Документы, которые должны быть на сайте бизнеса

На сайте любого бизнеса должно быть несколько публичных документов. Разбираем, зачем это нужно:

• Юридические требования. За отсутствие некоторых документов можно получить штрафы. Например, если у вас на сайте нет политики конфиденциальности, юрлица могут получить штраф до 60 тысяч рублей. А за работу без опубликованной оферты — до 40 тысяч.
• Защита от споров. Например, пользовательское соглашение снимет с вас часть ответственности, если на вас пожалуется клиент.
• Доверие клиентов. Полный комплект документов производит хорошее впечатление на потенциальных клиентов, которые раньше не взаимодействовали с вашей компанией. Для некоторых сфер это особенно критично. Например, подозрение вызовет сайт с рекламой онлайн-курсов, на котором нет опубликованной лицензии на образовательные услуги.

Последний пункт особенно важен для B2B-компаний, которые работают с крупными корпоративными клиентами. Их юридический отдел перед сделкой обязательно изучает потенциальных партнёров на соответствие регламенту и законам перед заключением сделки.

Приводим список документов, которые должны быть на сайте, чтобы соблюсти все требования закона и защититься от клиентских исков.

Что: Публичный документ, который описывает, что вы делаете с персональными данными посетителей сайта, лидов и клиентов — что, как и зачем собираете, каким третьим лицам передаёте, как обрабатываете и уничтожаете. Писать надо о следующих данных:

• собранные через любые формы обратной связи на сайте
• собранные через сторонние инструменты — например, встроенный мессенджер на сайте, который берёт у клиента email-адрес для ответа
• cookie-файлы — если у вас нет отдельного документа про них

Наличие этого документа с корректной информацией требует 152-ФЗ «О персональных данных».

Требования: Строгих требований к структуре нет, пишем в свободной форме. Можно даже использовать конструктор политики, встроенный в вашу CMS, или отдельный продукт — например, Privacy Check от Б-152.

Опубликовать политику конфиденциальности нужно на отдельной странице вашего сайта в том же домене — вот пример от Mailganer.

Ссылки на эту страницу должны быть:

• В футере сайта
• Во всех формах для сбора персональных данных — для лидогенерации, подписки на рассылки и др. Например, в форме для записи на демо Mailganer под кнопкой отправки есть короткий текст со ссылкой на политику

Что: Публичный документ, который подробно описывает, какие cookie-файлы вы собираете на сайте, зачем, с помощью каких инструментов обрабатываете и сколько времени храните у себя. Нужен для соответствия требованиям GDPR — это принятый в Евросоюзе регламент работы с персональными данными, по сути международный аналог 152-ФЗ.

Требования: Строгих требований к структуре нет, но большая часть политик cookie строится по одной схеме:

• Вводная часть — объясняем, что такое cookie, какими бывают, кратко описываем цели сбора.

Если вы хотите соответствовать требованиям GDPR, на страницу политики нужно добавить тумблеры для отключения сбора необязательных cookie-файлов. Так сделали Flowwow.

Если вы хотите соответствовать требованиям GDPR, на страницу политики нужно добавить тумблеры для отключения сбора необязательных cookie-файлов. Так сделали Flowwow.

Опубликовать политику в отношении cookies надо, как и политику конфиденциальности, на отдельной странице в домене основного сайта. Ссылка на эту страницу должна быть в cookie-баннере.

Что: Документ, который делает законным сбор персональных данных — например, его можно прописать конкретно для формы лидогенерации, как у Б-152. По закону, данные нельзя собирать просто так — но в том числе можно, если человек сам на это согласился.

Согласие на обработку описывает:

• Какие данные будут собраны и зачем
• Операции с данными
• Список третьих лиц, которым они будут переданы (по необходимости)
• Сколько времени вы будете обрабатывать данные и когда удалите
• Как отозвать согласие

Требования: Публикуем в том же домене, что и основной сайт — в том числе часто встречаются согласия, опубликованные в формате PDF, как у Selectel.

Жёстких требований к структуре тоже нет, но согласие должно быть:

• Конкретным — читатель должен чётко понимать, зачем вы будете собирать его данные, кто и как будет их обрабатывать.
• Однозначным — согласие должно быть выражено активным действием. «Нажимая на кнопку, вы даёте согласие на…» — приемлемо. Предустановленный чекбокс в форме — плохо.
• Сознательным — то есть данным без принуждения. С принуждением — это когда вы, например, закрываете пользователю доступ к сайту, если он на что-то не согласился.

Ссылки на форму согласия должны быть там же, где и политика — в футере и везде, где вы собираете персональные данные. Например, вот так выглядят ссылки в форме обратной связи на сайте Б-152:

Что: Предложение заключить сделку с вашей компанией, которое адресовано неопределённому кругу лиц. Оферта обязательна для интернет-магазинов — за работу без оферты можно получить штраф согласно статье 14.5 КоАП РФ. Помимо этого, публичную оферту стоит опубликовать, чтобы защититься от споров с клиентами.

Требования: Основное требование закона к публичной оферте — в ней надо указать всю «существенную» информацию, необходимую для заключения сделки. Однозначного списка нет, но скорее всего в оферту нужно будет включить:

• Информацию о продавце — название организации, реквизиты, юридический адрес.
• Информацию о клиенте — кто может принять предложение, например, только физические или юридические лица.
• Акцепт — описание действия клиента, после которого оферта считается принятой и договор вступает в силу. Для интернет-магазина акцептом скорее всего будет оформление заказа на конкретном сайте

• Условия получения и возврата товаров — для защиты от споров и регламентации бизнес-процесса. Правила возврата часто дублируют в сокращённом и простом варианте на отдельной странице — пример. Советуем тоже так сделать, чтобы пользователям было проще.

Как и другие документы, оферту тоже публикуем в домене основного сайта и ссылаемся на неё в футере. Также ссылку с чекбоксом «Согласен с офертой» стоит продублировать в форме регистрации и при оформлении заказа.

Что: Публичная сделка между владельцем платформы (необязательно платной) и всеми пользователями. Закон наличия не требует, но SaaS-сервисам и другим цифровым продуктам, онлайн-медиа и форумам лучше сделать для защиты от споров и ограничения ответственности.

У Mailganer тоже есть пользовательское соглашение.

Требования: Публикуем в домене сайта, ссылаемся в футере. Стоит добавить ссылку и чекбокс «Принимаю условия пользовательского соглашения» в форму регистрации на сайте или в приложении.
В пользовательском соглашении описываем:

• Правила использования сервиса и ответственность за их нарушение
• Права и обязанности пользователей и владельца платформы
• Порядок разрешения споров и ограничение вашей ответственности
• Условия и правила возврата средств, если сервис платный

Что: Если индустрия требует государственного разрешения на оказание услуг (например, медицинских или образовательных), нужно обязательно опубликовать лицензию на сайте. Например, у Нетологии есть отдельная страница. На ней компания подтверждает, что после обучения студенты получат сертификаты государственного образца, а также даёт ссылку на лицензию в базе Рособрнадзора.

Ссылка нужна не только чтобы вас не заподозрили в оказании услуг без разрешения, но и для доверия потенциальных клиентов.

Требования: К конкретным документам — зависят от индустрии. К публикации — сделайте отдельную страницу на сайте и добавьте ссылку в футер, но это не единственный возможный вариант. Например, можно просто добавить номер лицензии в футер без ссылки.

Или, что особенно актуально для сетей с несколькими филиалами, оформить список лицензий с номерами в отдельный PDF-файл и дать на него ссылку на сайте.

Закон требует не только пакет больших документов, размещённых на отдельных страницах сайта. Объясняем, как не получить штраф из-за пары сотен символов.

Если вы что-то продаёте онлайн, закон «О защите прав потребителей» обязывает вас разместить на сайте реквизиты компании — полное название организации, код ОГРН, ИНН, адрес и контакты. Банковские реквизиты можно не размещать. За отсутствие — штраф до 10 тысяч рублей согласно 14.8 КоАП РФ.

Можно разместить всю информацию в футере или на отдельной странице «Контакты»

Cookie-файлы — это персональные данные, которые нельзя собирать без согласия пользователя. Чтобы это согласие взять, на сайт нужно добавить поп-ап, в котором должны быть:

• Ссылка на политику — либо на общую политику конфиденциальности, либо на политику в отношении файлов cookie, если она у вас есть.
• Цель сбора cookie-файлов — кратко, пара предложений. Можно просто сослаться на политику.
• Инструкции по отключению сбора cookies — «Отключить можно в настройках браузера» или ссылка на страницу, где можно настроить сбор необязательных куки-файлов.
• Кнопка «Согласен» — нажатие на кнопку является согласием на сбор cookie-файлов.

Вот так выглядит уведомление о сборе cookie-файлов на сайте Mailganer:

Отправка рекламных сообщений без согласия получателя по любому каналу связи нарушает закон «О рекламе» — юридическим лицам грозит штраф до 300 тысяч рублей. При этом согласие должно быть привязано к конкретному адресату.

Как получить согласие на рекламные сообщения в зависимости от канала:

• Email-рассылки — настроить double opt-in. Если вы отправляете письма на список зарегистрированных в цифровом сервисе, в форму регистрации добавить чекбокс «Согласен на получение рекламных сообщений». Если вы собрали адреса офлайн, например, на мероприятии — отправьте первым письмом сообщение «Вы получили это письмо, потому что…» и отпишите всех, кто не перешёл по ссылке подтверждения.
• SMS — тоже настроить подтверждение подписки через код в первом сообщении. Если отправляете рассылки на зарегистрированных в сервисе, добавьте чекбокс с согласием на рекламу в форму. Если собираете номера телефонов офлайн, например, при первой покупке в магазине — добавьте чекбокс в анкету и подтвердите подписку через код по SMS.
• Мессенджеры — в автоцепочку для новых пользователей добавить сообщение с запросом согласия на рекламу.

Чтобы защитить бизнес от судебных исков, потребительского и конкурентного терроризма, рекомендуем добавить дисклеймер. Это может быть отдельная страница или приписка в футере сайта, главная функция которой — снять с вас лишнюю ответственность.

Например, на сайте Т-Банка есть раздел с рекламой инвестиционных продуктов. В футере этого раздела есть ссылка на такой дисклеймер:

Этот дисклеймер позволит банку увернуться от претензий клиентов, которые потеряли деньги из-за упавшей стоимости акций — банк действительно не имеет отношение к тому, что происходит на фондовом рынке.

Дисклеймеры точно нужны не всем бизнесам, но стоит их добавить:

• банкам, fintech-продуктам и другим компаниям, связанным с финансами;
• производителям и продавцам лекарств и БАДов;
• производителям и продавцам алкоголя, табака и электронных сигарет (то самое «Чрезмерное употребление вредит вашему здоровью») — этого требует закон «О рекламе»;
• СМИ — будет полезно добавить в футер «Копирование запрещено» для защиты авторских прав и «Мнение редакции может не совпадать с мнением автора», чтобы в случае споров под удар не попала вся организация.

Помимо документов на сайте, есть нюансы, из-за которых к вам может предъявить претензии Роскомнадзор. Рассказываем, что ещё сделать, чтобы удовлетворить требования РКН.

У Роскомнадзора есть Реестр операторов персональных данных. Операторами считаются все, кто хоть как-то работает с чужими данными от сбора cookies на сайте до хранения информации о хотя бы одном сотруднике компании.

Подать уведомление нужно в форме по ссылке. Это спасёт вас от 100–300 тысяч рублей штрафа.

Текст для cookie-баннера необязательно делать сухим и канцелярским — вы можете вписать его в tone of voice бренда. Но чрезмерно креативить тоже не стоит.

Ниже — плохой пример cookie-баннера. В нём нет ни краткого описания цели сбора, ни ссылки на политику (общую или по cookies). В итоге креатив может и смешной, но юридическую функцию не выполняет — опции отказаться нет, а с чем соглашаться, тоже непонятно.

Этот пример лучше, но последнее предложение может вызвать вопросы у РКН. Получается, единственный способ отказаться от сбора cookies — покинуть сайт?

Нашумевшие поправки 420-ФЗ и 421-ФЗ по сути ужесточают наказание за нарушения Закона о персональных данных, и следить за его соблюдением теперь будут строже. Вот что стоит сделать:

• Назначить ответственного за организацию обработки персональных данных — не гендиректора для галочки, а сотрудника или организацию, которые действительно будут этим заниматься.
• Разработать регламент реагирования на утечки — от мониторинга до процесса расследования и подачи уведомлений об утечках в Роскомнадзор через форму на ЕСИА. Так вы успеете вовремя сообщить РКН об инциденте и проведённом расследовании — на это у вас есть 24 и 72 часа соответственно. Это сэкономит вам 1–3 млн рублей штрафа.
• Наладить обработку запросов от клиентов и посетителей сайта о том, что вы делаете с их данными. Сюда же входит то, что вы будете делать после отзыва согласия на сбор персональных данных.

После 30 мая 2025 года фактически запрещена передача персональных данных за рубеж, если этого не требует бизнес (например, бронирование отелей). Если к вашей компании это не относится, вот что стоит сделать:

• Перейти на российский софт — нельзя использовать зарубежные продукты для маркетинга, CRM-системы, CMS и хостинги, облачные хранилища, конструкторы форм для сбора данных и др. Также исключите утечку трафика через CDN на вашем сайте.
• Проверить подрядчиков — все третьи физические и юридические лица, которые работают с данными в вашей компании, должны иметь регистрацию и принимать оплату в РФ, входить в Реестр операторов персональных данных, хранить данные на российских серверах и иметь все нужные документы на сайтах.

Закон запрещает избыточный сбор и обработку, которая не соответствует целям сбора персональных данных. Поэтому через сайт собирайте только те данные, которые действительно нужны для оказания услуг, персонализации рассылок или корректной загрузки сайта.

Собрали список документов для сайта бизнеса в чеклист — проверьте, всё ли есть у вас на сайте!