Станислав Петровский
Закон стартапа
Москва, 2014
1
Как защитить идею стартапа? Какая форма ведения бизнеса лучше – ООО, ИП, АО или оффшорная компания? Как узнать, нарушит ли стартап закон о персональных данных? В настоящей брошюре даны ответы на эти и другие вопросы от практикующего юриста. Брошюра будет полезна как для тех, кто только создает стартап в России, так и для тех, кто привлекает инвестиции для расширения уже существующего бизнеса – предпринимателям, консультантам и юристам.
Об авторе Станислав Петровский – кандидат юридических наук, корпоративный юрист Компании «Объединенная Энергия»
Петровский С.В. принимал участие в юридическом сопровождении проектов Национальной компьютерной корпорации, Национальной ассоциации участников электронной торговли, сервиса moneta.ru и др. Автор 4 книг и более 30 статей по правовым проблемам информационных технологий и защиты интеллектуальной собственности, консультант ИТ-проектов по правовым вопросам. Электронная почта: petrovsky-sv@mail.ru
© Петровский С., 2014 Брошюра предоставлена автором для свободного использования при условии ее распространения в неизменном виде.
Оглавление Введение...................................................................................................................................................... 1.
Как защитить идею стартапа?.............................................................................................................
2.
Что лучше для стартапа - ООО, ИП, АО или оффшор?.......................................................................
3.
Договорные отношения в стартапе.................................................................................................... 3.1. Общий порядок оформления договоров........................................................................................ 3.2. Заключение договоров в электронной форме ............................................................................... 3.3. Соглашение о конфиденциальности (NDA)..................................................................................... 3.4. Предварительное соглашение (Term Sheet)....................................................................................
4. Нарушаете ли Вы закон о персональных данных?................................................................................ 4.1. Понятие персональных данных....................................................................................................... 4.2. Требования к информационным системам, обрабатывающим персональные данные ............. Вместо послесловия....................................................................................................................................
3
Введение Распространенным является представление о законах как о неких рифах в море предпринимательства, особенно опасных для начинающих. Из такого представления проистекает образ юриста, ищущего как обойти установленные законами рамки и действующего так, чтобы помочь своему клиенту «отжать по-максимуму». Это представление основано на реальных событиях, личном опыте, драматизировано в фильмах и книгах. Вместе с тем, в экономически развитых странах представлен и другой подход – юриста-советника, применяющего знания законов для обеспечения долговременного развития бизнеса клиента. Максимальное долгосрочное развитие, как ни парадоксально, выстраивается на взаимовыгодных отношениях между партнерами, инвесторами, поставщиками и другими участниками бизнеса. В этой парадигме «юрист нужен, чтобы не стреляли», он ищет компромиссы, добивается четкости и понятности для сторон условий их договоренностей, предлагает решения правовых коллизий с учетом стратегических интересов бизнеса клиента. Исходя из последнего подхода построена эта публикация – это собрание рекомендаций по наиболее частым
правовым вопросам,
возникающим в процессе организации и финансирования стартапа в рамках российского права. Жизнь богаче всяких схем, поэтому читатели, вполне в духе ИТ-стартапа, на могут свободно задать свои вопросы. Обобщенные ответы будут размещаться для других основателей стартапов. Таким образом, задавая свои вопросы, Вы поможете не только себе, но и своим собратьям.
1. Как защитить идею стартапа? Довольно популярным среди предпринимателей является вопрос как защитить идею стартапа или даже еще проще – как защитить идею от воровства? Есть распространенное мнение, что идею защищает только сохранение ее в тайне и быстрая реализация проекта. В целом это верно, ведь правом большинства стран охраняются скорее не идеи, а отдельные объекты, входящие в продукт\сервис. При этом юридические действия по защите интеллектуальной собственности следует считать скорее не панацеей, а способом выиграть время у конкурентов, пытающихся скопировать вашу идею, а также фактором увеличения надежности\ценности проекта для инвестора. Для оценки возможности правовой защиты различных объектов продукта\сервиса стартапа ниже приводится таблица 1.
Таблица 1. Формы продуктов\сервисов
правовой
охраны
объектов
в
рамках
Объект
Варианты охраны
Реализация
ПО и БД
Авторское право
Охрана возникает в момент создания объекта без обязательной регистрации. Вместе с тем, для получения доказательств авторства рекомендуется выполнить регистрацию в Роспатенте либо депонирование в негосударственной организации и подготовить ряд внутренних документов, подтверждающих разработку. Охрана возможна в случае, когда ПО или БД в составе технического средства
Патентное право
5
Название
Товарный знак
Дизайн
Авторское право
Доменное имя
Товарный знак
Контент
Авторское право
Товарный знак
представляют собой принципиально новое техническое решение (напр. в составе комплекса управления конвеером). Охрана после регистрации в Роспатенте. Аналогично охране ПО и БД Охрана после регистрации в Роспатенте. Аналогично охране ПО и БД. В ряде случаев достаточно оформить договор с автором с приложением контента. Целесообразно для логотипов, анимированных заставок, которые планируется использовать более двух лет.
2. Что лучше для стартапа - ООО, ИП, АО или оффшор? Термин «стартап» (от англ. start-up — стартовать, запускать) появился в США, вблизи города Сан-Франциско, в Санта Клара (Калифорния). Так назвали свой небольшой проект в 1939 году два студента Стэнфордского университета Дэвид Паккард и Уильям Хьюлетт. Сегодня этот проект вырос в транснациональную корпорацию Hewlett Packard. Стартап, по определению Википедии, – это недавно созданная компания, находящаяся в стадии развития или исследования перспективных рынков. Конечно, не обязательно регистрировать компанию одновременно с появлением идеи стартапа, но, в любом случае, создать компанию нужно до момента систематического получения доходов, заключения договоров с партнерами. Хотя предпринимательская деятельность, разновидностью которой является стартап, поддерживается государством, в т.ч. путем
закреплением соответствующего права гражданина в статье 34 Конституции Российской Федерации, такая деятельность должна пройти процедуру государственной
регистрации.
Следует
обратить
внимание,
что
осуществление предпринимательской деятельности без государственной регистрации является незаконным и влечет ответственность, вплоть до уголовной (при условии получения крупных доходов или нанесения крупного ущерба). Соответственно, перед каждым, кто начинает новое дело и собирается хорошо зарабатывать, возникает вопрос – что лучше, какую компанию зарегистрировать, чтобы с минимальными затратами времени и денег вести бизнес. Для начала определимся со страной, ведь ИТ-стартап теоретически может быть зарегистрирован в любой стране мира. На практике ключевыми рациональными факторами при выборе места регистрации обычно являются местонахождение ядра команды стартапа, основной массы клиентов или благоприятный налоговый климат. По мере развития Вашего бизнеса для снижения налоговой нагрузки и снижения рисков оптимально создание группы компаний, поскольку идеальных стран для бизнеса нет. Реальность такова, что не существует стран, где одновременно низкие налоги, отлично работающие законы и суды, добрые чиновники и много незанятых ниш. Учитывая, что инвесторов и клиентов больше всего в США, для ИТ-стартапа, готового выйти на рынок США зачастую оптимальный вариант – это компании в России и в Силиконовой долине. В связи с тем, что в определенных кругах разговоры про оптимизацию налогов в оффшорах сколь популярны, столь и похожи на рассказы про мифический город золота Эльдорадо, нельзя обойти этот вопрос стороной. В контексте стартапа и рамок настоящей публикации можно сказать только, что пока действует упрощенная система налогообложения в России, оффшоры для небольшой и средней компании, как правило, имеют смысл скорее как 7
инструмент защиты бизнеса от разного рода претензий, маскировки владельцев, чем инструмент законного снижения налогов. Про незаконные методы оптимизации налогов через оффшоры мы здесь не говорим, т.к. хотя они и приносят большие гонорары сначала специалистам по оптимизации налогов, а затем адвокатам по налоговым и уголовным делам, такие методы не отвечают критерию долгосрочного развития бизнеса. Они практически всегда порождают проблемы в будущем, на порядок превышающие полученные выгоды. Как было сказано выше, бывают случаи, когда без оффшорной компании не обойтись – возможные претензии третьих лиц, в т.ч. интерес рейдеров, необходимость не афишировать реальных владельцев, выгодный налоговый режим оффшора для торговли на вашем целевом рынке и т.д. В случае, если оффшорную компанию все же необходимо создать, рекомендуется сильно постараться обойтись без так называемых номинальных учредителей и директоров, т.е. людей, которые за ваши деньги будут числиться управляющими вашего бизнеса. Как говорят сами юристы, помогающие зарегистрировать компании в оффшорах, номиналы видят ваши обороты и как только придут нормальные деньги – номинал рано или поздно попросит процент от вашего успеха. За что? Только за то, что он записан владельцем или управляющим бизнеса. Конечно, можно попытаться оспорить в суде оффшора, что местный директор – гражданин оффшора реально не работает, а человек из далекой России – наоборот. Шансы сами понимаете… Конечно, необходимо рассматривать ситуацию с каждым стартапом индивидуально, но в большинстве случаев оптимальным при создании стартапа для российского рынка будет зарегистрировать общество с ограниченной
ответственностью
(ООО)
на
упрощенной
системе
налогообложения (УСН) или зарегистрироваться в качестве индивидуального предпринимателя без образования юридического лица (ИП) на УСН. О
применении УСН нужно заявить на этапе подготовки документов для регистрации ООО или ИП, т.к. после регистрации выбрать УСН можно будет только на следующий год. ООО – Обществом с ограниченной ответственностью признается общество, уставный капитал которого разделен на доли; участники общества с ограниченной ответственностью не отвечают по его обязательствам и несут риск убытков, связанных с деятельностью общества, в пределах стоимости принадлежащих им долей. ООО действуют на основании Гражданского кодекса Российской Федерации и Федерального закона от 08.02.1998 N 14-ФЗ "Об обществах с ограниченной ответственностью". АО - Акционерным обществом признается общество, уставный капитал которого разделен на определенное число акций; участники акционерного общества (акционеры) не отвечают по его обязательствам и несут риск убытков, связанных с деятельностью общества, в пределах стоимости принадлежащих им акций. АО действуют на основании Гражданского кодекса Российской Федерации и Федерального закона от 26.12.1995 N 208-ФЗ "Об акционерных обществах". ИП – гражданин, прошедший государственную регистрацию в качестве индивидуального предпринимателя. К предпринимательской деятельности граждан, осуществляемой без образования юридического лица, в общем случае применяются нормы, которые регулируют деятельность юридических лиц, являющихся коммерческими организациями (ООО или АО). Для выбора между ИП без образования юридического лица и юридическим лицом (ООО или АО) следует учитывать характер дальнейшей деятельности стартапа, налогообложение, специфические риски основной деятельности и т.д. Таблица 2. Разница в налоговой нагрузке 9
Налог
ИП
Юридическое лицо
Общая система
Упрощенное Общая налогообложение система
Упрощенное налогообложение
На прибыль
-
-
20%
-
На имущество
-
-
<=2,2%
-
Единый
-
6% (доходы)
-
6% (доходы)
15% (доходы минус расходы)
15% (доходы минус расходы)
На добавленную 10%, 18% стоимость
-
10%, 18%
-
Транспортный
-
-
+
+
На доход
13%
-
13%
13%
Фикс.
26-34,2%
26-34,2%
Страховые взносы Фикс. на фонд оплаты труда
Как видно из таблицы 1, разница в налоговой нагрузке между ИП и юридическим лицом довольно существенна при выплате заработной платы. К примеру, если основатель стартапа получил 1000000 руб. за рекламные услуги, он может получить наличность уплатив 6% (60000 руб.) единого налога и фиксированную страховых сумму в год, итого не более 8% от общей суммы. Аналогичная операция для ООО или АО потребует дополнительной оплаты страховых взносов на фонд оплаты труда и налога на доходы физический лиц, что дополнительно увеличивает налоговую нагрузку более, чем на 40%. Почему же большинство проектов для своей деятельности выбирают именно юридическое лицо? Во-первых, приведенные расчеты налоговой нагрузки верны при условии, что ИП не выплачивает кому-либо зарплату. Наличие работников у ИП сразу стирает существенную разницу между налоговыми расходами юридического лица и ИП. Дополнительно, ИП отвечает перед работниками всем своим личным имуществом, а ООО или АО – как правило, своим имуществом, а не имуществом учредителей. В случае убытков ИП должен будет финансировать расходы из собственных средств
даже при отсутствии доходов от бизнеса. Соответственно, ИП имеет смысл регистрировать, если стартап может обойтись без привлечения работников, силами фрилансеров и аутсорсеров, привлекаемых на конкретные работы по гражданско-правовому договору. Примером таких стартапов являются сайты по аренде и покупке недвижимости, сообщества по интересам и т.п., которые монетизируются путем продажи рекламы, комиссионных от продажи товаров или услуг через сайт. Действуя в интересах ИП при заключении договоров
нужно
обращать
внимание
на
ограничение
размера
ответственности, т.к. по умолчанию он равен всему имуществу ИП, включая личную машину, недвижимость и т.д. В каком случае целесообразно регистрировать АО? Эта форма ведения бизнеса привлекательна возможностью привлечения инвестиций путем продажи акций компании на фондовом рынке, что позволяет привлечь значительное число инвесторов и, в ряде случаев, сохранить контроль над управлением компанией. Выпуск ценных бумаг, в т.ч. акций подлежит отдельной государственной регистрации. Порядок определен
государственной Федеральным
государственной
регистрации
законом
регистрации
от
юридических 08.08.2001
юридических
лиц
и
N
лиц
и
ИП
129-ФЗ
"О
индивидуальных
предпринимателей" (далее - Закон N 129-ФЗ). Регистрацию выполняет Федеральная налоговая служба Российской Федерации в соответствии с Административным регламентом, утвержденным Приказом Минфина России от 22.06.2012 N 87н "Об утверждении Административного регламента предоставления Федеральной налоговой службой государственной услуги по государственной регистрации юридических лиц, физических лиц в качестве индивидуальных предпринимателей и крестьянских (фермерских) хозяйств". Удобным бесплатным сервисом для регистрации ООО или ИП, по моему мнению, является Интернет-бухгалтерия http://www.moedelo.org. Данный 11
ресурс позволяет быстро сформировать необходимый пакет документов (на сайте написано, за 15 минут :) Удобно также и то, что в дальнейшем можно будет вести бухгалтерию онлайн с этого же аккаунта, что также в духе стартапа.
3. Договорные отношения в стартапе 3.1. Общий порядок оформления договоров
Письменная
фиксация
важных
договоренностей
как
элемент
планирования действий сторон сама по себе снижает риски возникновения спорных ситуаций в будущем. Если спор все же возник, разрешить его будет проще на основе грамотно составленного договора с максимально четкими и прозрачными
положениями,
проверенными
на
соответствие
законодательству. Конечно, проще и правильней всего делегировать работу по подготовке и проверке договора юристу и менеджеру. Вместе с тем, на практике возникает ряд ситуаций, когда предпринимателю нужно быстро самостоятельно оценить договор и принять решение о его заключении. Здесь может пригодится знание основных моментов при заключении договоров, изложенных ниже. При правильном управлении юридическими рисками в организации предполагается, что до заключения договора, неисполнение которого может привести к серьезным финансовым последствиям, проводится проверка контрагента. Это касается как договоров, предполагающих крупные платежи или передачу ценного имущества, так и договоров, обеспечивающих существенные
функции
бизнеса
(напр.,
договор
аренды
офиса,
бухгалтерского обслуживания и т.д.). Минимально такая проверка включает в себя поиск сведений о компании в базах данных и Интернете. Даже если контрагент вам известен, многие юридические и финансовые проблемы не возникают после сбора сведений о существующем положении дел и корректировке или не заключении договора. Кроме того, при заключении договора с известным контрагентом возможны ситуации, когда надежность контрагента понизилась из-за смены руководства или владельцев компании, 13
решений судов против контрагента, рейдерского захвата и т.д. В общем случае, если вы видите, что компания зарегистрирована менее трех лет назад, у нее нет сайта и репутации на рынке, в договоре либо счете нет номера телефона в офисе и фактического адреса офиса или номер совпадает с другой организацией – почти всегда это косвенные сигналы для более детальной проверки контрагента. Проверку контрагента обычно проводит юрист или специалист по экономической безопасности, но базовую проверку вполне можно провести своими силами запросив сведения в базах данных, указанных в таблице 2. Таблица 2. Основные базы данных для проверки контрагентов Краткое наименование Реестр недобросовестных
Адрес ресурса http://rnp.fas.gov.ru/
поставщиков (в сфере госзаказа) Реестр юридических лиц (ЕГРЮЛ) Дела в арбитражном суде Банкроты Банк исполнительных производств
http://egrul.nalog.ru/ http://kad.arbitr.ru/ http://bankrot.fedresurs.ru/ http://www.fssprus.ru/iss/ip/
(задолженности по исп. листам) Паспорта и разрешения на работу Проверка нотариальных документов
http://services.fms.gov.ru/ http://kartoteka.ru/notariatcheck
Договор в письменной форме может быть заключен путем составления одного документа, подписанного сторонами, а также путем обмена документами посредством почтовой, телеграфной, телетайпной, телефонной, электронной или иной связи, позволяющей достоверно установить, что документ исходит от стороны по договору. Также договор может быть заключен путем совершения одной из сторон действий, которые указаны другой стороной в качестве условия заключения договора (конклюдентных действий). К примеру, может быть направлена типовая форма договора с
указанием, что договор будет считаться заключенным после оплаты предусмотренной документов,
им
они
суммы.
должны
В
быть
случае
использования
подписаны
электронных
электронной
подписью,
подробнее об этом будет написано в следующем пункте. Для ускорения оформления и согласования договоров рекомендуется разработать типовые формы часто используемых договоров. К примеру для компании – разработчика программного обеспечения часто используемые договоры это лицензионные соглашения с конечным пользователем, с дистрибьютором, договор на разработку отдельных модулей программного обеспечения (для аусторсеров или сторонних разработчиков), договор на разработку программного обеспечения (исполнитель – сама компания), трудовой договор. В типовых формах желательно выделить цветом поля, которые можно менять и заблокировать изменение остального текста. Для типовых широко распространенных договоров возможно, вам покажется удобным онлайновый конструктор договоров - http://www.quickdoc.ru/. На какие основные моменты следует обратить внимание при заключении договора? 1. Договор начинает действовать с даты, в которую его подписал второй контрагент, если другая дата начала действия не указана в договоре. подписания
Соответственно договора.
рекомендуется Действие
проставлять
договора
может
дату быть
распространено на период до его подписания, поэтому не имеет смысла подписывать договоры «задним числом». 2. Предмет
договора
должен
быть
максимально
четко
сформулирован. В частности, для договора оказания услуг должен быть указан перечень услуг, объем услуг, место оказания услуг (при необходимости). В случае отсутствия перечня или объема услуг есть риск признания договора незаключенным, а следовательно, 15
возврата сторонам всего полученного по договору, в частности аванса. При этом вернуть уже оказанные заказчику услуги часто фактически невозможно. 3. В договоре должна быть указана ответственность за просрочку исполнения или неисполнение обязательства контрагентом. Если ответственность не предусмотрена, то по умолчанию можно взыскать с контрагента убытки в полном объеме, а в случае задержки
платежа
–
сумму
компенсации
за
незаконное
пользование чужими денежными средствами. Под убытками понимаются расходы, которые лицо, чье право нарушено, произвело или должно будет произвести для восстановления нарушенного права, утрата или повреждение его имущества (реальный ущерб), а также неполученные доходы, которые это лицо получило бы при обычных условиях гражданского оборота, если бы его право не было нарушено (упущенная выгода). Соответственно, рекомендуется устанавливать в договоре ограничение размера убытков, к примеру, суммой договора, особенно если вы выступаете в качестве ИП. Риск значительного ущерба от неисполнения может быть сокращен за счет поручительства, банковской гарантии, страхования рисов. 4. Договор
должен
быть
подписан
генеральным
директором
(директором) или иным лицом, действующим на основании доверенности. Проставление печати не является юридически обязательным, но соответствует сложившимся обычаям делового оборота. Рекомендуется получить копию доверенности, заверенную печатью и подписью генерального директора (директора) с указанием даты. Данное действие снижает риск того, что на момент подписания договора доверенность будет отозвана и прекратит свое
действие. 5. Представитель по доверенности не может заключать договоры в отношении себя лично (п. 3 ст. 182 ГК РФ). Вместе с тем, действительны сделки, когда представитель действует на основе устава от имени юридического лица (напр., предоставление займа от директора возглавляемой им компании). 6. В случае отчуждения имущества необходимо проверить, является ли договор или несколько взаимосвязанных договоров крупной сделкой. Крупные сделки требуют одобрения со стороны собрания участников ООО или собранием директоров (наблюдательным советом) или общим собранием акционеров АО. Крупной сделкой является сделка (в том числе заем, кредит, залог, поручительство) или
несколько
взаимосвязанных
сделок,
связанных
с
приобретением, отчуждением или возможностью отчуждения обществом прямо либо косвенно имущества, стоимость которого составляет двадцать пять и более процентов балансовой стоимости активов для АО или двадцати процентов балансовой стоимости имущества бухгалтерской
ООО,
определенной
отчетности
за
на
основании
данных
отчетный
период,
последний
предшествующий дню принятия решения о совершении таких сделок, если уставом АО или ООО не предусмотрен более высокий размер крупной сделки. Некоторые договоры не подпадают под понятие крупной сделки, поэтому для уточнения этого вопроса лучше проконсультироваться со специалистом. С учетом российских реалий при оформлении многостраничного договора рекомендуется, чтобы на каждой странице договора проставлялись внизу подписи сторон для затруднения подделки отдельных страниц. 17
Общие рекомендации по составлению документации по российскому праву и примеры различных документов можно найти по адресу: http://www.doc-style.ru
3.2. Заключение договоров в электронной форме
Сделки в Интернете и других информационных системах не имеют никаких других особенностей с юридической точки зрения, кроме той, что заключаются с использованием электронных средств телекоммуникаций. Иными словами, решающую роль здесь играет юридическая сила электронных документов, которыми обмениваются стороны. Хотя в России для
большинства
сравнительно
электронные
недавно,
документы
первые
стали
системы
повседневностью
юридически
значимого
электронного документооборота появились достаточно давно. Одна из первых таких систем, SWIFT (Society for World Wide Interbank Financial Telecommunications - Всемирное общество Межбанковских Финансовых Телекоммуникаций) функционирует с 1970-х годов. Законодательство России содержит норму о том, что использование при совершении
сделок
собственноручной
электронной
подписи
подписи
допускается
в
либо случаях
иного и
в
аналога порядке,
предусмотренных законом, иными правовыми актами или соглашением сторон (п. 2 ст. 160 Гражданского кодекса Российской Федерации, далее – ГК РФ). Договор в письменной форме может быть заключен путем составления одного документа, подписанного сторонами, а также путем обмена документами посредством почтовой, телеграфной, телетайпной, телефонной, электронной или иной связи, позволяющей достоверно установить, что документ исходит от стороны по договору (п. 2 ст. 434 ГК РФ). В целях заключения
гражданско-правовых
договоров
или
оформления
иных
правоотношений,
в
которых
участвуют
лица,
обменивающиеся
электронными сообщениями, обмен электронными сообщениями, каждое из которых
подписано
собственноручной
электронной
подписи
подписью
отправителя
или
иным
рассматривается
аналогом как
обмен
документами (п. 4 ст. 11 Федерального закона от 27.07.2006 N 149-ФЗ (ред. от 02.07.2013) "Об информации, информационных технологиях и о защите информации"). Таким образом, законодательство России договоров
путем
обмена
электронными
связывает заключение
документами
с
наличием
электронной подписи на документах. Простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом (п. 2 ст. 5 Федеральный закон от 06.04.2011 N 63-ФЗ (ред. от 02.07.2013) "Об электронной подписи"). Соответственно, применение логина и пароля, отправка смс с кодом с мобильного телефона, переход по ссылке могут рассматриваться как электронная подпись при соблюдении правил, установленных в законодательстве и соглашении сторон (правилах использования сервиса, регламенте системы, лицензии и т.д.). В таких соглашениях должны указываться, как минимум, два основных положения: 1) правила определения лица, подписывающего электронный документ, по его простой электронной подписи; 2) обязанность лица, создающего и (или) использующего ключ простой электронной подписи, соблюдать его конфиденциальность. Следует отметить, что простая электронная подпись подтверждает, что определенное лицо подписало документ, но не позволяет установить, внесены ли изменения в документ после его подписания. Соответственно, данный вид подписи особенно удобен и целесообразен в случае, когда речь 19
идет о присоединении к публичной оферте, т.е. принятии условий соглашения, к которому может присоединиться любое лицо на общих условиях, напр., размещенного на сайте или отпечатанного на рекламных материалах предложения, указанного в веб-форме заказа. Следует отметить, что текст публичной оферты в электронном виде должен быть подписан квалифицированной электронной подписью, выданной аккредитованным удостоверяющим центром. Перечень аккредитованных удостоверяющих центров публикуется на сайте Минкомсвязи России (http://minsvyaz.ru). В случае, если стороны подписывают договор в виде электронного документа и направляют его другой стороне, каждая из сторон должна подписать документ квалифицированной электронной подписью. Конечно, соглашением между участниками информационной системы может быть предусмотрено использование простой электронной подписи при обмене документами, но данный вариант повышает риски несанкционированного изменения электронных документов после их отправки.
3.3. Соглашение о конфиденциальности (NDA)
Соглашение
о
конфиденциальности
определяет,
какая
информация,
передаваемая участниками соглашения, будет считаться конфиденциальной и
определяет
ответственность
за
нарушение
конфиденциальности
сторонами. Как правило, указание на то, что нарушившая соглашение сторона возмещает другой стороне убытки затрудняет применение ответственности,
т.к.
размер
убытков
от
разглашения
какой-либо
информации часто бывает сложно доказать. Установление дополнительной ответственности
в
виде
штрафа
является
более
применимым,
но
традиционно редко реализуется на практике. 3.4. Предварительное соглашение (Term Sheet)
Предварительное соглашение - это соглашение о намерениях, в котором
зафиксированы
обязательства
сторон
по
заключению
договоров,
соответствующих по основным положениям предварительному соглашению. Обсуждение предварительного соглашения – слишком широкая тема и в рамках этой публикации не представляется возможным охватить весь спектр связанных с ней вопросов. В качестве руководства для самостоятельного изучения
этой
темы
на
русском
языке
можно
порекомендовать
замечательную книгу «Привлечение инвестиций в стартап. Как договорится с инвестором об условиях финансирования» / Брэд Фелд, Джейсон Мендельсон. М.: Манн, Иванов и Фербер, 2013 г.
Образцы основных документов стартапа, в т.ч. инвестиционного, лицензионного, трудового договора, соглашения о конфиденциальности и другие документы по российскому праву см.: http://startupafisha.ru/pravo/ Примеры и рекомендации заполнения документов по праву США можно найти по адресу: http://www.askthevc.com (раздел Resources).
4. Нарушаете ли Вы закон о персональных данных? 4.1. Понятие персональных данных
В российском законодательстве содержится достаточно широкая формулировка персональных данных как любой информации, относящейся к прямо или косвенно определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", далее – Закон о персональных данных). Примером персональных данных является фамилия, имя, отчество, дата и место рождения гражданина, почтовый адрес, данные паспорта, ИНН, медицинские данные, сведения о доходах, имуществе и иные сведения, позволяющие идентифицировать физическое лицо. Любые действия с персональными данными – прием, 21
хранение,
обработка
и
т.д.
требуют
соблюдения
ряда
условий,
установленных законом о персональных данных. Перед любыми действиями с персональными данными должны быть определены цели этих действий, т.е. необходимо закрепить в положении о сервисе с какой целью будут собираться персональные данные, а также определен объем данных, достаточных для указанных целей. Хранение персональных данных также должно осуществляться не дольше, чем этого требуют цели обработки персональных данных (ст. 5 Закона о персональных данных). Обработка персональных данных допускается в следующих случаях: 1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; 2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей; 3) обработка персональных данных необходима для осуществления правосудия,
исполнения
должностного
лица,
законодательством
судебного
акта,
подлежащих
акта
исполнению
Российской
Федерации
другого в об
органа
соответствии
или с
исполнительном
производстве; 4) обработка персональных данных необходима для исполнения полномочий
федеральных
государственных
органов
внебюджетных
исполнительной
фондов,
власти,
исполнительных
органов органов
государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ "Об организации предоставления
государственных
и
муниципальных
услуг",
включая
регистрацию
субъекта
персональных
данных
на
едином
портале
государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг; 5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому
субъект
персональных
данных
будет
являться
выгодоприобретателем или поручителем; 6) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных,
если
получение
согласия
субъекта
персональных
данных
невозможно; 7) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных; 8) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных; 9) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей продвижения товаров или услуг, политической агитации, при условии обязательного обезличивания персональных данных, т.е. удаления взаимосвязи между определенным лицом и его данными (фамилий, точных почтовых адресов, номеров мобильных телефонов и т.д.); 23
10)
осуществляется
неограниченного
круга
обработка лиц
к
персональных
которым
данных,
предоставлен
доступ
субъектом
персональных данных либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных); 11) осуществляется обработка персональных данных, подлежащих опубликованию
или
обязательному
раскрытию
в
соответствии
с
федеральным законом. Таким образом, для соблюдения закона о персональных данных можно либо получать согласие субъекта персональных данных (пользователя) способом, позволяющим потом подтвердить наличие этого согласие (напр., путем отправки сообщения, подписанного квалифицированной электронной подписью) либо заключить договор с пользователем, в рамках которого будут использоваться персональные данные. В зарубежной практике широко используется такой способ подтверждения согласия пользователя сервиса с его условиями как символический платеж. Суть заключается в том, что факт согласия пользователя с условиями договора подтверждается безналичной оплатой минимальной суммы с банковской карты на счет оператора сервиса. Таким образом, сразу решается вопрос идентификации пользователя и получения его платежных реквизитов, подтверждения его согласия с условиями оказания услуг, выполнения работ или продажи товаров. В случае обработки персональных данных для статистических или исследовательских целей (напр., маркетинговых) необходимо обезличивание персональных Помимо требований обрабатывать персональные данные с заранее установленной целью, не хранить их дольше необходимого и соблюдать конфиденциальность существуют требования к информационным системам, обрабатывающим персональные данные. Законом о персональных данных рекомендуются следующие меры по
защите персональных данных: 1)
назначение
оператором,
являющимся
юридическим
лицом,
ответственного за организацию обработки персональных данных; 2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений; 3) применение мер по обеспечению безопасности персональных данных, предусмотренных ст. 19 Закона о персональных данных; 4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Закону о персональных данных и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора; 5)
оценка
вреда,
который
может
быть
причинен
субъектам
персональных данных в случае нарушения Закона о персональных данных, соотношение
указанного
вреда
и
принимаемых
оператором
мер,
направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Законом о персональных данных; 6)
ознакомление
осуществляющих
работников
обработку
оператора,
персональных
данных,
непосредственно с
положениями
законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников. 25
Закон о персональных данных обязывает публиковать в открытом доступе документы, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных
данных, а также
локальных
актов,
устанавливающих
процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
4.2. Требования к информационным системам, обрабатывающим персональные данные
Постановлением Правительства РФ от 01.11.2012 N 1119 утверждены требования
к
защите
персональных
данных
при
их
обработке
в
информационных системах персональных данных. Следует отметить, что соблюдение указанных требований к защите персональных данных не зависит от цели их сбора и наличия или отсутствия согласия лица на их обработку, эти требования нельзя изменить каким-либо соглашением или внутренним
документом.
Обработка
персональных
данных
в
информационной системе предполагает применение сертифицированного программного обеспечения. Приказом ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания
организационных
и
технических
мер
по
обеспечению
безопасности персональных данных при их обработке в информационных системах персональных данных" установлено, что в состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят:
идентификация и аутентификация субъектов доступа и объектов доступа; управление доступом субъектов доступа к объектам доступа; ограничение программной среды; защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее - машинные носители персональных данных); регистрация событий безопасности; антивирусная защита; обнаружение (предотвращение) вторжений; контроль (анализ) защищенности персональных данных; обеспечение целостности информационной системы и персональных данных; обеспечение доступности персональных данных; защита среды виртуализации; защита технических средств; защита информационной системы, ее средств, систем связи и передачи данных; выявление инцидентов (одного события или группы событий), которые могут
привести
к
сбоям
или
нарушению
функционирования
информационной системы и (или) к возникновению угроз безопасности персональных данных (далее - инциденты), и реагирование на них; управление конфигурацией информационной системы и системы защиты персональных данных. Кратко отвечая на вопрос, который содержится в названии этой главы, перечислим все условия, которые нужны для соблюдения законности при обработке персональных данных: 1. Наличие
согласия
пользователя,
факта
заключения
по
его 27
инициативе договора или исполнения договора либо иного основания для обработки персональных данных (см. раздел 4.1.). 2. Публикация в общем доступе политики и других документов оператора по обработке персональных данных и процедурам защиты персональных данных. 3. Сбор
персональных
данных
для
заранее
определенной
в
документах оператора законной цели, а также хранение данных не дольше, чем это необходимо для достижения указанной цели. 4. Организационные меры в соотв. с Приказом ФСТЭК России от 18.02.2013 N 21: - защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее - машинные носители персональных данных); - контроль (анализ) защищенности персональных данных; - защита информационной системы, ее средств, систем связи и передачи данных; - выявление инцидентов (одного события или группы событий), которые могут
привести
к
сбоям
или
нарушению
функционирования
информационной системы и (или) к возникновению угроз безопасности персональных данных (далее - инциденты), и реагирование на них. 5. Применение сертифицированного программного обеспечения, в т.ч. антивируса, фаервола, систем управления доступом и другого в соотв. с Приказом ФСТЭК России от 18.02.2013 N 21.
Вместо послесловия
Петровский Станислав Витальевич кандидат юридических наук, корпоративный юрист Компании «Объединенная Энергия»
Петровский С.В. принимал участие в юридическом сопровождении проектов Национальной компьютерной корпорации, Национальной ассоциации участников электронной торговли, сервиса moneta.ru и др. Автор 4 книг и более 30 статей по правовым проблемам информационных технологий и защиты интеллектуальной собственности, консультант по правовым вопросам ИТ-проектов. Задать вопросы по теме публикации можно по адресу: petrovsky-sv@mail.ru
29