Меня зовут Александр Явтушенко и уже 4 года я работаю в сфере IT права. Последнее время все чаще сайты и приложения, которые я сопровождаю по части правового обеспечения их деятельности, начинают задумываться или непосредственно внедрять различные правила и политики связанные, в первую очередь, с процедурами сбора, обработки и хранения персональных данных. В большинстве случаев это вызвано страшным словом GDPR (англ. General Data Protection Regulation) — нормативным актом Европейского Союза, который регламентирует любые действия, связанные со сбором, обработкой, хранением и последующим использованием полученных от граждан ЕС персональных данных.
Основной проблемой IT разработчиков, которые не хотят привлекать профильных юридических специалистов в сфере защиты Personal Data (далее — PD) и обеспечения правильного режима конфиденциальности является смешивание в одном документе (зачастую его "обзывают" условиями использования сайта или пользовательским соглашением) как норм регламентирующих поведение пользователя (различных групп пользователей) на сайте или в приложении, так и положений об обработке персональных данных.
Второй глобальной проблемой является тот факт, что у неспециалиста, как правило, отсутствует понимание того, что мало написать какие-то правила, важно идеально знать правовые нормы и правоприменительную практику (как со стороны контролирующих органов, так и судебную) страны регистрации сайта/приложения, а также нормы других стран, которые в определенных случаях могут также распространяться на вас (яркий пример — тот же GDPR в случае работы с данными граждан ЕС).
Это связано с тем, что в регулировании использования PD существует две зоны:
1. Императивная
Что бы вы не написали в правилах, если это противоречит требованиям национального регулятора или международному правилу, это не имеет никакой силы. Как известно, любые правила имеют изъяны и бреши, которые квалифицированный юрист сможет использовать для тонкого обхода тех или иных норм. При этом стоит признать, что существуют случаи, когда обойти закон не получится вовсе и разработку бэка (очень редко и фронта) нужно адаптировать под букву закона.
2. Диспозитивная
Хотя в последнее время ЕС, США и Канада все больше внимания уделяют ужесточению работы с персональными данными, до сих пор остается множество норм, которые не имеют строгого характера и предлагают или выбор нескольких вариантов поведения, или и вовсе предоставляют нам возможность прописать самостоятельные регламенты и алгоритмы сбора, обработки и хранения некоторых видов данных. Понимая четкие границы в которых можно "делать что угодно и ничего за это не будет, если мы описали это в пользовательском соглашении", разработчик открывает перед собой возможности не только для тонкой настройки функционала своего приложения/сайта, но и избавляет себя от десятков или даже сотен исков во всех юрисдикциях мира, которые могут посыпаться от чересчур внимательных пользователей.
Политики и условия конфиденциальности (также известные как Условия использования или Условия обслуживания) не являются универсальными. Определение того, как клиенты будут взаимодействовать с вашим уникальным продуктом, а также как вы будете собирать, обрабатывать и хранить любые собранные данные, имеет решающее значение для защиты вашей компании. Попробуем детальнее разобрать виды и различия вышеупомянутых документов, как они регулируются в большинстве стран, а также почему даже самому маленькому IT проекту важно их иметь.
Политика конфиденциальности
Политика конфиденциальности объясняет, как ваша компания использует, обрабатывает, хранит и делится данными, предоставленными пользователями ее услуг и/или веб-сайта. Этот документ должен быть составлен квалифицированным юристом, потому что контролирующие органы (например. Федеральная торговая комиссия США) или суд (если против вас подан иск) могут принять меры против вас за «обман», если в документе есть неточные утверждения. Сегодня законодательство Украины, России, стран Европейского Союза и большинства штатов США требуют политики конфиденциальности, если вы собираете какие-либо персональные данные.
Условия обслуживания (также известные как «Условия использования»)
Если ваш бизнес управляет веб-сайтом, мобильным приложением или требует загрузки программного обеспечения, вам следует применять подготовленные юристом Условия использования. Условия использования — это договор (публичная оферта) между вами и пользователями вашего продукта. Важно учитывать также и то, где разместить Условия на вашем веб-сайте, чтобы убедиться, что он имеет обязательную юридическую силу. Довольно часто для этого посетителю нужно предпринять действие, выражающее его согласие с таким документом (например, нажать на кнопку «Я принимаю Условия»).
Эти документы устанавливают условия для пользователей вашего сайта, такие как кодекс поведения пользователей, отказ от гарантийных обязательств со стороны веб-сайта и отказ от ответственности за любые ссылки на сторонние сайты — среди прочего. Некоторые типичные положения могут включать:
Кодекс поведения пользователя
Это положение используется для определения ожиданий того, как клиенты могут использовать ваш продукт, а также вашего права на отзыв об их использовании вашего веб-сайта или приложения в ответ на указанные нарушения. На просторах стран СНГ применение такого кодекса не является общепринятым в IT проектах. В то же время, в странах с общей системой права (в основном США и большая часть Великобритании) детальная проработка этого раздела Условий является хорошим превентивным механизмом от большинства судебных исков.
Ограничение ответственности
Это положение освобождает компанию от ответственности за любой ущерб, возникший в результате использования их веб-сайта или продукта. Четкое установление исключений может иметь неоценимое значение в случае возникновения спора с клиентом. Существует, однако, ряд правовых норм, которые не позволяют отказаться от ответственности в определенных случаях, что требует создания "обходных путей" для защиты вашего проекта.
Порядок оплаты
Если это применимо, в ваших Условиях могут указываться принятые способы оплаты, комиссия, сроки, в течении которых ожидается платеж, и как ваша компания будет учитывать несвоевременный платеж или невыполнение платежа. Данный раздел зачастую используется в двух случаях:
- Ваш проект является процессинговой системой или имеет ряд элементов такой системы, чем вызвана необходимость создания определенного перечня предостережений. В данном случае необходимо также прописывать и учитывать международные экономические санкции и введенные ограничения на банковские переводы (включая SWIFT платежи) в такие страны как Иран, Ирак, Северная Корея и некоторые другие.
- Ваш проект не является процессинговой системой непосредственно, но для работы с ним используются несколько сторонних процессинговых систем одновременно. Например, для проведения платежа деньги клиента списываются одним оператором, после чего заходят на счет криптовалютной биржи, которая совершает операцию на своей стороне и снова передает платеж процессинговой системе. В таком случае, весь путь денежных средств клиента должен быть описан в соответствующем разделе ваших Условий, иначе регуляторы некоторых стран могут квалифицировать такие действия как мошенническую схему с использованием скрытых комиссий и конвертаций. Необходимо указывать фиксированные сумы платежей, а в случае плавающей величины — алгоритм или принципы ее формирования и вычисления.
Политика отмены (отказа или возврата)
Вы также можете указать положения, объясняющие, как клиент может прекратить свое взаимодействие с вашей компанией, а также любые соответствующие сборы или процедуры возврата. Сюда, как правило, включают условия отказа от рассылок, уведомлений (в том числе push-уведомлений для мобильных приложений), а также различные особенности, связанные с прекращением обслуживания клиента, который приобрел подписку на определенный срок, условия и порядок возврата средств и тому подобное. При разработке этого раздела юридически важно учитывать, потребляется ли ваш продукт/услуга непосредственно в момент ее использования или же результат использования сайта/приложения носит отложенный (пролонгированный) характер. Нередко именно здесь мы прописываем гарантированное GDPR`ом "право быть забытым". В данном случае, хотя и невозможно отказать пользователю в удалении данных о нем, которыми мы располагаем, но возможность определить механизм и форму передачи пользователем такого волеизъявления остается на нашей стороне и неправильно прописанный порядок реализации такого права может иметь серьезные юридические последствия.
К чему ваш продукт получит доступ
Если вашему веб-сайту или приложению потребуется доступ к клиенту на Facebook, в Инстаграм, его электронной почте, расположению или любой другой личной информации, в ваших Условиях должен быть явно указан список этих данных и необходимо, чтобы клиенты согласились предоставить их, прежде чем продолжить использование. Я встречал случаи, когда, вследствие юридически неправильных формулировок, пользователь предоставлял доступ приложению только к тем файлам, которые располагались (датировались) на его устройстве на момент дачи согласия на Условия, но созданные или сохраненные на устройстве файлы уже после согласия под действие Условий не попадали, что в результате вызвало довольно серьезные судебные разбирательства и большие затраты для клиента, который обратился к нам когда было уже слишком поздно.
Сcылки на другие сайты
Это положение гласит, что вы не несете ответственности за любые сторонние веб-сайты, на которые вы ссылаетесь или подключаетесь на своем веб-сайте или в приложении. Важно понимать, что если эти ссылки ведут на поддомены вашего сайта или другие веб-адреса, которые принадлежат компании-владельцу этого же ПО, то такой отказ от ответственности уже невозможен и необходимо применять юридические механизмы обхода.
Уведомление об авторских правах
Ваша компания может предоставить четкую политику в отношении нарушения авторских прав в соответствии с Законом. Сначала должно быть указано, что любой контент и логотипы на вашем сайте или в приложении являются вашей собственностью и защищены. Кроме того, если клиент полагает, что материал или контент, размещенный или доступный через ваш продукт, нарушает авторские права, эта политика устанавливает, как и кому они должны отправлять уведомление о нарушении авторских прав, чтобы такая ситуация могла быть наиболее эффективно разрешена.
На русскоязычных просторах очень популярно создавать также такой документ как Политика использования файлов cookie. Хоть и не существует единого мнения на этот счет, но многие клиенты часто просят меня вынести этот раздел из Политики конфиденциальности в отдельный документ. На самом деле, нужно выделять его отдельно или нет зависит от архитектуры вашего проекта.
В большинстве случаев необходимость создания политики использования файлов cookie связана с их особым характером, а именно тем, что они собирают информацию о вас с самого начала использования сайта или приложения (если вы не отключили их сбор заранее при наличии таких возможностей у браузера).
Такое свойство "куки" вызывает необходимость сразу информировать пользователя о сборе данных путем показа соответствующего окна на сайте (в приложении), что подразумевает согласие пользователя с этим путем продолжения использования сайта или приложения (конклюдентные действия). Как правило, этот способ используется на сайтах, где согласие с Условиями использования и Политикой конфиденциальности обычно необходимо только в случае регистрации, совершения покупки или иных действий.
Второй вариант — "заставлять" сразу соглашаться с Политикой конфиденциальности, куда нередко интегрирован раздел об использовании файлов cookie. Этот способ мы обычно используем в мобильных приложениях и ПО.
Таким образом, любой современный IT проект, будь то мобильное приложение, ПО или сайт должны иметь грамотно составленные Условия использования (Пользовательское соглашение), Политику конфиденциальности и Политику использования файлов cookie (может быть отдельным документом или частью Политики конфиденциальности в зависимости от архитектуры проекта).
Стоит помнить, что формирование таких документов довольно сложный и кропотливый процес, который требует глубокого знания императивных норм законодательства как страны, в которой зарегистрирована компания, владеющая правами на продукт, так и международных или общеевропейских правовых норм. Любой проект требует анализа процессов, чтобы предотвратить возможные риски в будущем. Ценность квалифицированного юриста — найти эти риски и разработать индивидуальные превентивные механизмы, чтобы не допустить проблем в будущем.
Автор: Александр Явтушенко