No Image

Что такое nda о неразглашении

СОДЕРЖАНИЕ
0 просмотров
22 января 2020
  1. Главная
  2. Гражданско-правовые договоры
  3. Соглашение о конфиденциальности и неразглашении информации (non-disclosure agreement – NDA)

Шаг 1. Купите документ

Шаг 2. Заполните документ, следуя подсказкам системы

Шаг 3. Проверьте документ с помощью предварительного просмотра

Шаг 4. Сохраните документ и экспортируйте в MS Word

Возник вопрос? Напишите нам на kpd@garant.ru, будем рады вам помочь!

© ООО "НПП "ГАРАНТ-СЕРВИС", 2020. Система ГАРАНТ выпускается с 1990 года.
Компания "Гарант" и ее партнеры являются участниками Российской ассоциации правовой информации ГАРАНТ.

Многие работники фирм и специалисты, которые работают в среде, где может быть интеллектуальная собственность, сталкиваются с таким понятие как NDA. Что это такое, зачем нужен подобный договор и как он формируется? Если все это знать, то это поможет избежать потери интеллектуальной собственности. Рассмотрим вопрос со всех сторон.

NDA – что это такое?

Начнем с расшифровки аббревиатуры. Понятие расшифровывается как "Non disclosure agreement", а переводится на русский язык как "Договор о неразглашении". Все слышали об этом, но мало кто вдавался в подробности этого договора. Если говорить другими словами, то соглашение NDA – это соглашение о конфиденциальности информации. Его подписывают те лица, которые не желают, чтобы их интеллектуальная собственность попала во владение других лиц.

Когда такой договор нужен?

Теперь, когда нам более-менее понятно, что это такое – NDA, можно идти дальше. В каких случаях необходимо заключение подобного договора?

Приведем простой пример. Допустим, вы изобрели вечный двигатель или нечто подобное. Учитывая, что самому разработать это почти нереально, вам придется работать с целым штабом специалистов. Каждый из них будет иметь доступ к чертежам и расчетам, и на конечной стадии разработки они могут просто украсть проект, выдав его за свой. Будет очень неприятно, если кто-то завладеет такими данными и припишет все ваши труды себе. Поэтому со всеми сотрудниками, у которых есть доступ к важной информации, приходится заключать договор о неразглашении. После подписания они не имеют права никому рассказывать о разработках, к которым у них есть доступ. Это самый простой пример. NDA в этом случае не просто показан, он необходим.

Некоторые специалисты утверждают, что данный договор имеет место при работе с недвижимостью: квартирами, магазинами, торговыми центрами и другими зданиями. Однако на самом деле подписание NDA – это нормальная практика во многих сферах. Его заключают те, кто имеют дело с техническими разработками, компьютерными программами и другими подобными вещами. Не исключено, что изначально NDA применялся при работе с недвижимостью, однако позже он распространился и на другие сферы, где мог быть полезен.

Если договор заключается по недвижимости, то стороны не имеют права разглашать стоимость объектов, площади помещений, над которыми ведется работа, а также другую возможную информацию. То же самое касается и других сфер. Например, если соглашение о конфиденциальности NDA касается компьютерной программы, то сторонам запрещено разглашать принципы работы программы, листинги, передавать исходные файлы и программные коды. Если сильно обобщить, то любая информация, которая касается интеллектуальной собственности, не подлежит разглашению, причем, в любой его форме.

Виды соглашений

Есть разные виды NDA, каждый из них обладает некоторыми уникальными особенностями:

  1. Взаимное, при котором обе стороны передают друг другу информацию, разглашать которую запрещается.
  2. Одностороннее, при котором одна сторона передает другой информацию. Второй участник обязуется никому не передавать данные, которые являются предметом соглашения.

Отметим, что некоторые источники по-другому называют эти два вида соглашений. Однако сути это не меняет. Даже в "Википедии" ранее было написано, что при одностороннем договоре о неразглашении составляет и подписывает его всего один человек. Но такое невозможно на практике, ведь суть любого соглашения сводится двум и более участникам, которые взаимно обязуются выполнять некоторые обязательства.

Образцы

Вот так выглядел старый образец NDA:

Документ представлен на английском языке специально для того, чтобы было понятно, откуда пошла аббревиатура NDA.

Образец соглашения NDA на русском языке выглядит так:

Договор обязательно должен подписываться двумя сторонами. Это могут быть как юридические, так и физические лица, то есть люди или какие-нибудь фирмы. Если договор заключается между физическим и юридическим лицом, то все люди, которые имеют отношение к данному юридическому лицу, будут нести ответственность в случае нарушения договора и разглашения секретных данных.

Например, в известной компании Microsoft работает какой-нибудь человек, который имеет доступ к разработкам новой программы. А сама Microsoft при этом подписала договор NDA с другой фирмой, которая тоже имеет отношение к разработке программы. Этот человек в случае разглашения понесет ответственность. Более того, даже если какой-нибудь уборщик в Microsoft случайно заглянет в компьютер и наткнется на листинг программы, а затем передаст его третьему лицу, то и он понесет ответственность, несмотря на то, что он вообще не связан с разработкой программы. Так что даже офисному персоналу желательно понимать, что это такое – NDA.

Содержание договора

В любом договоре с юридической силой обе стороны обязаны указывать свои данные. NDA исключением не является. Его содержание должно быть следующим:

  1. Имена обоих участников. Если это физические лица, то должны быть указаны их ФИО, а также паспортные данные. Если обе стороны согласны не указывать паспортную информацию, то ее можно исключить из договора. Если стороны – юридические лица, то обязательно должны быть указаны названия фирм, как в учредительных документах.
  2. Подписи. С физическими лицами все понятно. Если это юридические лица, то подписывать документ должны представители.
  3. Информация, которая не подлежит разглашению.
  4. Дата заключения.
Читайте также:  Сони м4 аква характеристики отзывы

Здесь интерес вызывает третий пункт. Как указать информацию в договоре, которую нельзя разглашать? Но на деле все просто, необходимо лишь перечислить данные, запрещенные к распространению. Если предметом договора является компьютерная программа, то в договоре необходимо указать, что не подлежит разглашению: коды, результаты компиляции, принцип работы, листинги и т.д. Стороны могут указать все, что посчитают нужным. В этом для них нет ограничений. Некоторые участники пишут в договоре, что неразглашению подвергается даже информация в продвижении разработок и т. д.

К договору можно добавить приложение, где при желании можно указать конкретную информацию, защищаемую договором. Например, можно прикрепить листинги программы. В дальнейшем это упростит процедуру доказательства нарушения условий договора в случае, если интеллектуальная собственность окажется в руках третьих лиц.

Какие данные также могут указываться в договоре?

В зависимости от направления, в NDA также могут быть указаны такие данные:

  1. Ответственность за нарушение соглашения.
  2. Конфиденциальная информация (к примеру, база или коды).
  3. Сроки действия. Информация является конфиденциальной некоторое время, но не всегда.

По желанию сторон в соглашение можно включить и другие пункты, которые посчитают нужными участники.

Риски

Большинство фирм, которые работают в области IT, подписывают подобные соглашения со своими сотрудниками. В связи с этим последние интересуются, есть ли для них риск подписывать подобные договора, ведь там указываются паспортные и другие данные, которые могут быть использованы, например, для шантажа или в других целях. Это актуально не только для стран СНГ, но и для Европы и даже США.

Опасности в подписании этого договора нет по разным причинам:

  1. NDA – это законный юридический документ, в котором предусмотрена взаимная ответственность. Это не прихоти работодателя или компании, которым должен будет подчиняться тот или иной сотрудник. В идеале подобные соглашения должны использоваться во всех фирмах, где используются или разрабатываются продукты, которые могут иметь отношения к интеллектуальной собственности или вообще являются ею.
  2. Паспортная информация, которая может фигурировать в документе, служит только для идентификации участников, не более того. Ее нельзя использовать для каких-либо других целей. К тому же, паспортные данные всегда указываются при заключении любых договоров, и это нормально.
  3. NDA идет на благо сотрудникам. Подписав такое соглашение, сотрудники получают законную защиту своих разработок. Руководство фирмы при этом также уверено в своих сотрудниках, а доверие со стороны компании многого стоит.

Человек, который понимает, что это такое – NDA, не будет бояться подписывать подобное соглашение.

Ответственность

Любая страна имеет законодательство, предусматривающее ответственность за нарушение авторских прав. В России, например, есть статья 13.14 КоАП, в которой предусмотрены за невыполнение условий NDA штрафы в размере 500-1000 рублей. Если информацию с ограниченным доступом разглашает должностное лицо, то тогда размер штрафа составляет 4000-5000 рублей. Также возможна и уголовная ответственность за те же действия.

Однако в России нет правового регулирования NDA (не предусмотрено в законодательстве), поэтому в основном размеры штрафов за разглашение секретной информации прописываются прямо в соглашении. Это самый удобный и распространенный вариант. Например, в случае разглашения информации сторона, нарушившая обязательство, будет обязана выплатить неустойку или причиненный ущерб. Размер ущерба будет оцениваться независимой экспертной компанией.

Заключение

Заключение договоров о неразглашении информации – это нормальная практика, которая применяется многими фирмами. Даже при приеме сотрудников на работу их сразу просят подписать данное соглашения и в случае отказа они просто не желают сотрудничать с таким человеком. В ряде случаев соглашение действительно помогает защитить фирмам свои интересы и не допустить распространение конфиденциальной информации.

NDA ( non-disclosure agreement )

Обоснование разработки, чем регулируется

Я выделю два метода обоснования необходимости разработки каких-либо решений, регламентации процессов и принятия мер ИБ:

Экспертный метод основан на формализованном, документированном мнении экспертов в области ИБ. Владелец активов на базе экспертного мнения принимает решение о необходимости регламентации процессов обеспечения ИБ при взаимоотношении с контрагентами путём разработки и подписания соглашений о неразглашении.

По поводу экспертной оценки. Регламентация процессов информационной безопасности при взаимодействии с контрагентами — это организационная мера, обоснование и выбор которой зависит от множества факторов. Описывать, комментировать различные методики оценки рисков, моделирования угроз можно много и долго. Подход и выбор методик должен быть индивидуальным для организации, в зависимости от её контекста (внутренних, внешних факторов, сферы деятельности, стиля руководства и т.д.).

Более подробно остановимся на требованиях нормативных документов.

Для нормативного обоснования необходимости регламентации процессов обеспечения ИБ при взаимоотношении с контрагентами рассмотрим требования Российского законодательства, в частности, Федерального закона от 29.07.2004 N 98-ФЗ «О коммерческой тайне» (далее по тексту – ФЗ «О коммерческой тайне») и международного стандарта ИСО/МЭК 27001:2013 «Информационные технологии – Методы обеспечения безопасности – Системы менеджмента информационной безопасности – Требования» (далее по тексту – 27001).

Разумеется, можно было бы провести более глубокий анализ нормативных документов, как РФ, так и международных, в том числе, в разрезе отраслевых направлений, но для разработки рекомендаций, считаю достаточным рассмотреть только указанные выше документы.

Федеральный закон от 29.07.2004 N 98-ФЗ «О коммерческой тайне»

В соответствии с ФЗ «О коммерческой тайне» одной из мер для установления режима коммерческой тайны является регулирование отношений с контрагентами, а именно — наличие гражданско-правового договора, в котором отражены вопросы защиты сведений, составляющих КТ, в том числе условия сохранения конфиденциальности и меры по её охране.

Читайте также:  Тест внешнего жесткого диска

Приведу формулировки соответствующих статей ФЗ «О коммерческой тайне»:

Статья 3. Основные понятия, используемые в настоящем Федеральном законе

доступ к информации, составляющей коммерческую тайну, — ознакомление определенных лиц с информацией, составляющей коммерческую тайну, с согласия ее обладателя или на ином законном основании при условии сохранения конфиденциальности этой информации;

передача информации, составляющей коммерческую тайну, — передача информации, составляющей коммерческую тайну и зафиксированной на материальном носителе, ее обладателем контрагенту на основании договора в объеме и на условиях, которые предусмотрены договором, включая условие о принятии контрагентом установленных договором мер по охране ее конфиденциальности;

контрагент — сторона гражданско-правового договора, которой обладатель информации, составляющей коммерческую тайну, передал эту информацию.

Статья 10. Охрана конфиденциальности информации

Меры по охране конфиденциальности информации, принимаемые ее обладателем, должны включать в себя:

… 4) регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров; …

Следующий нормативный документ для тех, кто принял решение строить систему менеджмента информационной безопасности на базе стандарта 27001.

Международный стандарт ИСО/МЭК 27001:2013 (ISO/IEC 27001:2013) «Информационные технологии – Методы обеспечения безопасности – Системы менеджмента информационной безопасности – Требования»

Перечислю основные пункты 27001, требующие регулирования отношений, связанных с обеспечением ИБ при передаче (предоставлении доступа) к информации ограниченного доступа контрагентам.

А.13 Безопасность систем связи
А.13.2 Передача информации
Соглашение должно предусматривать безопасную передачу служебной информации контрагентам. А.13.2.2
Должны быть определены требования по соблюдению конфиденциальности или разработаны соглашения о неразглашении. Также, они должны регулярно пересматриваться и документироваться. А.13.2.4
А.15 Отношения с поставщиками А.15.1 Информационная безопасность в отношениях с поставщиками Требования информационной безопасности по снижению рисков, связанных с доступом поставщиков к активам организации, должны быть согласованы с поставщиками и документированы. 15.1.1 Все соответствующие требования информационной безопасности должны быть определены и согласованы с каждым поставщиком, который имеет доступ, может обрабатывать, хранить, передавать информацию организации или предоставлять какие-либо компоненты ИТ инфраструктуры. 15.1.2 Соглашения с поставщиками должны содержать требования в отношении рисков информационной безопасности, связанных с цепочкой поставок продукции и услуг информационных и коммуникационных технологий. 15.1.3

Формат соглашения

Требований к формату соглашения нет, поэтому каждый решает для себя сам в каком виде оно будет представлено:

  • в виде раздела в заключаемом гражданско-правовом договоре;
  • в виде отдельного документа — Соглашения.

Со своей стороны, я рекомендую использовать именно второй вариант – самостоятельный документ, подписанный с обеих сторон. Такой формат соглашения позволит согласовать меры и регламентировать требования по ИБ еще до заключения договора с контрагентом. Например, для проведения маркетинговых исследований, переговоров.

Наиболее часто используемые формулировки наименования NDA:

  • cоглашение о неразглашении;
  • cоглашение о неразглашении конфиденциальной информации;
  • cоглашение о конфиденциальности.

Предмет соглашения

Предмет соглашения является типовым и, разумеется, связан с сохранением конфиденциальности, соблюдением условий защиты и т.д. Однако, необходимо чётко определить границы обмена информацией, подлежащей защите.

Согласно ФЗ «О коммерческой тайне» передача информации происходит в объёме и на условиях, указанных в договоре с контрагентом.

Что делать?

  1. Формулируем: Предметом настоящего соглашения является сохранение конфиденциальности информации, составляющей коммерческую тайну Сторон, соблюдение условий её защиты от утраты, нарушения целостности… и т.д.
  2. Формулируем цель использования защищаемой информации:
    • В рамках исполнения договора № 111 от 21.01.2018 «О предоставлении …»
    • В рамках проекта № 387234024753 выполняемого по договору № 111 от 21.01.2018 «О предоставлении …».
    • маркетинговые исследования (письмо от 21.11.2018, № …).
    • переговоры с целью заключения договора на … и т.д.

    Основные понятия

    Вопрос: Зачем вводить понятия, если они и так есть в нормативной документации ?

    Отвечаю:

    1. Не вся нормативная документация обязательна для исполнения организациями.
    2. Действительно, законодательство РФ определяет термины в области обработки информации, информационной безопасности, например ФЗ «О коммерческой тайне», Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Однако, возникает необходимость уточнить определение, например для сужения рамок рассматриваемой информации, доработать под специфику договора и т.д. Возможно это сделать, но при соблюдении следующих условий:
      • определение не должно противоречить законодательству, в первую очередь закону, который даёт это определение.
      • определение не должно обобщать, делать рамки рассматриваемой области шире, чем в определении, данном в законе. Только уточняем и детализируем в рамках предмета взаимоотношений.

      Что делать?

      1. При отсутствии необходимости уточнения определений, данных в законодательстве РФ — не дублируем их в NDA.
      2. При наличии необходимости уточнения — дублируем с детализацией (см. выше).
      3. Если определение дано в нормативной документации, не обязательной для исполнения, тогда:
      1. или делаем ссылку на документ, который находится в публичном доступе. Например: В настоящем соглашении используются термины и определения из ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения.
      2. или дублируем определение в своём NDA. Доработка — на усмотрение экспертов, но в рамках законодательства.
    3. Обратить внимание на актуальность терминов и определений, например:
    4. Термин «Информация, составляющая коммерческую тайну». В определении которого присутствовал «Секрет производства». Однако, он исключен из ФЗ «О коммерческой тайне» в 2014 году (п. 2 в ред. Федерального закона от 12.03.2014 N 35-ФЗ). А правоотношения, связанные с секретом производства регулируются 75 главой ГК РФ. Определение дано в ст. 1465 ГК РФ. Также, в соответствии со статьей 1469 ГК РФ предоставление права на использование соответствующего секрета производства должно происходить на основании лицензионного договора.

      Читайте также:  Характеристики айфона 6 плюс

      Термин «Конфиденциальная информация», который Федеральное законодательство не определяет. и т.д.

      Идентификация защищаемой информации, маркировка носителей

      Одна из основных ошибок при разработке соглашения — это неоговоренный способ маркировки носителей и идентификации защищаемой информации, что может привести к недопониманию при идентификации защищаемой информации, а соответственно, несоблюдению соответствующих мер защиты информации.

      Маркировка носителей информации

      Содержание грифов маркировки может быть любым — на усмотрение отправителя. Однако, для того, чтобы организация смогла защищать свои интересы в суде, например в рамках ФЗ «О коммерческой тайне», необходимо соблюсти основные требования к содержанию грифа:

      • Нанесение на носитель грифа «Коммерческая тайна» или включение его в состав реквизитов документов.
      • Указание полного наименование организации.
      • Указание места нахождения организации.

      Например:

      Коммерческая тайна
      Общество с ограниченной ответственностью
      «Рога и копыта»
      Российская Федерация, г. Москва, ул. Ленина, 111
      Экз. № ___

      Идентификация защищаемых сведений в электронном виде

      • В соглашение могут быть включены требования к содержанию файла, например, включение грифа в состав реквизита электронного документа;
      • При отправке сведений электронной почтой, в теле письма можно указать на конфиденциальность сведений во вложении или в теле самого письма.

      Идентификация защищаемых сведений, переданных устно

      Может возникнуть ситуация, когда сведения конфиденциального характера будут передаваться устно в рамках совещания или переговоров. Рекомендуется в соглашении учесть способ идентификации передаваемой информация слушателями и как зафиксирован факт передачи сведений, например:

      • Пример идентификации сведений: предупредить о конфиденциальном характере сведений, которые будут передаваться в устном порядке в последующее время.
      • Пример фиксации передачи: составить акт переданных сведений за подписью сторон с указанием даты, перечня сведений, краткого описания, лиц, основания передачи, реквизиты соглашения и т.д.

      Меры по защите

      Необходимо предусмотреть следующие моменты при указании мер защиты информации в соглашении:

      1. Сообщение информации о лицах, которые будут иметь право отправлять информацию / получать защищаемую информацию.
      2. Условия и требования ИБ при обмене информации в бумажном виде:
        • Способ доставки: курьер, почта, экспресс-доставка. Требования к упаковке.
        • Документы, достаточные для подтверждения приема/передачи: акты, реестры, журналы и т.д.
        • Минимальные достаточные меры защиты информации в электронном виде:
          • допустимость передачи с помощью flash, электронной почты, облачных сервисов, ftp и т.д.
          • минимальные достаточные меры по защите при передаче по каналам связи: требования к каналам связи, шифрование, электронная подпись, размеры ключей, требования к паролям и т.д.
          • Минимальные достаточные меры при обработки, хранении полученной информации в организации. Как правило, меры формулируются не конкретно, а путём перечисления обобщенных угроз ИБ, которые должны быть учтены: нарушение конфиденциальности, целостности, нарушение законодательства, использование информации во вред репутации. Например: Получающая сторона при обработке информации должна соблюдать меры защиты, позволяющие обеспечить сохранность конфиденциальности сведений, их целостность… При необходимости, можно прописать более подробно о мерах, которые должна предпринять принимающая сторона.
          • Указать действия, которые запрещено производить в отношении защищаемой информации. Например, публикация, передача третьим лицам, продажа, раскрытие иными способами и т.д...
          • Возможность и условия передачи информации третьим лицам: органам государственной власти; иным организациям. Например, с согласия, обязательное уведомление, форма уведомления и т.д.

          Порядок взаимодействия при событиях ИБ и инцидентах

          Должен быть прописан порядок взаимодействия при событиях ИБ и инцидентах.

          • Порядок уведомления.
          • Ответственные лица от каждой стороны за управление инцидентами.
          • Кто несёт ответственность по оплате расходов для ликвидации инцидентов. (зачастую ответственность по оплате расходов возлагается на виновную сторону)

          Лица ответственные за контроль

          Необходимо указать лиц, ответственных за контроль порядка использования защищаемой информации и принимаемых мер защиты. Как правило, руководители направлений, но зависит от размера организации и её структуры.

          Срок неразглашения и условия снятия грифа

          Зачастую, организации не указывают срок неразглашения защищаемой информации и условия снятия грифа.

          Чем это грозит? Повышение нагрузки на обеспечение режима КТ на неопределенный срок:

          1. рост количества документов в бумажном виде с неснятым грифом или срок конфиденциальности которых не определен контрагентом, — ежегодно растут трудозатраты персонала по сверке документов и проведения контрольных мероприятий. В крупных компаниях прирост документов с грифом может составлять до нескольких сотен, а то и тысяч в год. Осталось подсчитать прирост трудозатрат на сверку документов, архивацию, уничтожение, сопровождающееся документированием всех процедур.
          2. Рост площадей и количества хранилищ защищаемой документации. Возьмем количество документов из п. 1 и умножим на количество листов в каждом документе. Особенно актуально для проектной организации, где каждый проект может быть представлен на 5 тыс. листах, а то и выше.
          3. нагрузка на работу системы DLP, база индексов и правил которой растет при увеличении количества поступаемых документов с грифом КТ. Растет число анализируемых системой документов (которые ставятся на контроль в соответствии с политикой DLP). В связи с этим, отсутствует возможность прогнозирования потенциальных нагрузок на DLP.

          Что делать?

          1. Указывать конкретный срок действия соглашения.
          2. Указывать срок неразглашения сведений. При определении сроков, рекомендую ориентироваться на перечень сведений, составляющих коммерческую тайну.
          3. Определить от какого момента будет отсчитываться срок неразглашения: с момента получения, с даты документа, с даты прекращения действия соглашения, с даты, указанной в сопроводительном письме к документации и т.д.
          4. Определить условия, при которых гриф может быть снят получателем:
            • истечение срока, указанного в п. 2;
            • при получении уведомления о снятии грифа от обладателя сведений;
            • при возникновении каких-либо событий. Например, при подписании акта выполненных работ по договору, при введении объекта в эксплуатацию и т.д…
            Комментировать
            0 просмотров
            Комментариев нет, будьте первым кто его оставит

            Это интересно
            Adblock detector