«У меня есть политика конфиденциальности и пользовательское соглашение — значит всё в порядке» — это одно из самых распространённых заблуждений владельцев онлайн-бизнеса. На практике наличие документов на сайте и их соответствие закону — очень разные вещи. Расскажу, что именно я проверяю в рамках юридического аудита и почему это важно прямо сейчас.
Блок 1. Оферта или пользовательское соглашение
Если на сайте можно что-то купить, заказать или получить платный доступ к контенту — нужна публичная оферта (ст. 437 ГК РФ) или пользовательское соглашение. Типичные проблемы, которые я нахожу:
- Документ называется «оферта», но не содержит существенных условий договора — предмета, цены, порядка оплаты и возврата. Такая оферта недействительна.
- Описание услуги расплывчатое: «обучение», «консультация», «доступ к материалам» — без указания, что именно входит. При возврате это становится проблемой.
- Нет порядка возврата денег, хотя Закон о защите прав потребителей обязывает его указать для дистанционной торговли.
- Нет указания на исполнителя — кто юридически несёт ответственность: физлицо, ИП, ООО.
- Оферта скопирована у конкурента и содержит чужие реквизиты или несоответствующие условия.
Блок 2. Политика обработки персональных данных
Любой сайт, который собирает данные пользователей (форма обратной связи, заявка, подписка, чат, корзина) — обязан иметь политику обработки персональных данных и размещать её в общем доступе. Это требование ст. 18.1 Федерального закона № 152-ФЗ.
Что проверяется:
- Перечень собираемых данных — конкретный, не «любые данные». Нельзя собирать больше, чем нужно для заявленной цели.
- Цели обработки — чётко сформулированы для каждого вида данных.
- Правовое основание обработки — согласие, договор, законный интерес.
- Срок хранения данных — есть или нет.
- Передача данным третьим лицам (CRM, email-рассылки, аналитика) — раскрыта или нет.
- Права субъекта данных и порядок их реализации — указаны ли.
- Контакты оператора для обращений по ПДн.
Штрафы по ст. 13.11 КоАП за нарушения в области ПДн — до 300 000 ₽ для ИП и до 6 000 000 ₽ для юрлиц за повторные нарушения после 2023 года.
Блок 3. Согласие на обработку персональных данных
Мало иметь политику — нужно получить согласие пользователя. Согласие должно быть:
- Конкретным — отдельно на разные цели (заявка, рассылка, реклама).
- Информированным — пользователь должен понимать, на что соглашается.
- Активным — галочка «согласен» не может быть проставлена по умолчанию (п. 4 ст. 9 152-ФЗ).
Самая частая ошибка: одна галочка под формой «нажимая, вы соглашаетесь со всем». Это не соответствует требованиям — согласие на разные цели должно быть разным.
Блок 4. Cookie-уведомление
Если сайт использует cookies (а большинство сайтов с аналитикой и рекламными пикселями — используют), нужно уведомить пользователя и получить его согласие. На практике проверяю:
- Есть ли баннер при первом посещении.
- Есть ли возможность отказаться от необязательных cookies.
- Соответствует ли перечень cookies в политике реальному состоянию.
Блок 5. Маркировка рекламы
С 1 сентября 2022 года любая интернет-реклама в РФ обязана иметь маркировку «Реклама» с указанием рекламодателя и токена ЕРИР (Единый реестр интернет-рекламы). Это касается:
- таргетированной рекламы в соцсетях;
- рекламных постов у блогеров;
- баннеров и контекстной рекламы;
- собственного промо в соцсетях, если оно рекламирует товары или услуги.
Штраф за нарушение — до 500 000 ₽ для юрлиц (ст. 14.3 КоАП). Проверяю, как ведётся работа с рекламой и есть ли риски.
Блок 6. Обязательные реквизиты на сайте
Сайт, через который ведётся предпринимательская деятельность, обязан содержать информацию об исполнителе. Минимум — ИНН, ОГРНИП/ОГРН, наименование, адрес для обращений. Это требование и Закона о защите прав потребителей, и Закона об информации. Отсутствие реквизитов — ещё один красный флаг как для Роскомнадзора, так и для Яндекса при ранжировании сайта.
Что на выходе после аудита
Я не просто нахожу проблемы — я даю конкретные правки. По итогам аудита владелец сайта получает:
- Письменное заключение с перечнем нарушений и их серьёзностью.
- Готовые или доработанные тексты документов: политика ПДн, оферта, согласия, cookie-политика.
- Рекомендации по размещению: куда на сайте вешать какой документ, как правильно оформить согласия.
Срок — 3 рабочих дня с момента предоставления доступа к сайту и исходных документов.