у вас на сайте!
Пишет для глоссария, Разъяснительной и внешних площадок. Подписана на все рассылки на свете, чтобы брать примеры для статей из личного ящика.
Дарья Журавлёва
Редактор Mailganer
21.04.2020
дата публикации
21.07.2025
дата последнего обновления