Договір про нерозголошення конфіденційної інформації для IT компанії (NDA)

Компанії роблять все, щоб не допустити сторонніх до комерційної таємниці. Наприклад, Google зберігає у секреті пошукові алгоритми, а Election Systems & Software обмежив доступом до інформації про алгоритми електронного голосування під час виборів США.

Підтримувати такий рівень безпеки допомагають юридичні інструменти, один з яких Non-disclosure agreement. NDA – це угода про нерозголошення конфіденційної інформації.

IT-юристи STALIROV&CO розповіли як скласти NDA і уникнути помилок.

Що таке NDA і навіщо він потрібний?

Угода про нерозголошення інформації – це гарантія для бізнесу від недобросовісної поведінки партнера, підрядника та клієнта. У процесі співробітництва між сторонами виникають конфлікти. Що заважає співробітнику піти до конкурента та забрати результати роботи?

NDA як пункт у договорі чи окрема угода?

Договір про нерозголошення інформації може бути частиною договору або окремою угодою. Ми радимо в основному договорі передбачити окремий пункт, який захищатиме вашу конфіденційність, а детальні аспекти викласти в окремій угоді.

Наведемо приклад. З IT-фахівцями компанія підписує договір на створення програмного продукту. Тоді в основному договорі з девелоперами будуть пункти, які зобов'язують дотримуватись режиму конфіденційності, а такі деталі, як перелік конфіденційної інформації, способи її передачі та зберігання, інструменти доведення порушень, описують в окремому NDA.

Що передбачити у NDA?

Ось перелік пунктів, які мають бути у кожній угоді.

• Поняття та перелік даних, що належать до конфіденційної інформації.
• Перелік інформації, яка не вважається конфіденційною, та її розголошення чи використання не зашкодить компанії.
• Випадки правомірного розголошення інформації. Наприклад, з дозволу сторін або на вимогу державних органів.
• Способи передачі інформації: вибирайте реальні та технологічні способи, завдяки яким відбувається комунікація у компанії.
• Штрафи за порушення угоди та обов'язок відшкодувати збитки.
• Способи доведення порушень режиму конфіденційності.
• Юрисдикцію розгляду спору.

Розкажемо про кожен із них докладніше.

Поняття конфіденційної інформації (scope of confidential information)

Конфіденційною вважається складнодоступна інформація, яка невідома широкому загалу. До неї належать персональні дані, комерційна таємниця, ноу-хау, бази даних клієнтів та інші об'єкти.

Наприклад, ви підписуєте договір на розробку та дизайн веб-сайту. Для надання послуг IT-фахівцям потрібен доступ до ідей та концепцій. Також може знадобитися доступ до командних облікових записів або CRM систем. Для того, щоб зберегти конфіденційність, потрібно детально визначити, що включає поняття конфіденційної інформації. Наприклад:

• кореспонденцію, ділове листування, фінансову інформацію і деталі інших матеріалів, пов'язаних з проектом;
• бюджет проекту;
• список підрядників, постачальників, клієнтів і партнерів, ліцензіарів або ліцензіатів, з якими працює сторона;
• заробітну плату співробітників;
• відомості про маркетинг і просування товарів, про ринкову політику;
• програми або коди;
• товарні знаки та інші об'єкти права інтелектуальної власності;
• інформацію про плани щодо інтелектуальної власності для майбутніх проектів, по створенню нових прав інтелектуальної власності;
• креслення, шаблони, плани, формули;
• методи, прийоми;
• презентації, діаграми, ілюстрації;
• бази даних та інші об'єкти конфіденційної інформації в IT бізнесі.

Важливо, щоб перелік об'єктів інформації у документі відповідав процесам у компанії та команді. Але не обмежуйте список. Для цього додайте застереження, що перелік конфіденційної інформації є невичерпним. Такий пункт буде корисним, якщо виявиться, що не всі об'єкти позначені у NDA.

2021 року Netflix випустив серіал «Код на мільярд доларів». Це історія двох геніїв Карстена Шлютера та Юрія Мюллера, яка показує наскільки важливо укладати NDA та детально описувати об'єкти конфіденційної інформації. Карстен та Юрій розробили Terra Vision – програмне забезпечення для віртуального відтворення світу за допомогою супутникових зображень та архітектурних даних. Для того, щоб залучити інвестиції, розробники звернулися до Google. Розповіли про фічі, алгоритми, бізнес-плани та показали прототип продукту. Але замість фінансування, Google вкрали ідею і представили світу аналогічний софт — Google Earth. Сьогодні цей продукт називається Google Карти.

Такої ситуації можна було уникнути, якби розробники, до того як ділитися інформацією з представником Google, підписали NDA. До переліку конфіденційних даних потрібно було внести інформацію про вільну навігацію сховищем даних, квадродерево як макет карти, плаваючу систему координат та адресацію у пам'яті. Але розробники не підписали NDA, тому втратили права на технології, а разом з тим і можливість заробляти мільйони доларів на рік.

Яка інформація не вважається конфіденційною?

У NDA потрібно включити список даних, які можна розголошувати. До них належить:

• загальновідома інформація (наприклад - industry standard information).
• Інформація, що вже відома стороні до підписання угоди.
• Інформація, розкриття якої можливе за згодою сторін NDA.

Яке розголошення інформації вважається правомірним?

Незважаючи на те, що інформація є конфіденційною, існують ситуації, коли її можна розкривати. Наприклад:

• розголошення даних, які прямо не позначені та не перераховані в угоді.
• Для надання додаткових послуг, а також передачі інформації бухгалтерам, аудиторам, юристам та іншим консультантам.
• За письмовою згодою власників конфіденційної інформації.
• На вимогу державних органів. У NDA варто написати про порядок розголошення у разі запиту державного органу. Коли сторона угоди отримує запит, вона повідомляє про нього іншу сторону, і робить це до того, як надсилає відповідь.

Способи передачі інформації

Перелік інструментів комунікації має бути актуальним саме для вашої компанії. Наприклад:

• електронна пошта;
• месенджери: Whatsapp, Telegram, Slack;
• хмарні сховища даних;
• веб-сервіси для хостингу IT-проектів та їхньої спільної розробки;
• програми віддаленого конференц-зв'язку: Skype, ZOOM, Google meet;
• таск-менеджери;
• надання доступу до баз даних, репозиторій, бібліотек.

Штраф за порушення договору і обов'язок відшкодувати збитки

Штраф повинен бути співмірний зі шкодою. Команда STALIROV&CO часто стикається з угодами, в яких встановлені кабальні штрафи та санкції. Проте, між порушенням та штрафом має бути логічний зв'язок. Суму штрафу слід обґрунтувати. Ми рекомендуємо встановлювати її у розділі відповідальність, з чітким переліком дій, які призводять до штрафних санкцій. А для спрощення процедури погашення штрафу, позначте терміни та способи оплати.

Як довести порушення та суму збитків?

В якості доказів розміру шкоди пропонуємо використовувати:

• висновок фінансового аудитора.
• Висновок експертизи, за допомогою якого встановлюють порушення авторських прав, факт крадіжки об'єктів інтелектуальної власності: винаходів, раціоналізаторської пропозиції, ноу-хау та інших.
• Висновки незалежних IT-фахівців. Наприклад, game-програміст пішов у конкуруючу компанію. IT-фахівець діагностував, що у комп'ютерній грі конкурента використовується фіча, розроблена вашою компанією. Такий висновок підтвердить, що розробку вкрадено.
• Показання свідків про розголошення.
• Письмові докази: договір про нерозголошення; цифрові утиліти, за якими генерується та передається конфіденційна інформація: Jira, Asana, Confluence.
• Аудіо та відеозаписи розмов, які свідчать про розголошення.
• Електронні докази: ділове листування через електронну пошту, месенджери; голосові повідомлення; скріншоти; публікації у соціальних мережах; інформація з веб-сайтів або мобільних програм, хмарних сховищ баз даних та інші.

Кейс Ілона Маска та Twitter яскравий приклад того, як навіть твіти стають доказами у суді. Весь 2022 світ стежив за угодою Ілона і Twitter. У середині квітня мільярдер запропонував купити соціальну мережу за 44 мільярди доларів США. Але вже у травні призупинив угоду. Ілон вважав, що Twitter розкрив неправдиву інформацію про спам і підроблені облікові записи. На його думку, близько 20% користувачів Twitter є спам-ботами, а не 5%, як заявили представники соціальної мережі.

Тоді Twitter подав на мільярдера до суду Делавера, який у жовтні вирішить чи має Ілон Маск закрити угоду за узгодженою ціною. Крім того, що майбутній акціонер не виконав зобов'язання щодо угоди про злиття, він ще й порушив NDA. Ось один із твітів, який суперечить режиму конфіденційності. Тут Ілон ділиться інформацією про розмір вибірки Twitter для оцінки спаму.

Але найцікавіше те, що мільярдер сам зізнався, що порушив NDA.

Скоріше за все, він не планував, що справа дійде до суду, і його твіти будуть використовуватися як докази його недобросовісної поведінки.

Що вважається порушенням NDA?

У тексті документа має бути перелік дій, які вважаються порушенням: недотримання правил компанії про зберігання та передачу конфіденційної інформації, передача інформації конкурентам, розміщення даних у відкритих джерелах, переманювання співробітників або створення конкуруючих продуктів.

Наприклад, у справі Sirona Dental Systems Inc., v. Jian Lu позивач отримав $ 6.8 мільйонів компенсації. Sirona Dental Systems - світовий виробник стоматологічної техніки. Компанія розробила продукт Apollo DI, який поєднує програмне забезпечення та обладнання для оптичної візуалізації. У 2013 році співробітник Jian Lu пішов з Sirona Dental Systems Inc. У 2014 році Sirona дізналася, що дві компанії в Китаї створили копію Apollo DI і вивели продукт на ринок. Sirona дізналася, що ці компанії належать Jian Lu, і подала позов про незаконне привласнення, порушення угоди NDA і виграла справу в суді Каліфорнії.

У травні 2022 року Tesla звинуватила інженера Олександра Яцкова у крадіжці технології Dojo. Це комп'ютер Tesla з нейронною мережею, який обробляє дані, необхідні для навчання штучного інтелекту в безпілотних автомобілях Tesla. Компанія звинувачує співробітника у тому, що він завантажив інформацію на свої особисті пристрої та відмовився її повернути. Крім цього, інженер надсилав електронні листи із секретною інформацією Tesla на свою електронну пошту.

Як бачите у кейсах Sirona Dental Systems та Tesla співробітники робили різні дії, але всі вони вважаються порушенням NDA.

Практика американських судів демонструє, що поруч із зобов'язаннями щодо NDA часто існують й інші: договір про неконкуренцію (NCA) та непереманювання (NSA).

Крім цього, порушення режиму конфіденційності призводить до кримінальних процесів. Так прокуратура США звинуватила Ішана Вахі, колишнього менеджера з продуктів Coinbase, у розкритті конфіденційної інформації про лістинг нових криптовалютних активів. Ішан Вахі був учасником каналу для співробітників Coinbase, які брали участь у процесі лістингу. Тут співробітники обговорювали нові списки цифрових активів, включаючи терміни та дату оголошення. Через популярність біржі криптовалюти часто зростають у ціні після того, як Coinbase оголошує про їхній листинг. Трейдери називають це ефектом Coinbase. Тому біржа забороняє співробітникам розповсюджувати будь-яку непублічну інформацію. Як повідомляє ЗМІ Nasdaq Ішан проінформував свого брата та друга як мінімум про 25 криптовалютів, які Coinbase планувала розмістити. Вони купували цифрові активи через анонімні криптогаманці. Загалом шахрайство принесло 1,5 мільйона доларів прибутку. Ішан Вахі намагався втекти зі США, але був заарештований, перш ніж зміг сісти на рейс до Індії. Йому загрожує до 20 років ув'язнення.

Юрисдикція - де буде розглядатися спір?

Сторони договору вибирають суд якої країни розгляне спір.

Якщо бізнес зареєстрований в Україні, в NDA ми радимо передбачити можливість розгляду спору в Міжнародному комерційному арбітражному суді при Торгово-промисловій палаті України (ICAC). Процедура в ICAC триватиме від трьох до дванадцяти місяців, а слухання в суді може затягнутися на роки. Тут ви знайдете статистику, і переконайтеся, що 62,4% суперечок в ICAC розглядаються швидше трьох місяців. Арбітражний збір становить 1800 $ якщо сума, яка стягується з порушника, не перевищує 10000 $.

Крім того, ви можете звернутися до українського суду. Але слухання справи може тривати рік і довше.

У справі 757/17647/19-ц ТОВ «ПЮ Девелоперс» звернувся до суду з позовом про стягнення з працівника упущеної вигоди. Відповідач порушив умови угоди NDA і розголосив конфіденційну інформацію, яку отримав від позивача. В результаті такого розголошення позивачеві завдано збитків у формі упущеної вигоди: замовник відмовився співпрацювати з позивачем через те, що відповідач розголошує конфіденційну інформацію. Відповідач поділився конфіденційною інформацією на особистих сторінках в соціальних мережах Facebook і Linkedin. Такі дії коштували йому 279 800 грн..

Як доказ позивач надав до суду договір про надання послуг, який з вини співробітника розірвано. Сума договору - 279 800 грн.. ТОВ «ПЮ Девелоперс» довів, що підписання договору могло принести прибуток 279 800 грн., який з вини співробітника не отримано.

У практиці українських судів є приклади, коли отримати компенсацію не вдалося. Касаційний цивільний суд у справі № 752/5775/16-ц відмовив ТОВ «Смайл-Експо» і не стягнув компенсацію. Як зазначив позивач, співробітниця під час відпустки увійшла в корпоративну систему і отримала доступ до комерційної таємниці. А після передала інформацію конкуренту. Але суд вирішив, що позивач не надав докази про неправомірне використання у власних цілях комерційної таємниці. Сам по собі факт, що працівник увійшов під час відпустки в корпоративну систему позивача не є доказом того, що вона розголосила комерційну таємницю.

Чому з юрисдикцією потрібно визначитися до того, як розпочати складання NDA?

Кожна країна має свої закони, які регулюють підписання NDA. Особливо, коли угоду укладають між співробітником та роботодавцем. Уявіть, що ви обрали юрисдикцію Вашингтону. Тоді ви повинні знати, що з червня 2022 року у цьому штаті діє Silenced No More Act. Закон дозволяє співробітникам розкривати будь-які факти дискримінації та порушення прав. У тому числі вільно розповідати про незаконну практику найму, порушення умов оплати та режиму роботи.

Аналогічні закони були прийняті в Каліфорнії, штаті Мен, Орегоні та на Гаваях. Крім цього, така практика виходить за межі США. У травні 2022 року провінція PEI у Канаді ухвалила схожий закон.

У Каліфорнії у січні 2022 року суд вже ухвалив перше рішення на основі акту про обмеження NDA. Відповідачем у справі стала компанія Google. Суд вирішив, що NDA компанії включає надто загальні формулювання та порушує трудове законодавство. А саме Google забороняв співробітникам розповідати про минулий досвід на співбесідах з потенційними роботодавцями.

Рекомендації IT юристів

• Орієнтуватися на продукт IT-компанії, коли визначаєте поняття конфіденційної інформації в NDA.
• Зберігайте право власності на навички, методологію розробки, внутрішні програмні рішення і підходи, ноу-хау, які компанія використовує при створенні продукту.
• Фіксуйте право на публікацію кейсів у портфоліо. Важливо описати інформацію, яку допустимо використовувати в прес-релізах.
• Пропишіть в NDA з командою розробників обов'язок не розголошувати конфіденційну інформацію клієнтів.

Такі умови - основа угоди про конфіденційність та нерозголошення інформації, що передбачають потенційні випадки порушення угоди та захисту. Важливо детально описати положення, відповідальність, терміни зберігання конфіденційності, штрафні санкції та способи передачі такої інформації. Від цього залежить можливість стягнути штраф та шкоду, компенсувати збитки, завдані компанії, убезпечити бізнес від фінансових втрат та конфліктів.

‎