Где именно юристы пересекаются с ИТ? Ответ здесь может быть долгим. Тимлиды регулярно принимают решения о выборе технологий и инструментов, менеджеры управляют ИТ-проектами с учетом сроков и бюджета, разработчики пилят полезные сервисы и фичи. Каждый из них сталкивается с правовыми аспектами своей работы: от проверки лицензий open source компонентов до простого (иногда в кавычках) оформления договора с подрядчиком.
Часто коммуникация юристов и ИТ-спецов напоминает диалог двух разных миров: технический жаргон встречается с правовыми терминами; планы по запуску прорывных решений — с рядом законодательных ограничений.
Исправить ситуацию (читай: упростить жизнь обеим сторонам) вполне в силах каждого из нас. Во-первых, важно точно знать, когда к юристу стоит сходить (и всегда делать это вовремя), а во-вторых — учитывать несколько несложных принципов взаимодействия с ним.
Оба этих аспекта раскрываем под катом, в формате памятки.
Привет, Хабр! Меня зовут Юлия, я Head of Legal компании Сравни. Роль юриста в ИТ-процессах сегодня сложно переоценить: о правовых проблемах компаний, которые неаккуратно использовали open source или не уделили должного внимания лицензиям платного ПО, мы слышим регулярно. При этом, по моим наблюдениям, часто у коллег возникают вопросы: а точно ли в этой конкретной ситуации надо идти к юристу? И если да, то как лучше сформулировать задачу и в целом взаимодействовать с этим специалистом?
На подобные вопросы я постаралась ответить в небольшой памятке: надеюсь, пригодится не только тимлидам и проджектам, но также разработчикам и другим представителям технических команд.
Начну с описания распространенных корпоративных сценариев, когда правовые риски могут быть особенно выражены, и консультация юриста определённо будет не лишней. А во второй половине статьи расскажу о том, как успешно с ним коммуницировать.
В каких случаях точно стоит озадачить юриста?
Использование ПО с открытым исходным кодом. Даже опытный разработчик может легко запутаться в нюансах копилефта, ограничениях на коммерческое использование, обязательствах по раскрытию исходного кода. И уж тем более в вопросах совместимости разных лицензий при использовании нескольких open source библиотек в одном проекте.
Различных типов лицензий больше 80, вы точно не захотите разбираться с этим сами — а сделать это нужно, чтобы не потерять деньги компании и не лишиться прав на написанный вами код.
Чем тут будет полезен ИТ-юрист? Он проанализирует используемые лицензии, определит потенциальные риски нарушения авторских прав и поможет составить соответствующую документацию, исключающую юридические проблемы в будущем. Плюс поможет понять, нужно ли модифицировать лицензионные соглашения, и как правильно указать на использование open-source компонентов в собственном продукте.
Проверка лицензии на проприетарное ПО до его покупки. Иногда в лицензионном договоре обнаруживаются ограничения, которые делают покупку ПО бессмысленным или слишком рискованным. Лучше узнать об этом до того, как заключен договор и потрачены деньги.
Юрист не только просмотрит лицензионное соглашение, но и оценит его соответствие законодательству, выявит скрытые ограничения, которые могут оказаться критичными для бизнеса. Например, лицензия может включать ограничения на количество пользователей, географическое расположение, или даже на тип деятельности, в которой можно использовать ПО.
Важно уделить внимание пунктам о ответственности продавца, гарантиях, способам разрешения споров. Юрист может также проверить правомочность продавца на распространение данного ПО и наличие необходимых сертификатов.
Например, компании с офисами в нескольких странах нужна система внутреннего документооборота. Компания покупает лицензию на систему, но после покупки выясняется, что использование ПО разрешено только на территории РФ, то есть пользоваться ей может только российский офис, а все остальные — нет. Деньги потрачены зря, задача не выполнена.
Оформление прав на разработанное ПО, внесение его во всевозможные реестры. Программный код — это объект интеллектуальной собственности, защитить его от кражи и неправомерного использования проще всего путем регистрации в Роспатенте. Но эта процедура не ограничивается лишь подачей заявки. Необходимо тщательно подготовить всю необходимую документацию, включая подробное описание функциональности программы, архитектуры, алгоритмов и оригинального кода. Любая неточность или неполнота информации может стать причиной затягивания процесса или даже отказа в регистрации.
А различные реестры вроде Реестра российского ПО могут дать интересные плюшки компании (от госсубсидий и преференций в тендерах до репутационных преимуществ). Это в первую очередь в интересах компании, так как речь о её нематериальном активе, но и разработчику полезно иметь в портфолио и резюме ПО, внесенное в реестр.
Расходы. Если нужно купить ПО или оборудование, билет на мероприятие или печеньки к кофе, не обойтись без договора. Грамотно составленный договор сильно повышает вероятность, что вы получите именно то, что вам нужно в нужные сроки. А если что-то все же пойдет не так, будет не сложно вернуть деньги или получить компенсацию.
Скажем, ИТ-команда из 20 человек отправляется на профильную конференцию в качестве слушателей. Договор с организатором должен как минимум четко оговаривать условия возврата средств в случае отмены мероприятия или невозможности участия — ИТ-юрист помогает с проверкой и уточнением подобных моментов.
Разработка нового продукта. Разные отрасли законодательства содержат массу требований и ограничений: от требований к пользовательским интерфейсам и размещенной в них информации, до правил по разграничению баз данных и обеспечению безопасности каналов инфообмена. Поэтому юристу обязательно надо знать, что вы делаете, как делаете и зачем, чтобы потом не пришлось переделывать.
Больше всего таких требований, конечно, в финансовой сфере. Так, кредитные и некредитные финансовые организации обязаны соблюдать стандарт Банка России по безопасной разработке и ГОСТ Р 57580.4-2022 «Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер». Это даже звучит неприятно)
В ходе разработки продукта юрист помогает:
Провести правовой анализ архитектуры (в том числе на этапе её проектирования), функциональности и интерфейса
Разработать политику конфиденциальности и пользовательское соглашение, а также механизмы получения согласий пользователей
Обеспечить соответствие требованиям законодательства о персональных данных
Подготовить документацию для сертификации и регистрации ПО
Сформировать политику безопасности и резервного копирования
Важно, чтобы юридическая экспертиза проводилась на ранних этапах разработки, когда внесение изменений требует минимальных затрат. Это позволяет избежать дорогостоящих переделок и проблем с запуском продукта на рынок.Работа с персональными данными. Персданные — священная корова нашего законодательства: требований, ограничений и запретов тут больше, чем где бы то ни было. А ещё совсем скоро в силу вступит закон об оборотных штрафах за утечку персданных, так что лучше перебдеть.
Например, при определении архитектуры баз данных нужно учесть, что запрещено объединение баз, если цели обработки содержащихся в них данных несовместимы. Четких критериев совместимости нет, и тут пригодится юрист, который поможет определить, какие данные можно хранить вместе, а какие — нет.
Споры. Разногласия с поставщиком, претензии о неправомерном использовании интеллектуальной собственности, нарушение условий договора, проблемный сотрудник. Чем раньше об этом узнает юрист, тем быстрее и дешевле будет решен вопрос.
Конфликт интересов. У разных компаний разные правила и политики по конфликту интересов. Если вы решили монетизировать свой пет-проект, давать платные консультации, организовать свою школу программирования или любым другим способом заработать на стороне, уточните сначала у юриста, нет ли в компании на это запрета: незнание закона не освобождает от ответственности!
Как правило компании разрешают заниматься образовательной и волонтерской деятельность, но сильно против того, чтобы их сотрудники работали где-то еще. Кто-то запрещает любую оплачиваемую работу вне компании, кто-то только работу по тому же профилю. В любом случае лучше перестраховаться и уточнить.
Международная деятельность. Если компания работает на международном рынке, ведет бизнес в разных юрисдикциях или сотрудничает с иностранными партнерами, необходимо учитывать различия в законодательстве разных стран. Особое внимание уделяется соответствию требованиям различных регуляторов: например, GDPR в Европе, CCPA в Калифорнии, законы о персональных данных в России.
Как коммуницировать с ИТ-юристом?
Если вам нужна консультация юриста, имеет смысл к ней немного подготовиться:
Собрать максимум доступной информации, чтобы дать юристу полные вводные
Сформулировать, какого результата хотите достичь
Подумать, какие технические ограничения могут быть
Информации много не бывает, чем её больше и чем она полнее, тем правильней будет рекомендация юриста.Пример: вы приходите к юристу с вопросом, можно ли использовать определённое open source решение при создании внутренней системы администрирования баз данных. Юрист видит, что у этого решения лицензия типа copy left и даёт добро.
Или вы приходите с тем же вопросом, но также сообщаете: после обкатки системы внутри, есть планы по её продаже другим компаниям. Тогда ответ будет совершенно противоположным.
Разговаривая с юристом, помните, что он не технарь: многие вещи, которые очевидны для вас, совершенно не очевидны для него.
Пример: в среднем ИТ юрист понимает, как организованы базовые процессы, за что отвечает тот или иной сервис, какие законодательные требования есть к сервисам, инфообмену, хранению данных. Но этого недостаточно, чтобы говорить с ним как с техническим спецом.
И наоборот — хороший юрист никогда не будет грузить вас специфическими терминами и рассуждениями о том, какую позицию по этому вопросу занял Верховный Суд РФ в две тысячи мохнатом году. Если он увлекся и его понесло — смело тормозите, адекватный юрист скажет вам спасибо.
Юрист не всегда (почти никогда) может решить ваш вопрос сразу. Зачастую нужно изучить объемную документацию, подготовить договор, проанализировать рыночную и судебную практику. Не откладывайте до дедлайна, приходите заранее, так вам обоим будет комфортнее прийти к нужному результату.
Пример: в зависимости от масштабов задачи её решение может занимать от пары часов до пары месяцев. Лицензионный договор можно изучить и скорректировать часа за три, а на подготовку документов для внесения ПО в Единый реестр российских программ для ЭВМ и баз данных может потребоваться два месяца и больше.
Если есть проблема, не ждите, пока она дорастёт до катастрофических размеров. Чем раньше вы принесёте ее юристу, тем больше шансов, что удастся её решить без лишних жертв.
Пример: при вёрстке сайта была использована подходящая картинка из интернета, а спустя какое-то время объявился автор или правообладатель и предъявил претензию по поводу использования картинки без его согласия. Если вовремя передать этот вопрос юристу, он урегулирует претензию с минимальными денежными потерями или вообще без них, а если проигнорировать можно дождаться судебного иска на 5 млн. руб. за неправомерное использование чужой интеллектуальной собственности в коммерческих целях.
Уточняйте. Если не до конца что-то поняли или в процессе реализации проекта произошли изменения, просто задайте вопрос: это может предотвратить серьезные проблемы. Если вам кажется, что что-то не так — вам не кажется.
Пример: в целях экономии места на серверах/в облаке инженеры решили отказаться от хранения логов пользователей сервиса, но на всякий случай спросили у юриста. Юрист сначала упал в обморок, а потом очень попросил так не делать; логи продолжают храниться, и всё хорошо. Если бы инженеры не задали юристу вопрос, то через какие-то время всех ждал бы неприятный сюрприз — в отсутствие логов нечем подтвердить, что пользователь зарегистрировался на сервисе и дал согласие на обработку персональных данных. Нет согласия — будет штраф, нет большого количества согласий — будет очень большой штраф.
Говорите юристу спасибо, хотя бы иногда. Юристы очень любят, когда их хвалят и ценят (подозреваю, не только они).
***
Если вы заинтересовались темой: подробнее о работе ИТ-юристов и их взаимодействии с техническими командами недавно я рассказала в подкасте.
А как часто вы пересекаетесь с юристами в рамках ваших задач? По каким именно вопросам? И считаете ли опыт взаимодействия успешным? Будет интересно почитать в комментах!