نکات حقوقی در قراردادهای SaaS
هر کسبوکار برای پیشبرد فعالیت خود به قراردادهای تجاری متنوعی نیاز دارد و در این میان قراردادهای صنعت نرمافزار از جایگاه ویژهای برخوردار است. امروزه کارآفرینان و صاحبان کسبوکار تلاش میکنند به جای استفاده از نرمافزارها به شیوه سنتی، نرمافزارهای مورد نیاز خود را با انعقاد قراردادهای «نرمافزار به عنوان سرویس» یا قراردادهای SaaS تأمین کرده و از تکنولوژیهای روز استفاده کنند.
در شیوه سنتی، شرکتی که به نرمافزاری نیاز داشته باشد، آن را خریداری کرده و هزینه پیادهسازی و نصب تجهیزات آن را متحمل میشود؛ اما در قراردادهای SaaS شیوه استفاده از نرمافزار متفاوت است. در این شیوه، شرکت متقاضی تنها اشتراک استفاده از نرمافزار را دریافت میکند و نیازی به خرید نرمافزار یا تجهیزات مرتبط و نصب آن نخواهد داشت. در واقع در این قرارداد، میزبانی از نرمافزار بر عهدهی شرکت ارائهدهنده یا تأمینکننده (provider یا supplier) است و مشتری تنها با پرداخت حق اشتراک (subscription)، امکان دسترسی به نرمافزار را از طریق اینترنت به دست میآورد.
مثال ساده چنین نرمافزارهایی را میتوان در سرویسهای ایمیل دید. هیچ یک از ما در کامپیوترهای شخصی خود نرمافزار خاصی را برای دسترسی به ایمیل نصب نکردهایم. بلکه تنها با اتصال به اینترنت، به تمامی ایمیلهای دریافتی و ارسالی دسترسی پیدا میکنیم.
با توجه به اهمیت قراردادهای نرمافزار به عنوان سرویس، در این نوشتار نگاهی به عناصر اساسی و نکات مهم در تنظیم این قراردادها خواهیم داشت. قراردادهای SaaS تعیین میکنند چه خدماتی در قالب SaaS به مشتری عرضه میشود. بنابراین تنظیم صحیح قرارداد و تعیین دقیق شرایط استفاده از نرمافزار، از اختلافهای احتمالی آتی جلوگیری میکند. در این قراردادها مجموعهای از موضوعات قابل مذاکره مطرح میشود از جمله: حقوق مالکیت فکری، محرمانگی دادهها، پردازش دادهها و … که در ادامه مورد اشاره قرار میگیرد.
اموال فکری و حقوق مالکیت فکری
اموال فکری هر گونه دارایی ناملموس است که توسط نویسندگان، هنرمندان و مخترعان ایجاد میشود و شامل اختراعات، آثار ادبی و هنری، لوگوها، علائم، طرحها و تصاویر و … است. در قراردادهای SaaS، اموال فکری معمولا ابداعات مرتبط با نرمافزار و سیستمهای رایانهای را شامل میشود؛ از جمله کد منبع (سورس کد)، کد هدف (آبجکت کد)، طراحی وبسایت، دانش فنی و ابداعات توسعهدهندگان نرمافزار و همچنین برند شرکت نرمافزار.
بنابراین هنگامی که شرکت ارائهدهنده SaaS امکان استفاده از نرمافزار را برای شرکت مشتری فراهم میکند، لازم است در خصوص حقوق مالکیت فکری نرمافزار ارائهشده نیز تعیین تکلیف کند تا ریسکهای احتمالی اعطای مجوز را کاهش دهد.
لازم است در این قراردادها تصریح گردد که حقوق مالکیت فکری نرمافزار، خدمات و سیستمِ ارائهشده در قرارداد، به شرکت ارائهدهنده SaaS تعلق دارد. البته این امر واضح است و اصولاً شرکتی که نرمافزار را تولید کرده، مالک آن نیز هست. اما تصریح آن در قرارداد موجب میشود مشتری نیز به این مالکیت اقرار کند و در صورت نقض مالکیت توسط مشتری، جای هیچگونه توجیه و بهانه باقی نماند. در مقابل، حقوق مالکیت فکری که در دادهها و اطلاعات مشتری موجود است نیز به مشتری تعلق دارد و باید در قرارداد به این موضوع اشاره شود.
همچنین ارائهدهنده باید طی بیانیهای واضح و دقیق، مقرر کند که منحصرا اجازه دسترسی به سرورهای ارائهدهنده را برای مشتری فراهم میکند. به عبارت دیگر، لحن یا زبان قرارداد نباید این موضوع را القا کند که ارائهدهنده، نرمافزار را به مشتری تحویل میدهد؛ زیرا در قراردادهای SaaS نسخه نرمافزار به مشتری تحویل داده نمیشود.
اطلاعات محرمانه
یکی از موضوعاتی که پیش از انعقاد قراردادهای SaaS و همزمان با انعقاد آن به میان میآید، بحث اطلاعات محرمانه است.
پیش از انعقاد قرارداد SaaS
طبیعی است که انعقاد هر قرارداد به یکباره صورت نمیگیرد و پس از مذاکرات و مباحثات متعدد است که طرفین تصمیم به انعقاد قرارداد میگیرند. در طول این مذاکرات نیز اطلاعات محرمانه متعددی میان طرفین مبادله میشود و در صورتی که مذاکرات به نتیجه نرسد و انعقاد قرارداد منتفی گردد، هیچ یک از طرفین الزامی به حفظ اطلاعات طرف دیگر نخواهد داشت. مگر اینکه پیش از مذاکرات، قرارداد عدم افشای اطلاعات non-disclosure agreement (NDA)) منعقد شده باشد و طرفین متعهد شده باشند که اطلاعات محرمانهای که در جریان مذاکرات بین آنها مبادله شده است را افشا نکنند.
بنابرانی پیش از اینکه هر گونه اطلاعاتی به طرف مقابل داده شود، باید قرارداد عدم افشای اطلاعات منعقد گردد. اطلاعاتی نظیر قیمت خدمات و کارکردهای نرمافزار که به مشتری ارائه شدهاند و هر اطلاعات دیگری که ممکن است برای رقبای شما جذاب باشد، محرمانه بوده و لازم است در خصوص آنها تدابیر حفاظتی لازم اعمال گردد. این حساسیت نسبت به مشتری نیز وجود دارد؛ چرا که او نیز احتمالا اطلاعات حساسی را در جریان مذاکرات افشا کرده است. پس قرارداد عدم افشا باید تعهداتی متقابل را شامل شود.
نکته: اگر مذاکرات به نتیجه برسد و قرارداد SaaS منعقد شود و در این قرارداد به عدم افشای اطلاعات اشاره شود، این تعهد به عدم افشا تنها ناظر به اطلاعاتی است که پس از امضای قرارداد SaaS مبادله میشود، نه اطلاعاتِ زمان مذاکرات. بنابراین لازم است در مراحل مختلف، اقدامات مناسب برای حفظ اطلاعات انجام شود.
پیش از اینکه هر گونه اطلاعاتی به طرف مقابل داده شود، باید قرارداد عدم افشای اطلاعات منعقد شود
همزمان با انعقاد قرارداد SaaS
در نتیجه انعقاد قرارداد SaaS، طرفین به اطلاعات تجاری محرمانه یکدیگر دسترسی پیدا میکنند؛ اطلاعاتی از قبیل فهرست مشتریان، اطلاعات مالی و بانکی، حقوق مالکیت فکری و … .
بنابراین در گام اول آنچه در تنظیم این قراردادها اهمیت دارد، تعریف اطلاعات محرمانه و تعیین مصادیق آن است؛ یعنی دقیقا تبیین شود کدام دسته از اطلاعات محرمانه است و کدام دسته نیست. اینکه صرفا بگویید اسنادی که روی آنها کلمه محرمانه درج شده محرمانه هستند، کافی نیست؛ زیرا تمامی اطلاعات محرمانه به صورت اسناد فیزیکی نیستند. از این رو لازم است تعاریف خود را با ملاحظه تمامی انواع اطلاعات ارائه دهید.
گام دوم آن است که تصریح گردد که اطلاعات محرمانه نباید به اشخاص ثالث ارائه شوند، حتی طرفین قرارداد نیز حق ندارند این اطلاعات را برای مقاصدی به جز ایفای تعهدات مندرج در قرارداد SaaS بهکار ببرند.
البته استثنا نیز وجود دارد و تحت شرایط خاصی طرفین میتوانند اطلاعات محرمانه را برای اشخاص ثالث افشا کنند و این افشا مجاز محسوب میشود (مثلا در صورتی که به دستور مقام قضایی افشای اطلاعات الزامی باشد).
همچنین کارمندان و حسابرسان و طرفهای قراردادهای فرعی با هر یک از طرفین ممکن است به اطلاعات محرمانه برای انجام مقاصد قرارداد SaaS نیاز داشته باشند. چنین مواردی از افشای اطلاعات مجاز است، ولیکن باید به همان افراد مشخص محدود شود؛ برای مثال ارائهدهنده خدمات میزبانی برای ارائهدهنده خدمات SaaS که ناگزیر از دسترسی به اطلاعات است.
بازگرداندن یا امحاء دادهها
پس از خاتمه یافتن قرارداد SaaS لازم است دادههای مشتری به او بازگردانده شود. پس شیوه و قالب بازگرداندن دادهها و هزینه چنین اقدامی نیز باید از پیش تعیین گردد. به علاوه، طرفین میتوانند توافق کنند که ارائهدهنده SaaS در ازای مبلغی، دادههای مشتری را به ارائهدهنده جدیدی منتقل کند. حتی میتوان در قرارداد مقرر کرد که پس از خاتمه قرارداد، تمامی اطلاعات محرمانه امحاء شوند.
قرارداد پردازش دادهها (DPA) Dara Processing Agreement
در این قرارداد، تعهدات ارائهدهنده و مشتری در پردازش دادهها تعیین میشود. ارائهدهنده SaaS پردازشگر دادههاست و مشتری SaaS نیز کنترلکننده آنهاست. در اتحادیه اروپا مقررات عمومی حمایت از دادهها ( General Data Protection Regulation) به تصویب رسیده و مقرراتی را در رابطه میان پردازشگر و کنترلکننده وضع کرده است. از جمله اینکه پردازشگر (ارائهدهنده) موظف است پردازش دادهها را بر اساس دستورات کتبی کنترلکننده (مشتری) انجام دهد.
در ایران نیز طرفین میتوانند روابط خود را در قالب قرارداد، قاعدهمند کنند تا از بروز اختلافات احتمالی جلوگیری شود. در این صورت میتوانند ضمن همان قرارداد SaaS برای پردازش دادهها نیز تعیین تکلیف کنند یا اینکه در قالب قراردادی جداگانه (قرارداد پردازش دادهها) به این مهم بپردازند.
توافقنامه سطح خدمت Service Level Agreement (SLA)
این موافقتنامه بخشی از قرارداد SaaS است که به خدمات میزبانی، پشتیبانی و کیفیت و چگونگی آن میپردازد. لازم است در SLA تصریح شود که مرکز داده (دیتا سنتر) در کجا واقع شده است، عملیات آن بر عهده چه کسی است و از منظر امنیت، بکآپ (نسخه پشتیبان) و بازیابی دادهها در حوادث (disaster recovery) چه رویههایی اعمال میشود.
به علاوه، باید ساعات پشتیبانی (support hours) و خدمات پشتیبانی (support services) برای رسیدگی به مشکلات میزبانی و اشکالات نرمافزاری تعیین شوند و رویههای رسیدگی به بهروزرسانی نرمافزار نیز باید مشخص گردند. جزئیات بیشتر در قرارداد سطح خدمت به مبلغ تعیینشده برای میزبانی و پشتیبانی و مقصود مشتری از استفاده از نرمافزار بستگی دارد.