Пользовательское соглашение, политика конфиденциальности и согласие на обработку персональных данных

Сфера электронной торговли в России становится все более популярной, но не все владельцы малого и среднего бизнеса уделяют должное внимание юридической стороне вопроса при создании своего сайта. Взаимодействие с пользователями регламентируется законом о рекламе, защите персональных данных и другими нормативными документами, принятыми на федеральном и международном уровне. Как оформить пользовательское соглашение, политику конфиденциальности и согласие на обработку персональных данных для сайта, для чего это нужно и какие риски могут возникнуть при их неправильном составлении – обо всех этих юридических тонкостях рассказывает юрист по информационным правам патентного бюро Ezybrand.

Оказываем услуги по подготовке документов для сайтов, программного обеспечения и мобильных приложений. Получить консультацию специалиста и рассчитать стоимость можно отправив сообщение в WhatsApp или Telegram. Консультация бесплатная!

Пользовательское соглашение

Пользовательское соглашение – это документ, основным назначением которого является урегулирование договорных отношений между владельцем сайта и его посетителями. Оно необходимо всем, кто оказывает услуги или реализует товары в сети Интернет, собирает пользовательские данные, предоставляет доступ.

Разработка и опубликование на сайте пользовательского соглашения позволяет владельцу сайта:

• защититься от неправомерных действий пользователей;
• снизить юридические риски, связанные с претензиями от ФАС, Роскомнадзора, судебными исками и убытками;
• защитить права на контент, размещаемый на сайте;
• юридически закрепить права и обязанности посетителей сайта.

Пользовательское соглашение должно быть доступно для ознакомления на сайте до получения услуги. Пользователь также должен иметь возможность загрузить его. Оно обладает такой же силой, как и любые другие виды договоров. Невыполнение его условий может повлечь за собой негативные юридические последствия.

Пример. В 2020 г. Арбитражным судом уральского округа рассматривался иск от ООО «Трансхолдинг» к индивидуальному предпринимателю К.Е.Е. ООО предоставляет услуги по транспортировке грузов на сайте, работающем по принципу биржи. ИП зарегистрировался в данном информационном сервисе, получил договор-заявку и предоставил транспорт с водителем для осуществления грузоперевозки. После транспортировки грузополучатель обнаружил недостачу груза на сумму более 60 тысяч рублей. Ответчик – индивидуальный предприниматель К.Е.Е. отрицал в суде заключение договора на транспортировку. Однако регистрация на сайте, согласно условиям пользовательского соглашения этого Интернет-ресурса, является акцептом оферты. Поэтому суд пришел к выводу, что ИП выразил согласие со всеми условиями соглашения и должен возместить ответчику все убытки (дело № А60-44322/2020).

Основное содержание пользовательского соглашения

Содержание пользовательского соглашения зависит от типа Интернет-ресурса и целей его владельца.

Например, для медиа, открытого для публикации гостевых материалов, или для отзовика наиболее важными будут:

• Статус контента на сайте.
• Ответственность пользователя, разместившего неправомерную информацию, например, клевету.
• Соблюдение требований законодательства об авторском праве.
• Описание способов, которыми пользователь может использовать контент, размещенный на сайте (только здесь или на сторонних ресурсах, в рекламе; необходимость указания ссылки на источник и автора), а также запрещенные виды деятельности.
• Способы регистрации учетной записи.
• Объем, в котором будет производиться обработка персональных данных

Если же сайт представляет собой доску объявлений, то самым значимым будут условия, которые оговаривают порядок взаимодействия пользователей – каким образом одна сторона размещает свое объявление, а другая реагирует на него. Эти пользовательские соглашения, приведенные в примерах, будут значительно отличаться друг от друга.

Однако можно выделить несколько общих составляющих, которые должны быть описаны во всех пользовательских соглашениях:

• права и обязанности сторон;
• ограничение ответственности владельца сайта;
• момент акцепта – когда пользователь соглашается с условиями;
• положения по защите персональных данных.

Дополнительно в пользовательском соглашении могут быть указаны:

• Технические требования к устройствам для возможности использования сервиса и исполнения обязательств со стороны его владельца.
• Способы верификации пользователя – необходимость предъявления официальных документов, удостоверяющих личность; согласие на проверку по сторонним базам данных.
• Способы разрешения конфликтных ситуаций, политика возврата товара, гарантийная политика и другие условия.

Узнать подробнее о разработке пользовательского соглашения для сайта.

Принятие пользовательского соглашения

Принятие пользовательского соглашения может расцениваться как заключение договора оказания услуг. Оно производится в основном двумя способами:

• «Click-wrap agreement» – заключение соглашения происходит посредством щелчка по кнопке «Я согласен» (или реализацией чек-бокса), расположенной на странице с пользовательским соглашением. При этом не требуется каких-либо бумажных документов, подписей или прямого общения между пользователем и владельцем сайта.
• «Browse-wrap agreement» – от пользователя не требуется в прямом виде выражать свое согласие, достаточно ознакомиться с условиями договора по ссылке. Конклюдентным действием, то есть поведением пользователя, которое направлено на заключение сделки, является факт использования сайта.

Обе концепции в полной мере удовлетворяют требованиям российских законов, так как статьей 158 Гражданского кодекса выражение воли на совершение сделки может быть в конклюдентном виде, а в статье 434 ГК РФ разрешается составление договора в электронной форме.

Юридические нюансы

Оформление пользовательского соглашения для сайта имеет ряд юридических особенностей. В пользовательском соглашении должно быть указано правило, по которому в него вносятся изменения, а также в какой момент новая версия вступает в силу – с помощью повторного согласия или автоматически.

Не рекомендуется вводить в этот документ максимальное количество условий. Некоторые из них, например, согласие на рекламную рассылку, должны оформляться отдельно, так как принятие соглашения, в состав которого они включены, предполагает безальтернативность выбора для пользователя.

В результате пользователь может пожаловаться в антимонопольные органы и Роскомнадзор, ведь по статье 18 (п.1) №38-ФЗ «О рекламе» распространение рекламы по сетям электросвязи допускается только с согласия абонента. Причем обязанность доказательства такого согласия возлагается на владельца сайта. Оно должно оформляться в виде 2 отдельных документов: согласие об обработке персональных данных и согласие на получение рекламы.

Штраф за нарушение рекламного законодательства по статье 13.11 КоАП РФ может достигать 500 тысяч рублей.

Пример. В декабре 2019 г. в Ярославское УФАС поступила жалоба от физического лица по поводу получения рекламного смс-сообщения от видеосервиса OKKO. Регистрируясь на его сайте, пользователи принимают пользовательское соглашение и дают согласие на получение рекламных сообщений. Однако УФАС признало, что само заполнение регистрационной формы не является явным подтверждением согласия на получение рекламных сообщений. ООО «Окко» оштрафовано на 100 000 рублей (Постановление Федеральной антимонопольной службы № 7389/04-04 от 20.07.2020).

Политика конфиденциальности

Соблюдение конфиденциальности персональных данных – это требование Федерального закона 152-ФЗ «О персональных данных», принятого в 2006 г. Выполнение этих требований на практике обеспечивается с помощью политики конфиденциальности. Сбор данных осуществляется на всех Интернет-ресурсах где применяются следующие веб-технологии:

• формы заявок, кнопки об обратном звонке на сайте;
• сбор cookie-файлов, информации об IP-адресе;
• регистрация в личном кабинете;
• рассылки по e-mail;
• сервисы аналитики, например, Google Analytics;
• и другие способы сбора, хранения, обработки, передачи личных данных – электронной почты, телефонных номеров, ФИО пользователей, даты рождения и прочих.

По сути политика конфиденциальности – это обязательство не передавать персональные данные третьим лицам без согласия пользователя, а также гарантия обработки их в минимально необходимом объеме со стороны владельца сайта. Он должен направить в Роскомнадзор уведомление для включения в государственный реестр операторов, производящих обработку персональных данных.

Политика конфиденциальности должна размещаться в «подвале» сайта, а лучше всего, если кликабельная ссылка на эту страницу будет под каждой формой, заполняемой пользователем.

Жалобу о неправомерном использовании персональных данных может подать любое лицо, а владелец домена обязан предоставить информацию о соответствии данных целям их обработки. Это относится как к физическим, так и к юридическим лицам. Кроме того, ежегодно Роскомнадзор проводит плановые проверки для выявления несоответствий.

Для чего нужна политика конфиденциальности

Отсутствие политики конфиденциальности на сайте или нарушение требований 152-ФЗ может привести к следующим последствиям:

• штраф для администратора сайта от Роскомнадзора в размере до 500 тыс. рублей; ограничение доступа к Интернет-ресурсу, внесение в реестр нарушителей;
• невозможность подключения к Google AdSense и партнерской программе Яндекс.Директ, что не позволит получать прибыль от рекламы;
• юридические риски при возникновении спорных моментов.

Узнать подробнее о разработке политики конфиденциальности.

Пример. В 2021 г. ООО «Техмет-Урал» обратилось в суд с требованием установить не соответствующей действительности и порочащей деловую репутацию информацию о предприятии, размещенной в виде отзывов на сайтах antijob.net, antijob.top, nahjob.top, work-info.name. Суд проанализировал обстоятельства дела и установил, что по условиям политики конфиденциальности:

• эти сайты осуществляет сбор информации об IP, а в некоторых случаях e-mail и другие данные, которые пользователь указывает самостоятельно;
• за достоверность публикуемой информации отвечает только пользователь, а не администрация сайтов;
• персональная информация не передается другим лицам.

Так как негативные отзывы были оставлены анонимно, а ответственность владельца домена ограничена политикой конфиденциальности, то привлечь их к ответственности за порочащие сведения не представляется возможным (дело № А60-15410/2021). При отсутствии политики конфиденциальности последствия для владельца сайта могли бы быть гораздо более плачевными: по статье 128.1 УК РФ клевета, распространяемая в сети Интернет, подлежит наказанию в виде штрафа до 5 миллионов рублей или лишения свободы на срок до 5 лет.

Основное содержание политики конфиденциальности

В политику конфиденциальности должны быть включены следующие сведения:

• кто именно обрабатывает персональную информацию, контактные данные;
• сбор каких персональных данных осуществляется на сайте (имя, номер телефона, возраст, адрес, электронные данные, дата доступа к сайту, информация об активности, геолокация и другие);
• какими способами и для каких целей производится обработка персональных данных (например, предоставление доступа к учетной записи, направление уведомлений и другие цели);
• условия передачи данных партнерам и рекламодателям;
• каким образом защищаются персональные данные;
• где хранятся и обрабатываются данные;
• сколько времени хранится персональная информация и как пользователь может ее удалить;
• права пользователя в отношении получения и обработки персональных данных;
• особенности использования файлов cookie (типы, срок хранения, доступ);
• как пользователь может узнать об изменениях политики конфиденциальности.

Что такое согласие на обработку персональных данных

Политика конфиденциальности – это только одно из требований закона 152-ФЗ, которое должно быть выполнено владельцем сайта. Документ является локальным актом, в котором описан порядок обработки персональных данных.

Согласие на обработку персональных данных является правовым основанием для проведения любых действий с персональными данными.

Основное содержание этого документа заключается в следующем:

• конкретная цель обработки персональных данных, например, оказание определенной услуги;
• перечень обрабатываемых персональных данных;
• условия передачи данных третьему лицу для исполнения условий договора;
• период действия согласия;
• условия отзыва согласия и уничтожения записей, содержащих персональные данные;
• согласие на получение транзакционной рассылки, например, о статусе и транспортировке заказа;
• согласие на получение рекламной рассылки для продвижения товаров и услуг.

Особенности оформления согласия

Частой ошибкой является избыточность срока хранения персональных данных, например, возможность восстановления учетной записи после ее удаления. Это подразумевает хранение информации в течение неопределенного срока, что недопустимо по закону.

По статье 13.11 КоАП РФ, обработка персональных данных без согласия пользователя или несоответствие объема сбора целям их обработки влечет за собой наложение штрафа:

• на граждан: до 3 000 руб.;
• на юридических лиц: 30 000 – 50 000 руб.;
• на должностных лиц: 5 000 – 10 000 руб.

Если сайт собирает данные граждан Евросоюза, то правовые документы для сайта должны быть оформлены по требованиям GDPR – General Data Protection Regulation (Общего регламента по защите данных), принятого в 2016 г. Европейской комиссией для защиты прав граждан ЕС. При несоответствии этим требованиям владелец онлайн-бизнеса может получить штраф в размере до 20 млн. евро или 4% общего годового дохода.

Регламент GDPR имеет ряд особенностей. Так, например, на сайте должна быть система, позволяющая пользователю получить загружаемый файл с его персональными данными для их использования в другом месте.

Патентное бюро Ezybrand

Для того, чтобы составить пользовательское соглашение, политику конфиденциальности или согласие на обработку персональных данных, нельзя использовать шаблоны, онлайн-конструкторы или образцы документов у конкурентов. Логика работы каждого Интернет-ресурса имеет свои особенности, поэтому разработка их юридической обвязки каждый раз должна производиться «с нуля». Эту услугу можно заказать в патентном бюро Ezybrand.

Как мы работаем с клиентами:

1. Первичная юридическая консультация (бесплатно).
2. Оформление договора на оказание услуг.
3. Опрос владельца Интернет-ресурса по ключевым вопросам:
   1. кто является вашими клиентами – физические или юридические лица;
   2. местоположение клиентов;
   3. требуется ли создание учетной записи;
   4. какие возможности должны быть у пользователя с регистрацией и без нее;
   5. разрешено ли пользователям размещать свой контент на сайте;
   6. планируется ли проведение модерации;
   7. есть ли внутренняя коммуникация между пользователями;
   8. какие действия должны быть запрещены для пользователей и другие вопросы.
4. Компоновка вопросов-ответов, оформление основных положений пользовательского соглашения, политики конфиденциальности юристом по информационному праву Ezybrand.
5. Согласование проекта документа с заказчиком.

Рассказываем про интеллектуальные права, кратко освещаем важные новости для бизнеса и делимся результатами своей работы. 👉Подписывайтесь на наш канал в Telegram!