Договор о неразглашении конфиденциальной информации для IT компаний (NDA)

Бизнес использует все возможные инструменты для защиты коммерческой тайны. Например, Tesla регулярно судиться с сотрудниками за разглашение конфиденциальной информации, чтобы защитить результаты своей интеллектуальной работы. Так, за последние 4 года американский производитель электромобилей начал 4 публичных процесса против своих сотрудников. У компании всегда есть весомые аргументы для защиты своей позиции, благодаря подписанию non-disclosure agreement. NDA — это соглашение о неразглашении конфиденциальной информации, которое подписывают с сотрудниками, клиентами, партнерами и инвесторами. Наличие документа позволяет компаниям обезопасить себя от утечки стратегически важной информации, оставаться конкурентоспособными и капитализировать бизнес.

NDA одинаково важно подписывать как компаниям с высокой капитализацией, так и на старте бизнеса, поэтому наши IT-юристы рассказали как составить соглашение и избежать ошибок.

Что такое NDA и зачем он нужен?

Соглашение о неразглашении информации — это гарантия для бизнеса от недобросовестного поведения членов команды, подрядчиков, клиентов и других людей, которым вы доверяете конфиденциальную информацию. Например, сотрудник может принять рабочий оффер конкурента, а это риск разглашения коммерческой тайны. С такой проблемой столкнулась компания Tesla, когда ее бывший сотрудник передал документы по логистическим операциям новому работодателю Zoox, тем самым нарушив NDA. Дело слушалось в суде и закончилось мировым соглашением, где стороны договорились, что Zoox выплатит Tesla компенсацию.

Но дела о нарушении NDA редко доходят до суда, чаще документ играет превентивную роль и предостерегает от разглашения коммерческой тайны. Соглашение помогает сформировать дисциплину по безопасному обмену информацией и корпоративную культуру. 

Нужно ли подписывать отдельный NDA или можно добавить пункт о конфиденциальности в основной договор?

Договор о неразглашении информации может быть частью контракта или отдельным соглашением. Наш совет в основном договоре предусмотреть отдельный пункт, который будет защищать вашу конфиденциальность, а детали изложить в отдельном соглашении.

Приведем пример. Компания подписывает договор на создание программного продукта с IT-специалистами. В этом договоре будут пункты, обязывающие членов команды соблюдать правила конфиденциальности, а такие детали, как перечень конфиденциальных данных, способы их передачи, место хранения, инструменты доказывания нарушений описывают в отдельном NDA.

Практика американских судов ярко показывает, что рядом с обязательствами по NDA часто существуют и другие: договор о неконкуренции (NCA) и непереманивании (NSA). 

Что предусмотреть в NDA?

Вот перечень пунктов, которые должны быть в каждом соглашении.

• Понятие и перечень данных, которые относятся к конфиденциальной информации.
• Перечень информации, которая не считается конфиденциальной, и ее разглашение или использование не навредит компании.
• Случаи правомерного разглашения информации. Например, по разрешению сторон или по требованию государственных органов.
• Способы передачи информации: корпоративная почта, мессенджеры, таск-менеджеры, репозитории.
• Штрафы за нарушение соглашения и обязанность возместить ущерб.
• Способы доказывания нарушений.
• Юрисдикция для рассмотрения спора.

Расскажем про каждый из них подробнее.

Понятие конфиденциальной информации 

Конфиденциальной считается сложнодоступная информация, которая не известна широкой публике. К ней относятся персональные данные, коммерческая тайна, ноу-хау, базы данных клиентов и другие объекты.

Список конфиденциальных данных составляется индивидуально под требования каждой компании, ее отдельных проектов и членов команды. К примеру, к нам обратилась онлайн образовательная платформа TechMission, чтобы защитить уникальные учебные материалы и бизнес-решения от утечки, переиспользования, перепродажи и распространения их сотрудниками. Запрос компании был в том, чтобы составить отдельные NDA для разных членов команды: финансового специалиста, разработчика, дизайнера, маркетолога и сейлз менеджера. Список информации, которая считается конфиденциальной для таких сотрудников составлялся индивидуально, так как каждый из них работает с разным объемом данных. Так для финансового специалиста конфиденциальными будут доступы к счетам компании, отчеты про прибыль и убытки, налоги, а для сейлз менеджера база лидов и конверсий, скрипты и аналитика. 

Также, юристы Stalirov&Co разрабатывали NDA c разработчиками для международной сервисной компании  Artkai. Для внедрения режима конфиденциальности в этой компании, юристы составили такой список информации: 

• Планы владельцев бизнеса, например по открытию новых компаний и выходу на новые рынки
• Сведения о маркетинге и продвижении услуг, о рыночной политике компании
• База клиентов и их контакты, списки подрядчиков, поставщиков, партнеров, с которыми работает компания
• Бюджеты проектов и заработная плата сотрудников
• Корреспонденция и переписки
• Сведения о разработанных программах, код, технические задания и спецификации
• Чертежи, шаблоны, планы, формулы
• Методология и приемы
• Презентации,  диаграммы, иллюстрации

При определении объема конфиденциальной информации, мы советуем избегать стандартных, общих формулировок. Образцы договоров находят в Интернете, но стоит помнить, что каждый случай уникален. 

Важно, чтобы перечень объектов информации в документе соответствовал процессам в компании и команде. Но не ограничивайте список. Для этого добавьте оговорку о том, что перечень конфиденциальной информации является неисчерпывающим. Такой пункт будет полезным, если окажется, что не все объекты обозначены в NDA. 

Легкомысленное отношение к NDA приводит к финансовым потерям и разочарованиям, как это случилось в истории, по мотивам которой в 2021 году Netflix выпустил сериал «Код на миллиард долларов». Это история двух гениев Карстена Шлютера и Юрия Мюллера, которая показывает насколько важно заключать NDA и детально описывать объекты конфиденциальной информации. Карстен и Юрий разработали Terra Vision — программное обеспечение для виртуального воспроизведения мира с помощью спутниковых изображений и архитектурных данных. Чтобы привлечь инвестиции, разработчики обратились к Google. Рассказали про фичи, алгоритмы, бизнес-планы и показали прототип продукта. Но вместо финансирования, Google украли идею, и представили миру аналогичный софт —  Google Earth. Сегодня этот продукт называется Google Карты. 

Такой ситуации можно было избежать, если бы разработчики, прежде чем делиться информацией с представителем Google, подписали NDA. В перечень конфиденциальных данных нужно было внести информацию о свободной навигации по хранилищу данных, квадродереве как макете карты, плавающей системе координат и адресации в памяти. Но разработчики не подписали NDA, потеряли права на технологии и, вместе с этим, возможность зарабатывать миллионы долларов в год.

Какая информация не считается конфиденциальной?

В NDA нужно включить список данных, которые можно разглашать. К ним относится:

• Общеизвестная информация
• Информация, уже известная стороне до подписания соглашения
• Информация, на раскрытие которой согласилась одна из сторон NDA

Какое разглашение считается правомерным?

Несмотря на то, что информация конфиденциальная, существуют ситуации, когда ее можно раскрыть. Например, допускается разглашение:

• Данных, которые прямо не обозначены и не перечислены в соглашении.
• Информации для получения дополнительных услуг, а также передачи данных бухгалтерам, аудиторам, юристам и другим консультантам.
• По письменному согласию собственников конфиденциальной информации.
• По требованию государственных органов. В NDA стоит написать о порядке разглашения в случае запроса государственного органа. Когда сторона соглашения получает запрос, она сообщает о нем другой стороне, и делает это до того, как отправляет ответ.

 В процессе создания новых продуктов IT-компания развивается и формирует портфолио. Важно показать потенциальным клиентам опыт работы. Внести результаты работы в портфолио можно только с разрешения клиента, для которого создавался продукт. Если вы получите письменное согласие, то разглашение информации о проекте, к примеру на вашем веб-сайте, будет правомерным.

Способы передачи информации

В соглашении должен быть пункт с описанием способов обмена конфиденциальной информацией, например:

• электронная почта; 
• мессенджеры: Whatsapp, Telegram, Slack;
• облачные хранилища данных;
• веб-сервисы для хостинга IT-проектов и их совместной разработки;
• программы удаленной конференц-связи: Skype, ZOOM, Google meet;
• таск-менеджеры: Trello, Asana, Jira;
• предоставление доступа к базам данных, репозиториям, библиотекам.

Штраф за нарушение соглашения и обязанность возместить ущерб

Штраф должен быть соизмерим с ущербом. Команда Stalirov&Co‎ часто сталкивается с соглашениями, в которых установлены кабальные штрафы и санкции. Однако, между нарушением и штрафом должна быть логическая связь. Сумму штрафа нужно обосновать. Мы рекомендуем устанавливать ее в разделе ответственность, с четким перечнем действий, которые приведут к штрафным санкциям. 

Как доказать нарушение и сумму ущерба?

В качестве доказательств размера ущерба предлагаем использовать:

• Заключение финансового аудитора. 
• Заключение экспертизы, с помощью которого будет установлено нарушение авторских прав, факт кражи объектов интеллектуальной собственности, таких как изобретения, рационализаторского предложения, ноу-хау и других.
• Выводы независимых IT-специалистов. К примеру, game-программист ушел в конкурирующую компанию. IT-специалист диагностировал, что в компьютерной игре конкурента используется фича, которая разработана вашей компанией. Такой вывод подтвердит, что разработка украдена.
• Показания свидетелей о разглашении.
• Письменные доказательства: контракт о неразглашении; цифровые утилиты, по которым генерируется и передается конфиденциальная информация: Jira, Asana, Confluence.
• Аудио и видеозаписи разговоров, которые свидетельствуют о разглашении.
• Электронные доказательства: деловая переписка через электронную почту, мессенджеры; голосовые сообщения; скриншоты; публикации в социальных сетях; информация с веб-сайтов или мобильных приложений, облачных хранилищ баз данных и другие.

Доказательства - это подтверждение позиции. Только устных аргументов недостаточно. Важно сформировать четкое убеждение о том, что соглашение нарушено, а сумма, которую хотите взыскать, соизмерима с ущербом. 

Что считается нарушением NDA?

В тексте документа должен быть перечень действий, которые считаются нарушением: несоблюдение правил компании о хранении и передаче конфиденциальной информации, передача информации конкурентам, размещение данных в открытых источниках, переманивание сотрудников или создание конкурирующих продуктов.

К примеру, в деле Sirona Dental Systems против Jian Lu компания получила $6.8 миллионов компенсации. Sirona Dental Systems — это мировой производитель стоматологической техники. Компания разработала продукт Apollo DI,  который сочетает программное обеспечение и оборудование для оптической визуализации. В 2014 году Sirona узнала, что две компании, принадлежащие их бывшему сотруднику Jian Lu, в Китае создали копию Apollo DI и вывели продукт на рынок. Юристы Sirona подали иск о незаконном присвоении коммерческой тайны, нарушении соглашения NDA и выиграли дело в суде Калифорнии.

Еще один пример нарушения NDA — дело Tesla. В мае 2022 года компания обвинила своего инженера в краже технологии Dojo. Это обучающий компьютер с нейронной сетью, который обрабатывает данные, необходимые для обучения искусственного интеллекта в беспилотных автомобилях Tesla. Компания обвиняет сотрудника в том, что он загрузил информацию на свои личные устройства и отказался ее вернуть. Кроме этого, инженер отправлял электронные письма с секретной информацией Tesla на свою электронную почту. В апреле 2023 года дело закончилось мировым соглашение, по которому инженер согласился выплатить компенсацию.

Как видите в кейсах Sirona Dental Systems и Tesla сотрудники совершали разные действия, и все они считаются нарушением NDA.

Кроме этого, нарушение режима конфиденциальности приводит и к уголовным процессам. Прокуратура США обвинила Ишана Вахи, бывшего менеджера по продуктам Coinbase, в раскрытии конфиденциальной информациеи о листинге новых криптовалютных активов. 

Ишан Вахи был участником канала для сотрудников Coinbase, которые участвовали в процессе листинга. Здесь сотрудники обсуждали новые списки цифровых активов, включая сроки и даты выпуска валюты на рынок. Из-за популярности Coinbase криптовалюты часто растут в цене после того, как биржа объявляет об их листинге. Трейдеры называют это «эффектом Coinbase». Поэтому биржа запрещает сотрудникам распространять любую непубличную информацию. Но Ишан сообщил своему брату и другу как минимум о 25 криптовалютах, которые Coinbase планировала разместить. Они покупали цифровые активы через анонимные криптокошельки, что в общей сложности принесло прибыль примерно в 1,5 миллиона долларов. Когда мошенническая схема была раскрыта, Ишан Вахи пытался бежать из США, но  был арестован, прежде чем смог сесть на рейс в Индию. Ему грозит несколько лет тюрьмы.

Юрисдикция — где будет рассматриваться спор?

Стороны договора выбирают страну и суд, который рассмотрит спор.

Выбор институции для рассмотрения спора зависит от локального размещения компании и  финансовых возможностей. Спор может рассматриваться в США, Великобритании и других странах. 

Если бизнес зарегистрирован в Украине, в NDA мы советуем предусмотреть возможность рассмотрения спора в Международном коммерческом арбитражном суде при Торгово-промышленной палате Украины (ICAC). Процедура в ICAC займет от трех до двенадцати месяцев, а слушание в суде может затянуться на годы. 62,4% споров в ICAC рассматриваются быстрее трех месяцев. Арбитражный сбор составит 1800$ если сумма, которая взыскивается с нарушителя, не превышает 10000$.

Кроме того, вы можете обратиться в украинский суд. Но слушание дела может длиться год и дольше.

В деле 757/17647/19-ц ТОВ «ПЮ Девелоперс» обратился в суд с иском о взыскании с сотрудника упущенной выгоды. Ответчик нарушил условия соглашения NDA и разгласил конфиденциальную информацию, которую получил от IT-компании. В результате такого разглашения ТОВ «ПЮ Девелоперс» нанесен ущерб в форме упущенной выгоды: заказчик отказался сотрудничать с IT-компанией из-за того, ее сотрудник разглашает конфиденциальную информацию, а именно поделился конфиденциальной информацией на личных страницах в социальных сетях Facebook и Linkedin. Такие действия стоили IT-специалисту 279 800 грн.

В качестве доказательства истец предоставил в суд договор о предоставлении услуг, который по вине сотрудника расторгнут. Сумма договора - 279 800 грн. ТОВ «ПЮ Девелоперс» доказал, что подписание договора могло принести прибыль 279 800 грн., которая по вине сотрудника не получена. И на основании статьи 22 Гражданского кодекса сотрудник компенсировал компании ущерб.

В практике украинских судов есть примеры, когда получить компенсацию не удалось. Кассационный гражданский суд в деле № 752/5775/16-ц отказал ТОВ «Смайл-Експо» и не взыскал компенсацию. Как обозначил истец, сотрудница во время отпуска зашла в корпоративную систему и получила доступ к коммерческой тайне. А после передала информацию конкуренту. Но суд решил, что истец не предоставил доказательства о неправомерном использовании в личных целях коммерческой тайны сотрудницей. Сам по себе факт, что работник вошел во время отпуска в корпоративную систему истца не является доказательством того, что она совершила разглашение коммерческой тайны.

Почему с юрисдикцией нужно определиться до того, как приступать к составлению NDA?

У каждой страны свои законы, которые регулируют подписание NDA. Особенно, когда соглашение заключают между сотрудником и работодателем. Представьте, что вы выбрали юрисдикцию Вашингтона. Тогда вы должны знать, что с июня 2022 года в этом штате действует Silenced No More Act. Закон разрешает сотрудникам раскрывать любые факты дискриминации и нарушения прав. В том числе свободно рассказывать о незаконной практике найма, нарушениях условий оплаты и режима работы. 

Аналогичные законы были приняты в Калифорнии, в штате Мэн, Орегоне и на Гавайях. Кроме этого, такая практика выходит за пределы США. В мае 2022 года провинция PEI в Канаде приняла схожий закон.

В Калифорнии в январе 2022 года суд уже принял первое решение на основе акта про ограничение NDA. Ответчиком в деле стала корпорация Google. Суд решил, что NDA компании включает слишком общие формулировки и нарушает трудовое законодательство. А именно, Google запрещал сотрудникам рассказывать о прошлом опыте на собеседованиях с потенциальными работодателями.

Рекомендации IT юристов

Положения NDA, которые мы описали в этой статье, снизят риск разглашения конфиденциальной информации и помогут обезопасить бизнес от финансовых потерь и конфликтов. Ниже вы найдете заключительные советы, которые помогут сделать ваш NDA еще эффективнее.

• Ориентируйтесь на продукт IT-компании, когда определяете понятие конфиденциальной информации в NDA.
• Предусмотрите право на публикацию кейсов в портфолио. Важно описать информацию, которую допустимо использовать в пресс-релизах.
• Пропишите в NDA с командой разработчиков обязанность не разглашать конфиденциальную информацию клиентов.