Во многих странах заключение соглашений о неразглашении конфиденциальной информации (NDA) стало стандартной практикой. Для заказчиков это надежный способ защититься от утечек, а для исполнителей — подстраховка от необоснованных обвинений в использовании чужих данных. Хотя в отечественном законодательстве понятие NDA не закреплено, этот инструмент работает и в России. Рассказываем, что должно быть прописано в соглашении о неразглашении и как возместить убытки, если утечка данных все-таки произошла.
Перед началом любого проекта по созданию программного обеспечения заказчик передает исполнителю необходимые для работы данные — идею, исходный код и другую конфиденциальную информацию. Чтобы не допустить случайной или преднамеренной утечки, компании устанавливают особый порядок работы с важными для компании сведениями — NDA (от англ. Non Disclosure Agreement).
Соглашение о неразглашении конфиденциальной информации определяет:
Таким образом, NDA устанавливает особый режим работы с конфиденциальной информацией — запрещает ее разглашать.
Конфиденциальная информация vs. Коммерческая тайна
Следует прояснить: конфиденциальная информация и коммерческая тайна — не одно и то же. Например, в NDA 65apps есть такой абзац:
«Конфиденциальная информация — любая информация, доступ к которой ограничивается в соответствии с действующим законодательством Российской Федерации и настоящим Соглашением. Для целей настоящего Соглашения конфиденциальная информация включает в себя, среди прочего, любую финансовую, техническую, технологическую, коммерческую, административную, маркетинговую, экономическую информацию, информацию по планированию, персоналу, руководству, сведения о лицах, предметах, фактах, клиентах, событиях, явлениях и процессах, независимо от формы их представления (письменная, устная, визуальная, электронные файлы, и т. д.), в том числе составляющих Коммерческую тайну и Ноу-хау, а также содержание настоящего Соглашения и вся информация, связанная с его исполнением».
Допускающая сторона (заказчик) старается максимально расширить объем сведений, на которые распространяется режим конфиденциальности. Для этого в компании вводится коммерческая тайна — правовой режим информации, ограничивающий доступ к ней. Такая информация может быть получена третьими лицами только с согласия ее обладателя.
Коммерческая тайна предполагает коммерческую выгоду от соблюдения режима конфиденциальности. Это означает, что пока информация остается только внутри компании, она зарабатывает на этом деньги. Но как только данные станут известны широкой общественности, они перестают быть ценными и организация теряет деньги.
Но не все данные можно отнести к коммерческой тайне. Например, в этом случае не получилось «защитить» таким образом документы о финансовой отчетности. Не помогла даже ссылка на то, что эти данные относятся к конкурентной среде и их распространение может навредить коммерческим интересам компании. По закону, в отношении финансовой отчетности не может быть установлен режим коммерческой тайны.
Чтобы коммерческая тайна оставалась тайной, важно установить в компании особый режим ее охраны. Для этого необходимо выполнить условия, прописанные в федеральном законе:
Если хотя бы одно из этих условий не будет соблюдено, защитить свои права в суде в случае разглашения коммерческой тайны будет практически невозможно.
Так, суд отказал в штрафе в 10 млн руб. за нарушение условий конфиденциальности. Причина — правообладатель не доказал факт нарушения режима коммерческой тайны из-за отсутствия в соглашении перечня конкретных сведений, в отношении которых устанавливается режим коммерческой тайны.
Читать также
Как привлечь к ответственности за нарушение NDA
Бытует мнение, что закон РФ не регулирует NDA, потому что некоторые последствия нарушения такого соглашения неприменимы в рамках законодательства. Но это не так. Заключенное между сторонами соглашение будет действовать в любом случае.
Однако следует помнить, что в российском праве отсутствует понятие NDA. А потому привлечь нарушителя к ответственности может оказаться непросто. Суд будет рассматривать NDA как Соглашение сторон — поэтому успех в судебном процессе будет зависеть о того, насколько детально зафиксированы обязательства и ответственность сторон.
Часто в Соглашении не установлена конкретная сумма штрафа за нарушения, а прописаны только убытки. Например:
«В случае нарушения настоящего Соглашения Получающая сторона несет ответственность в соответствии с законодательством РФ и обязуется возместить убытки Раскрывающей стороны в связи с нарушением Соглашения в полном объеме».
В этом случае суду необходимо будет доказать:
В каждом конкретном случае стороны определяют самостоятельно состав доказательств. Например:
Компания устанавливает убыток самостоятельно. Например, если проект оценивается в 10 млн руб., то утрата кода будет примерно равна этой сумме. Можно воспользоваться экспертизой, которая оценит стоимость утраченных интеллектуальных прав.
Но лучше всего прописывать конкретную сумму штрафа за нарушение соглашения. Так всё будет однозначно: указали миллион рублей — взыскали миллион рублей.
Однако в ситуацию может вмешаться суд. Если он сочтет, что штраф явно несоразмерен последствиям нарушения обязательства, то может уменьшить его размер. То есть сумма штрафа не может быть выше выгоды от раскрытия конфиденциальной информации.
Если у суда возникли сомнения, владельцу информации придется доказать, что размер штрафа является соразмерным, и подтвердить, что информация оценивается на рынке в определенную сумму. Для этого нужно:
Как закрепить обязательства сотрудников по работе с конфиденциальной информацией
Порядок использования конфиденциальной информации можно закрепить в трудовом договоре или в отдельном Соглашении о неразглашении (NDA). При этом нужно прописать перечень конфиденциальной информации и срок ее неразглашения. Такое соглашение действует в течение времени действия договора и несколько лет после его окончания. Это значит, что компания отвечает за человека, даже если он уже уволился.
Перед стартом каждого проекта или допуском к нему нового сотрудника необходимо подписывать новое соглашение. Иначе привлечь нарушителя к серьезной ответственности невозможно (особенно в случае его увольнения).
Например, в этом деле суд отказал во взыскании штрафа в 5 млн руб. за разглашение коммерческой тайны. Причина — истец не представил доказательства, подтверждающие, что ответчик ознакомился с документами, устанавливающими в компании режим коммерческой тайны.
Важно установить перечень сотрудников, имеющих доступ к конкретной информации заказчика. Тогда факт разглашения коммерческой тайны или конфиденциальной информации станет законным основанием для увольнения нарушителя. Работник несет ответственность только в рамках своей зарплаты, больше взыскать с него нельзя — иначе возникнут проблемы с трудовой инспекцией.
Раскрыть коммерческую тайну могут не только сотрудники компании, но и ее партнеры. Поэтому в договор следует включать и ответственность контрагентов (с ними можно также заключить отдельное NDA).
Определите перечень материалов, которые имеют коммерческую ценность, — именно на них будет распространяться режим конфиденциальной информации.
Установите порядок передачи и приема конфиденциальной информации, а именно:
Определите список тех, кто имеет право принимать и передавать информацию.
Регулировать передачу сведений в бумажном или электронном виде достаточно просто — они имеют конкретного отправителя и получателя. Так, российский суд признавал незаконной отправку электронных писем с рабочими вложениями ПО, в том числе интерфейсом программирования, на свою личную почту, расположенную на стороннем сервере, за пределами территории работодателя.
В идеале — отслеживайте скачивание исходных данных, но сделать это в небольшой организации практически невозможно, — необходимо установить систему логирования, создать систему логинов и паролей для входа, использовать специальные технические программы для отслеживания факта скачивания.
Ограничьте доступ к конфиденциальной информации. Для этого установите обязательные правила обращения с нею и контролируйте их соблюдение. Меры предосторожности помогут избежать утечек данных.
Установите ответственность сторон за разглашение конфиденциальной информации. Поскольку законодатель этого не сделал, важно самостоятельно и четко прописать ее в соглашении. Лучше вписать конкретную сумму штрафа за каждый случай несанкционированного доступа к конфиденциальной информации.
Включите в раздел об ответственности, помимо умышленных действий, «бездействие Стороны» по защите конфиденциальной информации. Это позволит расширить список оснований, по которым, в случае нарушения NDA, можно будет привлечь сторону к ответственности.
Установите срок действия NDA. Здесь стороны могут указать и период взаимодействия между ними, и какое-то время после его окончания. Например, некоторые партнеры устанавливают сроки в 20 и даже 50 лет со дня прекращения действия Соглашения.