Захист конфіденційної інформації та комерційної таємниці. Інструкція для підприємців

Як бізнесу захистити конфіденційну інформацію та комерційну таємницю

Знатись на конфіденційній інформації і вміти її захищати – абсолютний мастхев для підприємців, як і навички стратегічного планування, фінанси чи робота з персоналом. Від обізнаності і вправності бенефіціарів залежить довіра до їхнього бізнесу з боку партнерів і клієнтів, а відтак – їхні прибутки.

Конфіденційна інформація – відомості з обмеженим підприємством (підприємцем) доступом, які можуть поширюватися їхніми працівниками у визначеному такими підприємством (підприємцем) порядку за їхнім бажанням відповідно до передбачених ними умов.

Комерційна таємниця – інформація, що має комерційну цінність, яка є невідомою і не є загальнодоступною, та охороняється її власником від розголошення. Комерційною таємницею можуть бути відомості технічного, організаційного, комерційного, виробничого та іншого характеру, за винятком тих, які відповідно до закону не можуть бути віднесені до комерційної таємниці.

Витоки такої інформації суттєво ускладнять ваше життя і навіть здатні знищити успішний бізнес. Наприклад, розкриття технологій виробництва може призвести до втрати конкурентної переваги. Виток даних про клієнтів загрожує підривом довіри до бізнесу. Це дасть підстави клієнтам та державним органам подати позови і наполягати на притягненні вас до відповідальності. Особи, які незаконно збирають, використовують або розголошують відомості, що становлять комерційну таємницю також можуть бути притягнуті до відповідальності, зокрема кримінальної.

Виток конфіденційної інформації завжди робить бізнес вразливим для шахраїв і кіберзлочинців. Врешті є й суворі фінансові санкції. Наприклад, якщо компанія надає послуги чи продає товари або обробляє персональні дані фізичних осіб-резидентів Євросоюзу, вона зобовʼязана дотримуватись регламенту ЄС щодо вимог до захисту конфіденційності фізичних осіб (GDPR). За порушення законодавства про захист персональних даних в Україні також передбачена адміністративна відповідальність для підприємців та посадових осіб підприємств: штраф від 5100 грн. до 17000 грн.

Вплив витоків даних на репутацію і дохідність бізнесу

За даними Hiscox, однієї з провідних у світі страхових компаній, кібератаки і витоки даних призводять до банкрутства пʼятої частини підприємств у Європі та США. Наприклад, в 2022 році криптовалютна біржа MM.Finance внаслідок DNS-атаки втратила цифрових активів на 2 мільйони доларів. Компанія була змушена створити для клієнтів компенсаційний пул і відмовитись від комісій з транзакцій, щоб покрити збитки.

Восени 2018 року стало відомо, що злочинці отримали доступ до даних 500 тисяч гостей мережі готелів Marriott International. При чому сталось це ще у 2014 році. Шахраї заволоділи особистими даними, адресами електронних пошт, номерами телефонів і паспортним даними. На тлі скандалу акції Marriott International на світових біржах впали на 6%, компанія отримала позов.

Свого часу крадіжка інтелектуальної власності призвела до значних збитків та навіть банкрутства американської енергетичної компанії Westinghouse Nuclear, канадського телекомунікаційного гіганта Nortel Networks, лідера у виробництві сонячних панелей SolarWorld. Таких прикладів безліч. І щоб не поповнити цей довгий перелік, варто з усією увагою підійти до захисту комерційних таємниць, особистих даних, інтелектуальної власності. Захисту потребує ціла низка відомостей, нижче деякі з них.

Фінансова інформація – звіти, аналітика, прогнози доходів, дебіторська та кредиторська заборгованість.

Інформація про клієнтів та постачальників – контакти клієнтів, їхні уподобання та історія покупок, умови контрактів з постачальниками та партнерами.

Бізнес-плани та стратегії – маркетингові стратегії, плани запуску нових продуктів, дані про дослідження ринку і конкурентів.

Інтелектуальна власність – ще не запатентовані технології та винаходи, процеси виробництва.

R&D – результати власних наукових досліджень, плани щодо впровадження нових технологій або продуктів.

Дані про ключових співробітників – їхні компетенції, зарплати, плани щодо навчання.

Контракти та юридичні документи – установчі і податкові документи, звіти, ліцензійні та франчайзингові угоди.

Переходимо до практичної площини – а як, власне, захистити інформацію і свій бізнес? Існує багато рішень. Наприклад, технічні (шифрування, контроль доступу), організаційні (політики безпеки, навчання співробітників) та юридичні заходи (угоди про конфіденційність, NDA). Усі вони дієві, особливо коли використовуються комплексно. Я хочу зупинитись на юридичній площині та детально розібрати NDA (Non-disclosure agreement) – договір про нерозголошення конфіденційної інформації, який може укладатись двома сторонами або охоплювати більше учасників. Підписантами NDA можуть бути працівник і роботодавець, бізнес-партнери тощо. NDA, зазвичай, має обмежений термін дії, протягом якого учасники угоди зобов’язуються не тільки не розголошувати комерційну таємницю та/або конфіденційну інформацію третім особам, але й не використовувати її для власної вигоди або на шкоду іншій стороні.

NDA з бізнес-партнером: ключові пункти і формулювання

Сторони. У договорі має бути зазначено, хто розкриває і хто одержує комерційну таємницю та/або конфіденційну інформацію. Якщо «сторона, яка одержує» є юридичною особою, вона зобов’язана забезпечити належне виконання передбачених договором обов’язків своїми працівниками та/або уповноваженими представниками.

Предмет. Документ має давати відповідь на питання, а що саме вважається комерційною таємницею та/або конфіденційно інформацією, містити додатки із переліком конкретних відомостей, заборонених до розголошення.

Термін. Рекомендую не обмежуватись періодом договірних відносин, а передбачати і прописувати в договорі, скажімо, пʼять років після їх припинення.

Зобовʼязання сторін. Не розголошувати, не передавати третім особам, не розкривати публічно відомості, що становлять комерційну таємницю та/або конфіденційну інформацію без письмової згоди директора або уповноваженої особи «сторони, яка розкриває» такі дані. Навіть, якщо цю інформацію вимагають державні чи правоохоронні органи, надати її можна тільки після обов'язкового письмового погодження із власником інформації. Також необхідно включити зобов’язання не переманювати працівників і партнерів, не вчиняти жодних конкурентних дій.

Відповідальність. Прописати цивільно-правову, адміністративну і кримінальну відповідальність за порушення умов договору. Вказати суму штрафу, який «сторона, що одержує» комерційну таємницю та/або конфіденційну інформацію, зобовʼязана буде платити за кожен факт порушення.

Форс-мажор. На випадок втрати носіїв, несанкціонованого доступу до комерційної таємниці та/або конфіденційної інформації та інших обставин, що можуть призвести до її розголошення, у договорі треба прописати термін, у який «сторона, що одержує» інформацію, зобовʼязана повідомити про такі факти «стороні, яка розкриває» інформацію.

Припинення договірних відносин. Прописати термін, упродовж якого «сторона, яка одержує» інформацію, повинна передати «стороні, яка розкриває», усі носії інформації (хмарні, цифрові, рукописні). При цьому, складання акту прийому-передачі відомостей є обовʼязковим.

NDA роботодавця з працівником має таку саму структуру і схожі положення за винятком деяких положень. Почнемо з початку: отримання працівником відомостей, що становлять комерційну таємницю та/або конфіденційну інформацію є правомірним, якщо цей працівник офіційно працевлаштований і отримує таку інформацію під час безпосереднього виконання своїх трудових обов'язків, якщо він:

• під підпис ознайомився із Положенням про комерційну таємницю та конфіденційну інформацію підприємства,
• підписав Зобов'язання про нерозголошення відомостей, що становлять комерційну таємницю та конфіденційну інформацію підприємства,
• підписав договір NDA.

Працівник зобовʼязується терміново повідомити підприємству (директору або уповноваженому представнику) про намагання сторонніх осіб отримати доступ до комерційної таємниці та/або конфіденційної інформації. Працівник також зобовʼязаний не використовувати відомості (в тому числі, але не виключно), отримані під час навчання, підвищення кваліфікації за рахунок роботодавця, що становлять комерційну таємницю, для зайняття будь та/або конфіденційну інформацію - якою діяльністю, що може завдати шкоди підприємству в якості конкурентної діяльності. У випадку звільнення протягом трьох календарних днів до дати звільнення працівник зобов’язаний передати підприємству всі носії відомостей, що становлять комерційну таємницю та/або конфіденційну інформацію.

Раджу також детально прописати вимоги до працівника після його звільнення: не вчиняти конкурентних дій по відношенню до підприємства, зокрема, не займати керівних посад в компаніях-конкурентах, не створювати бізнес, який може призвести до конкуренції, не хантити співробітників і не переманювати клієнтів тощо.

Як і у випадку із договором NDA з бізнес-партнером, за кожний факт розголошення комерційної таємниці працівник має сплатити штраф на користь підприємства, а також може бути притягнутий до дисциплінарної, цивільно-правової, адміністративної, кримінальної відповідальності.

В умовах сучасного ринку, де інформація є одним із найцінніших активів, будь-яка втрата конфіденційних даних може призвести до серйозних фінансових збитків, втрати конкурентних переваг, знищення репутації. Зволікати, думати, що вас це омине, сліпо покладатися на порядність партнерів і колег, означає поставити під питання майбутнє свого бізнесу і власну успішність. Якщо ви не готові цим ризикувати, раджу покладатись на професійних юристів і технічних фахівців, які зможуть розробити та впровадити ефективні механізми захисту інформації. Розглядайте цю роботу як інвестицію у своє завтра.