NDA в российском праве: мифы о «магической защите» информации
Миф № 1. NDA и «магическая защита» информации
Распространенное заблуждение: подписание NDA уже само по себе гарантирует защиту информации.
На практике: в отношении с работниками — без юридически правильно оформленного режима коммерческой тайны и зафиксированного факта ознакомления работника с этим документом (а также всеми его приложениями, включая собственно перечень документов и информации, отнесенных к объектам коммерческой тайны в конкретной компании) NDA не имеет юридической силы. Реально рабочий документ правильнее называть «Обязательство о неразглашении коммерческой тайны». Также такое обязательство можно включить и в трудовой договор, но ознакомить работника под подпись с Положением о коммерческой тайне все равно нужно.
Не стоит забывать и том, что владелец коммерческой тайны должен ее маркировать и ограничить к ней доступ. Если выяснится, что секретные документы лежат на столах в общем доступе, а файлы —в общедоступном облачном хранилище, доказать «секретность» такой информации будет непросто.
В отношении с контрагентами — тут больше простора для действий. Тут действительно можно заключить Соглашение о неразглашении информации. Но, опять же, в таком соглашении важно указать, что в компании введен режим коммерческой тайны и контрагент обязан охранять эту информации соответствующим образом. Также не стоит забывать, что передача контрагенту коммерческой тайны должна сопровождаться подписанием акта.
Если компания только обсуждает начало отношений с новым контрагентом и заключение какого-либо соглашения только обсуждается, для защиты конфиденциальной информации на тапе переговоров есть возможность воспользоваться п. 4 статьи 434.1 ГК РФ — если в ходе переговоров о заключении договора сторона получает информацию, которая передается ей другой стороной в качестве конфиденциальной, она обязана не раскрывать эту информацию и не использовать ее ненадлежащим образом для своих целей независимо от того, будет ли заключен договор. При нарушении этой обязанности она должна возместить другой стороне убытки, причиненные в результате раскрытия конфиденциальной информации или использования ее для своих целей.
Источники: ГК РФ, Федеральный закон «О коммерческой тайне» 98-ФЗ.
На практике: в отношении с работниками — без юридически правильно оформленного режима коммерческой тайны и зафиксированного факта ознакомления работника с этим документом (а также всеми его приложениями, включая собственно перечень документов и информации, отнесенных к объектам коммерческой тайны в конкретной компании) NDA не имеет юридической силы. Реально рабочий документ правильнее называть «Обязательство о неразглашении коммерческой тайны». Также такое обязательство можно включить и в трудовой договор, но ознакомить работника под подпись с Положением о коммерческой тайне все равно нужно.
Не стоит забывать и том, что владелец коммерческой тайны должен ее маркировать и ограничить к ней доступ. Если выяснится, что секретные документы лежат на столах в общем доступе, а файлы —в общедоступном облачном хранилище, доказать «секретность» такой информации будет непросто.
В отношении с контрагентами — тут больше простора для действий. Тут действительно можно заключить Соглашение о неразглашении информации. Но, опять же, в таком соглашении важно указать, что в компании введен режим коммерческой тайны и контрагент обязан охранять эту информации соответствующим образом. Также не стоит забывать, что передача контрагенту коммерческой тайны должна сопровождаться подписанием акта.
Если компания только обсуждает начало отношений с новым контрагентом и заключение какого-либо соглашения только обсуждается, для защиты конфиденциальной информации на тапе переговоров есть возможность воспользоваться п. 4 статьи 434.1 ГК РФ — если в ходе переговоров о заключении договора сторона получает информацию, которая передается ей другой стороной в качестве конфиденциальной, она обязана не раскрывать эту информацию и не использовать ее ненадлежащим образом для своих целей независимо от того, будет ли заключен договор. При нарушении этой обязанности она должна возместить другой стороне убытки, причиненные в результате раскрытия конфиденциальной информации или использования ее для своих целей.
Источники: ГК РФ, Федеральный закон «О коммерческой тайне» 98-ФЗ.
Миф № 2. Введение режима комтайны — это решение «навсегда»
Распространенное заблуждение: нужно один раз ввести в компании режим коммерческой тайны — принять Положение о КТ, вписать туда любые объекты — и защита будет действовать 5, 10, 100 лет.
На практике: закон «О коммерческой тайне» прямо говорит, что, во-первых, режим конфиденциальности можно установить в отношении сведений «любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности». Но, во-вторых, такие сведения должны иметь «действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании». То есть сделать конфиденциальной любою информацию по вашему желанию не получится.
Конфиденциальная информация должна быть никому, кроме вас, неизвестной. И благодаря такой неизвестности она должна давать вам бизнес-преимущество. Если, например, конкурент в результате своих собственных изысканий придет к таким же результатам, что вы (и сможет это доказать) — то это не нарушение секретности вашей информации. Или если спустя 5 лет эта информация стала общеизвестной, а такое в ИТ-сфере случается не редко — технологии для гиков быстро переходят в масс-маркет, то соответствующее бизнес-преимущество у вас уже отсутствует. Все это — поводы для актуализации вашего режима секретности.
Кроме того, в законе прямо сказано, что не может стать коммерческой тайной ни при каком условии. Это, в том числе сведения:
Рекомендация: необходимо проводить регулярные (минимум раз в год) аудиты объектов КТ и их актуализацию.
Источники: ст. 3 и 5 Федерального закона «О коммерческой тайне» 98-ФЗ.
На практике: закон «О коммерческой тайне» прямо говорит, что, во-первых, режим конфиденциальности можно установить в отношении сведений «любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности». Но, во-вторых, такие сведения должны иметь «действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании». То есть сделать конфиденциальной любою информацию по вашему желанию не получится.
Конфиденциальная информация должна быть никому, кроме вас, неизвестной. И благодаря такой неизвестности она должна давать вам бизнес-преимущество. Если, например, конкурент в результате своих собственных изысканий придет к таким же результатам, что вы (и сможет это доказать) — то это не нарушение секретности вашей информации. Или если спустя 5 лет эта информация стала общеизвестной, а такое в ИТ-сфере случается не редко — технологии для гиков быстро переходят в масс-маркет, то соответствующее бизнес-преимущество у вас уже отсутствует. Все это — поводы для актуализации вашего режима секретности.
Кроме того, в законе прямо сказано, что не может стать коммерческой тайной ни при каком условии. Это, в том числе сведения:
- содержащихся в учредительных документах юридического лица (но есть и исключения) и в документах, дающих право на осуществление предпринимательской деятельности;
- о составе имущества государственного или муниципального унитарного предприятия, государственного учреждения и об использовании ими средств соответствующих бюджетов;
- о состоянии противопожарной безопасности, санитарно-эпидемиологической и радиационной обстановке, безопасности пищевых продуктов и других подобных факторах, а также экологическая информация;
- о численности, о составе работников, о системе оплаты труда, об условиях труда, в том числе об охране труда, о показателях производственного травматизма и профессиональной заболеваемости, и о наличии свободных рабочих мест, а также о задолженности работодателя по выплате заработной платы и социальным выплатам;
- о нарушениях законодательства Российской Федерации и фактах привлечения к ответственности за совершение этих нарушений;
- прочая подобная информация.
Рекомендация: необходимо проводить регулярные (минимум раз в год) аудиты объектов КТ и их актуализацию.
Источники: ст. 3 и 5 Федерального закона «О коммерческой тайне» 98-ФЗ.
Миф №3. Написать штраф побольше – ведь он закроет все риски
Распространенное заблуждение: в NDA или Соглашение о конфиденциальности информации обязательно нужно вписать штраф побольше. Даже с работниками. Ведь в случае чего суд обязательно взыщет и компания покроет все убытки.
На практике: в отношении с контрагентами — придется хорошо поработать над доказыванием. Во-первых, необходимо доказать, что информация, которая утекла по вине контрагента или которую он сам начал использовать без вашего разрешения, действительно носит конфиденциальный характер. То есть в отношении нее соблюдены все юридические формальности — режим комтайны в вашей компании введен и актуален, эта информация соответствует критериям закона и может являться коммерческой тайной как таковая, носитель информации надлежащим образом маркирован.
Во-вторых, нужно показать, что была соблюдена процедура передачи вами конфиденциальной информации этому контрагенту — с него получено обязательство о защите такой информации, он получит носитель информации в соответствии с процедурой, подписав акт. В противном случае — у вас либо нет надлежащим образом оформленного объекта комтайны, либо факта его передачи, либо речь идет не о разглашении контрагентом информации, а об ее хищении (незаконном получении).
В-третьих, а это уже за пределами непосредственно Закона о коммерческой тайне, — вопрос доказывания убытков и их размера. Статья 15 ГК РФ говорит, компания может требовать полного возмещения причиненных убытков. Под убытками понимаются и реальный ущерб, и упущенная выгода (что особенно важно для конфиденциальной информации). А если нарушивший контрагент еще и сам получил вследствие этого доходы — компания вправе требовать возмещения не меньшего, чем такие доходы. То есть необходимо подтвердить, что из-за разглашения или хищения конфиденциальной информации компания понесла убытки. Размер подлежащих возмещению убытков должен быть установлен с разумной степенью достоверности.
Но зачем доказывать размер убытков, если можно проста установить крупный штраф (штрафную неустойку) в соглашении? И в этом случае вам все равно необходимо показать причинно-следственную связь между его разглашением и вашими убытками.
Кроме того, назначение подобных многомиллионных штрафов не свойственно российским судам — ведь если подлежащая уплате неустойка явно несоразмерна последствиям нарушения, суд вправе уменьшить неустойку в соответствии со статьей 333 ГК РФ.
В отношении с работниками: во-первых, в соответствии со статьей 11 Закона о коммерческой тайне, прежде чем требовать от работника соблюдения режима конфиденциальности, работодатель должен в обязательном порядке ознакомить под расписку работника с приведенным в законе перечнем документов и создать работнику необходимые для этого условия.
Во-вторых, действительно работодатель вправе потребовать от работника возмещения убытков, причиненных разглашением информации, составляющей коммерческую тайну. В том числе и с тех лиц, кто уже прекратил трудовые отношения, если он разгласил переданную ему во время работы конфиденциальную информацию. Однако важным тут является факт установления виновности конкретного работника. Если же разглашение информации, составляющей коммерческую тайну, произошло «вследствие несоблюдения работодателем мер по обеспечению режима коммерческой тайны, действий третьих лиц или непреодолимой силы» — причиненные работником убытки не возмещаются.
В-третьих — это размер и механизм возмещения. В отношении с работником важно учитывать еще и нормы трудового законодательства, в том числе главу 39 ТК РФ. Так, работник обязан возместить только прямой ущерб имуществу работодателя или его клиентов. Неполученные доходы (упущенная выгода) взысканию с работника не подлежат.
За причиненный ущерб работник несет материальную ответственность в пределах своего среднего месячного заработка — о миллионных штрафах речь не идет. Полная материальная ответственность возможно только в ряде случаев, указанных в законе.
Единственное исключение — это руководитель организации. В случае нарушений в его стороны, убытки определяются в соответствии с ГК РФ, то есть как с контрагентами.
Источники: ст. 11 Федерального закона «О коммерческой тайне» 98-ФЗ, ГК РФ, ТК РФ.
На практике: в отношении с контрагентами — придется хорошо поработать над доказыванием. Во-первых, необходимо доказать, что информация, которая утекла по вине контрагента или которую он сам начал использовать без вашего разрешения, действительно носит конфиденциальный характер. То есть в отношении нее соблюдены все юридические формальности — режим комтайны в вашей компании введен и актуален, эта информация соответствует критериям закона и может являться коммерческой тайной как таковая, носитель информации надлежащим образом маркирован.
Во-вторых, нужно показать, что была соблюдена процедура передачи вами конфиденциальной информации этому контрагенту — с него получено обязательство о защите такой информации, он получит носитель информации в соответствии с процедурой, подписав акт. В противном случае — у вас либо нет надлежащим образом оформленного объекта комтайны, либо факта его передачи, либо речь идет не о разглашении контрагентом информации, а об ее хищении (незаконном получении).
В-третьих, а это уже за пределами непосредственно Закона о коммерческой тайне, — вопрос доказывания убытков и их размера. Статья 15 ГК РФ говорит, компания может требовать полного возмещения причиненных убытков. Под убытками понимаются и реальный ущерб, и упущенная выгода (что особенно важно для конфиденциальной информации). А если нарушивший контрагент еще и сам получил вследствие этого доходы — компания вправе требовать возмещения не меньшего, чем такие доходы. То есть необходимо подтвердить, что из-за разглашения или хищения конфиденциальной информации компания понесла убытки. Размер подлежащих возмещению убытков должен быть установлен с разумной степенью достоверности.
Но зачем доказывать размер убытков, если можно проста установить крупный штраф (штрафную неустойку) в соглашении? И в этом случае вам все равно необходимо показать причинно-следственную связь между его разглашением и вашими убытками.
Кроме того, назначение подобных многомиллионных штрафов не свойственно российским судам — ведь если подлежащая уплате неустойка явно несоразмерна последствиям нарушения, суд вправе уменьшить неустойку в соответствии со статьей 333 ГК РФ.
В отношении с работниками: во-первых, в соответствии со статьей 11 Закона о коммерческой тайне, прежде чем требовать от работника соблюдения режима конфиденциальности, работодатель должен в обязательном порядке ознакомить под расписку работника с приведенным в законе перечнем документов и создать работнику необходимые для этого условия.
Во-вторых, действительно работодатель вправе потребовать от работника возмещения убытков, причиненных разглашением информации, составляющей коммерческую тайну. В том числе и с тех лиц, кто уже прекратил трудовые отношения, если он разгласил переданную ему во время работы конфиденциальную информацию. Однако важным тут является факт установления виновности конкретного работника. Если же разглашение информации, составляющей коммерческую тайну, произошло «вследствие несоблюдения работодателем мер по обеспечению режима коммерческой тайны, действий третьих лиц или непреодолимой силы» — причиненные работником убытки не возмещаются.
В-третьих — это размер и механизм возмещения. В отношении с работником важно учитывать еще и нормы трудового законодательства, в том числе главу 39 ТК РФ. Так, работник обязан возместить только прямой ущерб имуществу работодателя или его клиентов. Неполученные доходы (упущенная выгода) взысканию с работника не подлежат.
За причиненный ущерб работник несет материальную ответственность в пределах своего среднего месячного заработка — о миллионных штрафах речь не идет. Полная материальная ответственность возможно только в ряде случаев, указанных в законе.
Единственное исключение — это руководитель организации. В случае нарушений в его стороны, убытки определяются в соответствии с ГК РФ, то есть как с контрагентами.
Источники: ст. 11 Федерального закона «О коммерческой тайне» 98-ФЗ, ГК РФ, ТК РФ.