img17 сентября 2019 в 17:53

Пользовательское соглашение для OTT: лучшие практики

Партнер IP&TMT-практики Morgan Lewis Ксения Андреева рассказала о подводных камнях и способах их обойти при разработке пользовательских соглашений для онлайн-сервисов.

Партнер IP&TMT-практики Morgan Lewis Ксения Андреева рассказала о подводных камнях и способах их обойти при разработке пользовательских соглашений для онлайн-сервисов.

В работе с пользователями существует масса разных нюансов. Универсального подхода предложить, увы, нельзя, но можно обратить внимание на аспекты, которые вызывают затруднения у компаний и интерес у Роскомнадзора и ФАС.

Как заключить пользовательское соглашение?

Способ заключения соглашения кажется самым простым вопросом, но вызывает массу сложностей на практике. На рынке встречается три способа:

• регистрация на сайте с подтверждением по электронной почте или смс;

• галочка на сайте: «Я принимаю условия пользовательского соглашения»;

• всплывающие окна с сообщением: «Продолжая пользоваться сайтом, вы принимаете пользовательское соглашение».

Общепринятыми можно назвать первые два. Третий способ популярен у иностранных коллег, и он подразумевает, что согласие с документом вы выражаете своими действиями на сайте. Ксения Андреева обратила внимание на то, что на данный момент судебной практики по этому вопросу нет. Но риторика немногочисленных судебных решений, касающихся этой темы, достаточно негативная. Поэтому она рекомендует использовать подход, подразумевающий явное волеизъявление пользователя (первый или второй).

К онлайн-сервисам сейчас нет требований по идентификации пользователей по паспортным данным или номеру мобильного телефона, как к мессенджерам. Однако специалист считает, что государство взяло курс на максимальное ограничение анонимности в интернете. Поэтому не исключено, что через какое-то время подобные требования появятся. Чтобы не попасть в неприятную ситуацию, следует следить за развитием мысли в этом направлении.

Пользователя можно определять внутри системы любым числовым идентификатором, парой логин — пароль или по каким-то иным характеристикам. А для упрощения последующего взаимодействия с проверяющими органами в части пользовательских соглашений стоит предусмотреть возможность сохранения некого документа, который подтверждает, что именно этот пользователь в определенную дату принял набор прав и обязанностей в рамках пользовательского соглашения. Реализовать это можно разными способами. Если в качестве способа заключения пользовательского соглашения выбирается третий подход — подтверждение действием, то Ксения Андреева рекомендует хотя бы сохранять журналы пользовательских действий на сайте, чтобы при необходимости показать, как именно он работал с сервисом.

Несовершеннолетние пользователи

Отдельного разговора требуют несовершеннолетние пользователи. Здесь все зависит от возраста. До 6 лет люди не могут быть стороной никаких юридически обязывающих документов. С 6 до 14 лет, согласно анализу доступной практики, лицо может быть стороной договора в мелкой бытовой сделке, и именно так можно трактовать пользовательское соглашение, но об этом надо сделать соответствующее указание в его тексте. С 14 до 18 лет пользователь полностью дееспособен для сделок, но контент для него все еще необходимо ограничивать. Если в сервисе используется некий user generated content (фотографии или видео, которые загружают сами пользователи) и этот контент может трактоваться как 18+, лучше сразу писать в пользовательском соглашении, что сервис предназначен для лиц старше 18 лет. Если сервис таргетирован на более молодую аудиторию, следует уделить внимание тому, чтобы ограничить доступ к неподобающему контенту.

Кстати, маркировать стоит не только контент. Формулировки статьи 14 закона о защите детей неоднозначны, как и разъяснения Роскомнадзора на этот счет, поэтому пока вопрос, нужно ли присваивать возрастную маркировку самому сервису, остается открытым.

Иностранные граждане

Еще одна важная категория пользователей — иностранные граждане, в том случае, когда сервис предоставляется на территории другого государства. Нормы, принятые в российском законодательстве, в частности по вопросам защиты прав потребителей, могут не совпадать с аналогичными требованиями законодательства других стран. Поэтому если сервис таргетирован на другие страны (переведен на другие языки, имеет пользовательское соглашение на этом языке и принимают валюту другой страны), стоит проанализировать, не нарушают ли положения существующего пользовательского соглашения норм этих стран.

Персональные данные

Как отметила Ксения Андреева, буквально каждый месяц ее рабочая группа получает новые интересные мнения Роскомнадзора относительно того, каким образом должна быть организована работа с пользовательскими персональными данными (ПД). Поэтому эту тему также стоит затронуть.

Ключевое требование закона — иметь опубликованную и доступную в любой момент политику обработки персональных данных. Недостаточно просто скопировать принципы из федерального закона на страничку сервиса и назвать это «Политикой обработки персональных данных». Роскомнадзор требует четких указаний, какие данные и для каких целей собираются, кому передаются и в течение какого времени хранятся. Также стоит прописать, какие есть условия для того, чтобы пользователь мог ограничить доступ к этим данным, изменить их или уничтожить.

К слову, даже если компания пользуется услугами посредника, например для приема платежей, но при этом где-то есть статистические данные, позволяющие идентифицировать пользователей, допустим, по номеру карты, то она также является обработчиком персональных данных в части финансовой информации. Таким образом, практически любой платный сервис, каким-то образом идентифицирующий пользователя по некому ID, адресу электронной почты и другой информации, по факту участвует в сборе персональных данных.

Следующее требование закона — регистрация в Роскомнадзоре в качестве оператора персональных данных. В законе есть ряд исключений и многие ими пользуются. Но общая позиция Рос­комнадзора заключается в том, что в 99% случаев регистрация все-таки необходима. Остальным приходится объяснять Роскомнадзору, на основании чего был сделан вывод о допустимости исключения, — это сложная и неприятная процедура.

Еще одно требование — наличие согласия пользователя на обработку персональных данных. Ксения Андреева напомнила, что обработка ПД почти всегда требует согласия, если она не связана непосредственно с исполнением договора, стороной которого является физическое лицо. Но правильно составленное пользовательское соглашение позволяет не иметь отдельного документа с согласием. Правда, для этого в соглашении должно быть очень четко прописано все, что касается персональных данных. Это может быть отдельный одноименный раздел, в котором описывается, какие данные собираются и что с ними происходит — куда они передаются, кто может иметь к ним доступ.

Проблема, неразрывно связанная с обработкой персональных данных, — их передача третьему лицу, особенно в страны, не обеспечивающие адекватной защиты прав субъектов персональных данных, например в США. Такие ситуации требуют письменного согласия пользователя, подписанного собственноручно, а не в электронном виде. Но как отметила Ксения Андреева, до недавнего времени Роскомнадзор демонстрировал невероятную щедрость — принимал в качестве согласия корректно составленные пользовательские соглашения, принятые в электронном виде.

В качестве лучшей практики, помимо всех перечисленных документов, Ксения Андреева также рекомендует иметь внутреннюю систему ответов на запросы пользователей. В последнее время они хорошо знают свои права и часто обращаются в Роскомнадзор с жалобами на утечку данных с сервисов. Получив такую жалобу, проверяющие органы дают очень короткие сроки оператору для разъяснений, какие данные и как использовались. Законом предусмотрено 30 дней, но только если пользователь сам обращается к оператору. Когда обращение идет через регулятора, срок может сократиться до пары дней. Поэтому лучше заранее подготовить систему работы с подобными запросами.

Защита прав потребителей

Число примеров применения закона о защите прав потребителей к интеллектуальным онлайн-сервисам постоянно растет. Однако тренд, заметный с конца 2015 года, показывает, что закон о защите прав потребителей применяется только при наличии возмездного договора использования сервиса.

Основные требования с позиции защиты прав потребителей:

• Обеспечение оплаты при помощи национальных платежных систем и наличных. Это делают далеко не все сервисы, поскольку не все понимают, что это требование применяется автоматически;

• Отсутствие так называемых бандл-прайсингов — нельзя разрешить покупку только всего сериала, а не отдельной его серии. Необходимо дать пользователю возможность покупать любые единицы контента;

• Нельзя ущемлять пользователя, например вписывать в соглашение штрафы за отказ от услуг. Судебная практика выступает против совершенно стандартной ситуации, когда соглашение препятствует отказу пользователя от услуг вначале некого периода, за который он должен заплатить абонентскую плату;

• И нельзя ограничивать ответственность сервиса, например в части его доступности или достоверности. Формулировки вроде «мы не несем ни за что ответственность» не приветствуются. Уже есть практика, хоть и небольшая, когда такого рода ограничения признаются нарушающими права пользователей (пользователь в принципе является слабой стороной в соглашении).

Ксения Андреева рекомендовала всегда указывать, с какой даты действует пользовательское соглашение, когда именно оно изменилось. Если есть возможность связываться с пользователем, например по электронной почте, при изменении соглашения стоит выслать ему информационное сообщение о том, что именно поменялось, или хотя бы сделать всплывающие окна на сайте: «Обращаем ваше внимание на то, что с такого-то числа поменялись положения соглашения». В идеале указать также, какие именно пункты изменились.

Также судебная практика совершенно однозначно говорит о том, что у пользователя должна быть возможность в любой момент бесплатно отказаться от сервиса. Это означает, что не должно быть штрафов за отказ от услуги или удержания суммы за оставшийся период. А если есть потребность сохранить за собой возможность удаления пользовательского аккаунта без объяснения причины, стоит прописать в пользовательском соглашении обширное количество нарушений, на которые можно будет ссылаться, подтверждая, что действия сервиса правомерны.

_________________________

Подписка на рассылку

Подпишитесь на рассылку, чтобы одним из первых быть в курсе новых событий