Так чи інакше війна вплинула майже на кожен український бізнес. Щоб втриматись та подолати кризу, багато підприємців замислилися щодо виходу на нові ринки.

Про що слід подбати фаундерам українських компаній, які планують чи вже розпочали продажі своїх товарів/послуг/продуктів за кордоном, щоб убезпечити себе юридично? Ми у Finmap попросили наших юридичних партнерів Legal Nodes розповісти про особливості співпраці з іноземними клієнтами. І ось, що нам порадив ко-фаундер Legal Nodes Нестор Дубневич.

ЗЕД контракти — це договори із зовнішньоекономічної діяльності, тобто, з про співпрацю з іноземними клієнтами.

Бажано розробити стандартний договір, який включатиме умови щодо постачання товарів/надання послуг/користування сервісами, їх оплати, повернення грошей та розірвання договору.

На це є ряд причин:

• Можливість прийняти кошти на свій рахунок, оскільки ряд банків запитує копії таких договорів, аби підтвердити джерело надходження грошей.
  
• Можливість захистити себе і свої інтереси. Як кажуть, писаного сокирою не вирубаєш — недобросовісному клієнту буде важко виправдати невиконання тих чи інших зобов'язань за контрактом (прострочення платежу, недостатня оплата тощо).
  

ЗЕД щонайменше необхідно передбачити наступні умови:

1️⃣ Предмет договору — що саме за послуга, сервіс, продукт, товар надається.
2️⃣ Ціна такої послуги, товару, сервісу, продукту.
3️⃣ Валюта розрахунку і на чиїй стороні будуть банківські комісії за переказ.
4️⃣ Строк дії договору.
5️⃣ Як саме буде здійснюватись приймання та передача товару/продукту/виконаних робіт/наданих послуг. А також спосіб та строки їх прийняття, процедуру виставлення інвойсів.
6️⃣ Право, яке регулює договір. Краще вказати право України, аби розуміти свої права і легше їх захищати.
7️⃣ Форс-мажорні умови (на їх важливість особливо вказала війна). Тобто, коли сторони звільнятимуться від відповідальності за порушення виконання обов'язків, а також санкції за порушення.

➡️ Санкції можна передбачити як у відносному форматі (певний відсоток від оплат), так і у фіксованому розмірі (наприклад, певна сума за кожний день прострочення платежів).

Разом з тим, у ЗЕД обов'язково мають міститися банківські реквізити отримувача платежу — назва банку, IBAN, sort code (аналог МФО), аби платіж був виконаний правильно і вчасно. Для цього попередньо потрібно відкрити валютний рахунок та знайти всі необхідні реквізити у електронному кабінеті користувача банку.

Укладення договору лише мовою клієнта (тобто, не українською) — розповсюджена помилка українських підприємців. Чому? Перед здійсненням деяких фінансових операцій (тих, які вважаються підозрілими, або які перевищують певні суми), банк може запросити копію договору для перевірки надходження коштів. Саме тому всі договори потрібно готувати двомовними, де одна мова — українська, а інша — мова контрагента.

Оскільки Україна не має угод про визнання електронних підписів інших держав, такі сервіси, як Hellosign та Docusign тощо, використовувати не варто. Для українських судів (якщо справа дійде до суду) ці підписи вважатимуться недійсними.

Тому іноземним клієнтам потрібно або отримувати електронний цифровий підпис в Україні (що не є популярним рішенням), або ж підписати договір фізично на папері. На практиці це виглядає наступним чином: сторони роздруковують останню сторінку договору, підписують її та надсилають одна одній поштою.

Практика підписання не стосується публічних оферт, тобто коли на вашому сайті знаходиться договір з усіма умовами і вони не змінюються залежно від клієнта. Таким чином, іноземний клієнт, замовляючи ваші товар/послугу/продукт, вважається таким, що вже уклав договорів з вами, хоча нічого і не підписував.

Виходячи саме на європейський ринок, український бізнес має подбати про правильну обробку персональних даних європейських користувачів, згідно з Загальним регламентом про захист персональних даних (GDPR).

Це вимагає від бізнесу створення та публікації на сайті політики приватності (Privacy Policy), яка пояснює користувачам, які дані обробляються і кому передаються. Такий документ потрібно надавати для ознайомлення під час реєстрації або іншого способу збору даних. Політика приватності має бути написана простою неюридичною мовою, однак не зовсім загальними словами — потрібна конкретика, що, як і кому.

Privacy Policy зазвичай повинна містити положення, що вказують:
1️⃣ Компанію, що обробляє дані (офіційна назва, адреса, контактна інформація).
2️⃣ Дані, що обробляються (наприклад, імʼя або email).
3️⃣ Цілі обробки (наприклад, надсилати маркетингові імейли).
4️⃣ Підстава для обробки даних (наприклад, добровільна згода на передачу даних або вимога закону щодо обробки певних даних).
5️⃣ Кому дані можуть передаватися (наприклад, підрядникам). У разі передачі даних за межі ЄС, потрібно зазначити країни та впроваджені заходи забезпечення захисту даних.
6️⃣ Скільки часу ці дані зберігаються.
7️⃣ Які права людина має щодо своїх даних (наприклад, право на видалення персональних даних, оскарження дій з використання даних тощо).

➡️ Якщо ви працюєте з ринком Німеччини, потрібно перекласти Privacy Policy на німецьку мову.

У разі використання аналітичних або рекламних cookies на сайті, потрібно розмістити на сайті Cookie Policy та створити кукі баннер, що з'являтиметься при перебуванні користувача на сайті. За допомогою нього потрібно повідомляти про конкретні cookies та брати згоду на їх використання.

Багато компаній наразі пропонують готові сервіси для збору згоди на використання cookies, але далеко не всі відповідають законодавству ЄС. Тому такі сервіси потрібно ретельно перевіряти, у тому числі, звернувшись за консультацією до прайвасі спеціаліста. Правильну імплементацію можна знайти на деяких сайтах. Наприклад, https://iapp.org/ або https://ico.org.uk/.

Також гарним тоном буде додати безпековий блок на вашому сайті. Розкажіть, як саме ви піклуєтеся про дані клієнтів, які заходи вживаєте. Наприклад, співпрацюєте з компаніями щодо data security. Захищаєте дані юридично. Маєте особливу систему доступу до даних тощо. Такий блок не є обов'язковим, але з вашого боку буде додатковою перевагою мати таку сторінку на сайті або ж виділити окреме місце під цю інформацію, наприклад, у розділі «Про компанію».

Практично не існує бізнесу, який би не займався email-маркетингом. За загальним правилом, розсилку можна здійснювати, тільки якщо користувач погодився на це. Тому на практиці при зборі імейлів потрібно вказувати, з якими цілями збираються поштові адреси користувачів та як будуть використовуватися. У тому числі цю згоду можна отримати, створивши чекбокс, на який має клікнути користувач. Важливо пам'ятати, що ця згода не є вічною. Тому необхідно надати користувачу можливість відмовитися від розсилки у будь-який час (e.g.unsubscribe button або спеціальне налаштування профілю).

Навіть неправильно оформлений чекбокс (наприклад, з уже проставленою галочкою) може мати юридичні наслідки. На практиці це або прямі скарги від юзера, або претензії від національних регуляторів окремих європейських країн щодо неправильності збору персональних даних. Не нехтуйте такими дрібницями на сайті.

В цілому, контрагенти з ЄС можуть запитувати про готовність вашого бізнесу до вимог GDPR. Більш вибагливі європейці можуть попросити підписати спеціальний договір про обробку і передачу даних (Data Processing Agreement, DPA). Цей договір має відповідати вимогам GDPR та регулювати обовʼязки компаній, що обмінюються персональними даними свої користувачів або клієнтів.

Договір DPA може надаватися будь-якою стороною угоди. Рекомендується підписувати свій договір, оскільки він зазвичай не такий суворий, як договори, що надсилаються контрагентами, які хочуть максимально захистити свої інтереси. DPA зазвичай має містити:
- предмет і тривалість опрацювання даних;
- специфіку і цілі опрацювання;
- тип персональних даних і категорії суб'єктів даних;
- обов'язки і права сторін.

Оскільки Україна поки не є частиною ЄС, то захист персональних даних тут не такий, як в Європі. Тому на додачу до DPA підписуються Standard Contractual Clauses, які узаконюють передачу персональних даних з ЄС у країну, де рівень захисту не відповідний європейському.

Standard Contractual Clauses — це документ, розроблений Європейською комісією, що встановлює додаткові обовʼязки сторін у разі передачі даних за межі ЄС. Мета договору — забезпечити належний захист даних осіб, чиї дані потрапляють у менш захищені юрисдикції. Наприклад, навіть передача даних з ЄС до США має свої ризики. Така ситуація складається через те, що американські спецслужби можуть легко отримувати дані з інформаційних систем американських бізнесів про користувачів з ЄС. Те саме стосується і ряду інших країн.

Уявіть, ви маєте декілька доменів у різних країнах. При реєстрації на одному домені, користувач може зайти до свого профілю з іншого домену. У розумінні юристів це транскордонна передача даних. І це вимагає, аби у політиці приватності був зазначений конкретний список іноземних партнерів, з якими відбувається передача даних, і які мають право обробляти ці дані. Ну і, власне, підписані договори про формат цієї передачі.

Ще один варіант — використання для розсилки маркетингових повідомлень на пошту користувачів сторонніх сервісів (e.g. Mailchimp з США). Оскільки провайдер з США матиме доступ до електронних пошт користувачів, це буде вважатися транскордонною передачею даних. Ну і матиме відповідні наслідки і вимоги (треба вказувати про це у прайвесі документації, підписувати відповідни SCC).

Інший приклад: IT команда з України на постійній основі залучається для вирішення технічних проблем і у звʼязку з цим має доступ до даних користувачів. У політиці приватності можна вказати імена провайдерів та послуги, що надаються. А можна обмежитися лише категоріями реципієнтів (наприклад, доступ до персональних даних матиме «постачальник хмарних послуг»).

Шаблон Standard Contractual Clauses можна знайти на офіційному сайті Європейської комісії: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en

Перед тим, як підписати, шаблон договору потрібно правильно заповнити. У цьому допоможе кваліфікований юрист у сфері захисту персональних даних.

Якщо компанія з ЄС дуже турбується про захист даних, а співпраця з ними стосується чутливих персональних даних (інформація щодо переконань людини, відомостей про її здоров'я, генетику, місцезнаходження тощо), часто вимагаються додаткові гарантії.

Наприклад, можуть попросити підтвердження того, що український бізнес забезпечує належний технічний та організаційний захист персональних даних та може захистити їх від витоку. Для цього контрагент з ЄС надає security-опитувальники, в яких можуть бути кілька десятків різних запитань щодо внутрішніх заходів безпеки.

Звичайно, у кожного бізнесу має бути своя юридична база, бо завжди є особливості. Але ці загальні рекомендації допоможуть вам підготувати основу та зрозуміти, в якому напрямку рухатись та шукати подальшу інформацію.

Відкривайте нові країни для вашого бізнесу, продовжуйте працювати та масштабуйтесь. Підтримаємо економіку України разом!