Разбор: SaaS-контракт из Кыргызстана: 9 ключевых пунктов

Что такое SaaS-контракт и почему кыргызская юрисдикция меняет его структуру?

SaaS-контракт (Software as a Service agreement) предоставляет заказчику право использовать программное обеспечение через интернет без передачи исходного кода и без установки на серверы заказчика. По своей природе это смешанный договор: в нём одновременно присутствуют элементы лицензионного соглашения, договора об оказании услуг и договора о конфиденциальности. Кыргызское право не содержит специальной нормы для SaaS, поэтому применяется общее регулирование Гражданского кодекса КР — с его нормами об интеллектуальной собственности, защите данных и обязательствах.

Выбор кыргызской юрисдикции в качестве «домашней» для SaaS-провайдера влечёт два важных следствия. Во-первых, резидентство ПВТ даёт нулевую ставку налога на прибыль и НДС — это меняет структуру контракта в части налоговых оговорок и invoicing. Во-вторых, кыргызское законодательство о персональных данных и о виртуальных активах накладывает требования, которые должны быть отражены в договоре с заказчиком — особенно если сервис обрабатывает персональные данные граждан или интегрирует платёжные модули с криптовалютными агрегаторами.

Именно поэтому шаблонные западные SaaS-соглашения, скопированные из открытых источников, систематически не работают для кыргызских провайдеров. Они не учитывают ни налоговый режим ПВТ, ни требования Закона «Об информации персонального характера», ни специфику трансграничного invoicing через ЕАЭС. Ниже — разбор девяти пунктов, которые необходимо адаптировать.

Пункт 1. Применимое право и юрисдикция: как выбрать оптимальную связку?

Выбор применимого права — первый и наиболее стратегически значимый пункт SaaS-контракта. Кыргызское право разрешает сторонам самостоятельно определять, нормами какой страны регулируется договор. Это означает, что кыргызский провайдер может заключить договор по английскому праву, праву штата Делавэр или по кыргызскому праву — в зависимости от того, кто является заказчиком.

На практике выбор определяется тремя факторами: географией заказчика, стоимостью контракта и тем, где потенциально будет рассматриваться спор. Для заказчиков в ЕС и Великобритании удобно английское право — оно предсказуемо в части ограничения ответственности и SLA. Для заказчиков в СНГ кыргызское право снижает транзакционные издержки, поскольку обе стороны понимают правовую среду. Для крупных сделок с американскими корпорациями стандартом является право штата Нью-Йорк или Калифорния.

Оговорку о юрисдикции (forum selection clause) целесообразно привязывать к выбранному праву. Если применяется кыргызское право — споры в межрайонном суде по экономическим делам или в МТС при ТПП КР. Арбитраж МТС предпочтителен для контрактов с иностранным элементом: решения исполняются в 172 странах по Нью-Йоркской конвенции 1958 года, участником которой является Кыргызстан.

Ошибка, которую допускают кыргызские провайдеры: указывают кыргызское право в договоре, но не прописывают конкретный форум. В результате при споре заказчик подаёт иск в своей юрисдикции, а провайдер вынужден защищаться там, где нет ни представительства, ни понимания местного процессуального права. Минимальная формулировка должна содержать: применимое право + форум + язык разбирательства + порядок уведомлений.

Пункт 2. Предмет договора и объём лицензии: что именно передаётся заказчику?

Предмет SaaS-контракта — не программное обеспечение как таковое, а право его использования через интернет-интерфейс в течение срока действия договора. Это разграничение имеет практические последствия: если заказчик ошибочно полагает, что получает ПО в собственность, а провайдер считает иначе — возникает конфликт при расторжении контракта.

Объём лицензии должен включать четыре параметра: количество пользователей (named users или concurrent users), допустимые способы использования (production, test, development), географические ограничения (если есть экспортный контроль) и ограничения по сублицензированию. Для кыргызских провайдеров, работающих через ПВТ, особенно важен последний параметр: сублицензирование без согласия разработчика может создать риск нарушения авторских прав третьих сторон, что выходит за рамки льготного налогового режима.

Закон «Об авторском праве и смежных правах» и Патентный закон КР регулируют права на программный код. По умолчанию права на ПО принадлежат разработчику, а не заказчику. Это необходимо закрепить явно: «Провайдер сохраняет все права интеллектуальной собственности на ПО. Настоящий договор предоставляет Заказчику неисключительную ограниченную лицензию на использование ПО в соответствии с условиями договора.» Отсутствие этой оговорки порождает споры о праве собственности на доработки, сделанные в ходе кастомизации.

Отдельным подпунктом следует описать порядок обновлений (updates) и новых версий (upgrades): входят ли они в лицензионную плату или тарифицируются отдельно. Большинство заказчиков считают обновления включёнными — пока не получают счёт за переход на новую версию. ПВТ-резидентам при разработке ценовой модели следует учитывать, что выручка от «апгрейда» остаётся в льготном режиме только при условии, что основная деятельность относится к разработке программного обеспечения.

Пункт 3. SLA и компенсации за простой: как зафиксировать уровень услуги?

Service Level Agreement (SLA) — это измеримые обязательства провайдера по доступности сервиса. Стандартный SLA для SaaS содержит три элемента: целевой показатель доступности (uptime), порядок расчёта и компенсацию при нарушении. Без SLA заказчик вправе требовать полного возмещения убытков при любом сбое — в том числе через кыргызский суд или МТС при ТПП КР.

Целевой uptime обычно формулируется как «99,9% в течение любого календарного месяца» (что допускает примерно 44 минуты простоя в месяц) или «99,5%» (около 3,6 часа). Важно явно исключить из расчёта плановые технические работы, форс-мажор и сбои на стороне заказчика или его интернет-провайдера. Без этих исключений любое плановое обслуживание автоматически засчитывается в нарушение SLA.

Компенсация при нарушении SLA фиксируется как кредит (service credit) — процент от ежемесячного платежа. Типичная шкала: при uptime ниже 99,9% — 10% кредита, ниже 99% — 25%, ниже 95% — 50%. Совокупный кредит за месяц, как правило, ограничивается 50% от месячной стоимости. Это не штраф, а механизм компенсации, который признаётся кыргызским правом в рамках договорной неустойки — суд не вправе снижать её ниже установленного уровня, если она не явно несоразмерна.

Для ПВТ-резидентов критически важен пункт о мониторинге: провайдер обязан фиксировать инциденты и предоставлять отчёты. Отсутствие журнала инцидентов делает невозможным доказательство соблюдения SLA при споре. Минимальная инфраструктура — внешний инструмент мониторинга (uptime robot, статусная страница) плюс процедура уведомления заказчика в течение 30 минут после обнаружения инцидента.

Пункт 4. Обработка персональных данных и трансграничная передача

Закон «Об информации персонального характера» обязывает операторов, обрабатывающих данные граждан КР, соблюдать требования к согласию, хранению и трансграничной передаче. Если SaaS-сервис обрабатывает данные пользователей из Кыргызстана — провайдер является оператором персональных данных и несёт соответствующие обязательства. Если заказчик передаёт на обработку данные своих пользователей — возникает модель «оператор — обработчик», при которой провайдер действует исключительно по инструкциям заказчика.

В SaaS-контракт необходимо включить Data Processing Agreement (DPA) — либо как отдельное приложение, либо как раздел. Минимальный DPA содержит: перечень категорий обрабатываемых данных, цели обработки, срок хранения, меры технической защиты, порядок уведомления при утечке (не позднее 72 часов — стандарт GDPR, который де-факто применяется при работе с европейскими заказчиками) и порядок удаления данных при расторжении контракта.

Трансграничная передача данных — отдельная проблема. Серверы ПВТ-резидентов обязаны располагаться в Кыргызстане. Если данные передаются на серверы в другой стране — требуется правовое основание: согласие субъекта или соответствующий международный договор. Для заказчиков из ЕС применяется GDPR: субъекты данных ЕС не могут передаваться в страны без адекватного уровня защиты без дополнительных гарантий (SCCs). Кыргызстан не входит в список «адекватных» юрисдикций по решению Еврокомиссии, поэтому стандартные договорные оговорки (SCCs) — обязательный элемент для работы с европейскими заказчиками.

Агентство по защите персональных данных (DPA КР) начало активную правоприменительную деятельность в 2025 году. Провайдеры без DPA в контракте и без уведомления регулятора об обработке данных рискуют получить предписание об устранении нарушений. ПВТ-резидентство не освобождает от обязанностей оператора персональных данных.

Пункт 5. Интеллектуальная собственность на кастомизацию и производные разработки

Кастомизация — один из главных источников правовых конфликтов в SaaS. Заказчик платит за доработку функционала и нередко считает, что получает права на результат. Провайдер, напротив, включает кастомизацию в основную кодовую базу и намерен использовать её для других клиентов. Без явного пункта о распределении прав суд применит общие нормы кыргызского права, согласно которым права на произведение принадлежат автору (разработчику), а не заказчику — если иное не закреплено договором.

Практических моделей три. Первая — «всё провайдеру»: заказчик получает только право использования результатов кастомизации в рамках сервиса, провайдер сохраняет полные права на код. Это стандарт для большинства SaaS-платформ. Вторая — «work for hire» (произведение, созданное по заказу): права передаются заказчику в полном объёме или на условиях эксклюзивной лицензии. Применяется в сложных корпоративных проектах, где кастомизация критична для бизнеса заказчика. Третья — «совместное владение»: обе стороны получают права на результат кастомизации с правом независимого использования без учёта интересов другой стороны. На практике эта модель порождает конфликты и применяется редко.

Для ПВТ-резидентов передача прав на ПО заказчику меняет налоговую квалификацию: вместо услуги возникает роялти или продажа исключительных прав. Это влияет на применение льготного режима — налоговые последствия следует проанализировать до подписания контракта. По действующему регулированию ПВТ доходы от разработки ПО и IT-услуг освобождены от налога на прибыль и НДС, тогда как доходы от продажи имущественных прав могут квалифицироваться иначе.

Пункт 6. Ограничение ответственности и исключения: защита провайдера

Limitation of liability — ключевая защита провайдера от катастрофических убытков при сбое сервиса. Без этого пункта заказчик вправе требовать полного возмещения прямых и косвенных убытков, включая упущенную выгоду. Для SaaS-платформы с тысячами пользователей совокупный ущерб при серьёзном инциденте теоретически не ограничен. Гражданский кодекс КР позволяет ограничивать договорную ответственность соглашением сторон.

Стандартная структура ограничения содержит два уровня. Первый — исключение косвенных убытков (indirect damages): упущенной выгоды, потери деловой репутации, потери данных, расходов на восстановление бизнеса. Это исключение действует даже если провайдер был уведомлён о возможности таких убытков — ключевая фраза «даже если провайдер был осведомлён о возможности подобных убытков». Второй — «потолок» совокупной ответственности. Стандарт: сумма платежей за последние 12 месяцев. Для новых контрактов (до 12 месяцев) — общая сумма платежей по договору.

Исключения из ограничения ответственности также должны быть перечислены явно. Обычно это: нарушение конфиденциальности (умышленное разглашение данных), нарушение прав интеллектуальной собственности третьих лиц, возмещение вреда, причинённого жизни и здоровью. Попытка ограничить ответственность за умысел или грубую неосторожность в части вреда здоровью недействительна по кыргызскому праву.

Для кыргызских провайдеров, работающих с заказчиками в ЕС или США, важно понимать: американские суды и европейские суды в целом признают limitation of liability, если она переговорена между коммерческими субъектами. Потребительские контракты — другой вопрос. В B2B SaaS ограничение ответственности, как правило, поддерживается судами при условии, что оно явно выражено и не является бессмысленным (то есть не ограничивает ответственность до нуля при явно negligent поведении).

Пункт 7. Конфиденциальность и NDA: что защищает провайдера, а что — заказчика?

Большинство SaaS-контрактов содержат взаимную оговорку о конфиденциальности — но её содержание критично. Провайдер передаёт заказчику доступ к архитектуре сервиса, документации и, нередко, к коду через API. Заказчик передаёт провайдеру данные своих пользователей, бизнес-логику и часто — коммерчески чувствительную информацию. Стандартная оговорка защищает обе стороны симметрично, но на практике риски асимметричны.

Определение конфиденциальной информации — первый элемент. Можно использовать две модели: «всё, что передано в рамках договора, является конфиденциальным» или «конфиденциальна только информация, явно обозначенная как таковая». Первая модель предпочтительна для провайдера, поскольку не требует маркировки каждого документа. Стандартные исключения: общедоступная информация, информация, известная получателю до её передачи, информация, раскрытая с согласия передающей стороны, информация, раскрытая по требованию государственных органов КР (в том числе ГКНБ или ГНС).

Срок конфиденциальности — отдельный параметр. Стандарт для технических секретов: 3–5 лет после расторжения договора. Для персональных данных — обязательство действует в течение всего срока обработки и после него до момента уничтожения данных. ПВТ-резидентам с зарубежными заказчиками следует указывать, что передача конфиденциальной информации государственным органам осуществляется в соответствии с требованиями законодательства КР — без необходимости предварительного согласия другой стороны. Отсутствие этой оговорки создаёт конфликт с требованиями ГКНБ или ГНС при проведении проверок.

Механизм защиты при нарушении конфиденциальности: суды КР допускают взыскание убытков и применение обеспечительных мер (запрет на дальнейшее разглашение). Обеспечительные меры в МСЭД рассматриваются в течение 1 рабочего дня — это делает судебную защиту реальным, а не декларативным инструментом. При расчёте убытков от разглашения конфиденциальных технологий суды применяют общие принципы — без специальных норм для IT-сектора.

Пункт 8. Порядок расторжения, возврат данных и переход к другому провайдеру

Расторжение SaaS-контракта — болезненная точка для обеих сторон. Провайдер теряет выручку; заказчик теряет доступ к данным и функционалу, от которых зависит его бизнес. Пункт о расторжении должен регулировать три сценария: плановое расторжение по истечении срока, досрочное расторжение по инициативе любой из сторон и расторжение вследствие нарушения договора.

При плановом расторжении: минимальный срок предварительного уведомления — 30 дней для ежемесячных подписок, 90 дней для годовых. Автоматическая пролонгация (auto-renewal) должна сопровождаться уведомлением провайдера за 30–60 дней до окончания срока — иначе есть риск, что заказчик оспорит списание как несогласованное. Кыргызское право требует явного согласия на автопролонгацию в коммерческих договорах.

При досрочном расторжении без нарушений: провайдер вправе требовать оплаты за оставшийся срок (early termination fee) — при условии, что это явно предусмотрено договором и соразмерно реальным потерям. Суды КР снижают явно несоразмерную неустойку. Для SaaS-контракта разумная формула: 50–100% оставшихся платежей в зависимости от срока до конца периода.

Возврат данных — критически важный элемент, который чаще всего отсутствует в шаблонных контрактах. После расторжения заказчик должен иметь возможность экспортировать все свои данные в машиночитаемом формате в течение не менее 30 дней. После этого срока провайдер вправе удалить данные. Без этого пункта заказчик может получить право на бессрочное хранение данных у провайдера, что невыгодно последнему с точки зрения расходов и обязательств по Закону «Об информации персонального характера».

Пункт 9. Налоговые оговорки для ПВТ-резидента: invoicing и withholding tax

Налоговый пункт SaaS-контракта часто остаётся вне поля внимания — до первой налоговой проверки или до требования заказчика о предоставлении подтверждающих документов. Для кыргызских провайдеров в режиме ПВТ ситуация имеет специфику: нулевые ставки НДС и налога на прибыль меняют порядок invoicing.

Первый элемент — оговорка об НДС. ПВТ-резидент не начисляет НДС на экспортные SaaS-услуги. Контракт должен явно фиксировать: «Все суммы по настоящему договору не включают НДС. В случае если законодательством КР будет введена обязанность начисления НДС — она начисляется сверх цены договора и уплачивается заказчиком.» Для заказчиков из ЕС важно зафиксировать применимый VAT-режим: reverse charge или нулевая ставка для экспортных услуг.

Второй элемент — withholding tax (налог у источника). Если заказчик находится в юрисдикции, которая облагает платежи за SaaS налогом у источника (royalty withholding tax) — провайдер рискует получить сумму за вычетом удержанного налога. СОИДН между КР и Россией действует и не приостановлено: ставка налога у источника на роялти и сервисные платежи — 10%. Для защиты провайдера контракт должен содержать оговорку gross-up: «Все платежи осуществляются в полной сумме без удержания налогов. Если заказчик обязан произвести удержание — сумма платежа увеличивается таким образом, чтобы провайдер получил сумму, эквивалентную договорной, после удержания.»

Третий элемент — документальное подтверждение для ПВТ-налоговых льгот. Доходы, полученные в рамках ПВТ-деятельности, должны быть подтверждены актами, счетами-фактурами и назначениями платежей, соответствующими IT-деятельности. Если в назначении платежа написано «консультационные услуги» вместо «разработка ПО» или «SaaS-доступ» — ГНС вправе поставить под сомнение применение льготы. Контракт должен однозначно описывать услугу в терминах, соответствующих Закону «О Парке высоких технологий».

Как интегрируются вторичные ключи: VASP, AML и криптовалюта в SaaS-контракте?

Если SaaS-платформа интегрирует оплату в криптовалюте — к стандартным девяти пунктам добавляется регуляторный слой. Криптовалюты в КР не признаются средством платежа, поэтому приём криптоплатежей квалифицируется как операция с виртуальными активами. В зависимости от структуры расчётов это может потребовать VASP-лицензии от Финнадзора.

VASP-лицензия не нужна, если провайдер лишь перенаправляет пользователя на стороннего лицензированного провайдера платёжного шлюза. Она нужна, если платформа самостоятельно принимает, хранит или конвертирует виртуальные активы. Уставный капитал для обменных операций — от 40 млн сом (~460 тыс. долл.), для биржи — от 100 млн сом (~1,15 млн долл.). Срок получения лицензии — около 1 месяца по регламенту, на практике 1–3 месяца.

Travel Rule обязателен для всех VASP в КР. Это требование FATF передавать информацию об отправителе и получателе при переводе виртуальных активов. Без AML/KYC политик и без выполнения Travel Rule лицензия аннулируется — Финнадзор в 2025 году массово отзывал лицензии именно по этому основанию. Контракт с заказчиком должен описывать, каким образом платформа выполняет AML-требования и кто несёт ответственность за KYC заказчика и конечных пользователей.

Стейблкоины и токены — отдельный вопрос. Поправки «Тамчы» к Закону «О виртуальных активах» и поправки 2025 года расширили перечень регулируемых инструментов. RWA-токены (активы реального мира) и стейблкоины, привязанные к фиату, попадают под регулирование Финнадзора. Если SaaS-платформа выпускает или оперирует такими инструментами — контракт должен содержать специальный раздел о соблюдении требований Закона «О виртуальных активах» и о порядке действий при изменении регуляторных требований.

Итоговая таблица рисков: какие пункты наиболее критичны для кыргызского провайдера?

Девять разобранных пунктов не равнозначны по степени риска. Для кыргызского SaaS-провайдера, работающего в режиме ПВТ с зарубежными заказчиками, приоритизация выглядит следующим образом: на первом месте по частоте конфликтов — права на интеллектуальную собственность при кастомизации и ограничение ответственности. На втором — налоговые оговорки (withholding tax, gross-up, VAT) и обработка персональных данных (DPA). На третьем — SLA, условия расторжения и применимое право.

Статистика по кыргызскому IT-рынку 2025 года отражает тренд: более 500 резидентов ПВТ с совокупной выручкой свыше 11,4 млрд сом генерируют растущий объём контрактных споров. Большинство из них — не о качестве кода, а о том, что не было зафиксировано в договоре: кто владеет результатами кастомизации, кто несёт ответственность за утечку данных, кто платит налог у источника.

Практический вывод: базовый шаблон SaaS-соглашения из открытых источников требует минимум семи правок под кыргызскую юрисдикцию. Три из них критические и влияют на налоговые льготы ПВТ: описание предмета договора в терминах IT-деятельности, VAT-оговорка и gross-up по withholding tax. Ещё три влияют на риск убытков: limitation of liability, DPA и IP-раздел. Оставшиеся — на операционную устойчивость и предсказуемость расторжения.

Для компаний, рассматривающих расширение кыргызской IT-деятельности в смежные направления — электронную коммерцию, майнинг или операции с виртуальными активами — полезны материалы об особенностях налогообложения в соответствующих секторах: Кыргызстан для e-commerce и налог на майнинг в КР. Полный обзор IT-права и виртуальных активов доступен в базовом материале кластера digital.