Спеціалізована юридична та адвокатська допомога
+38 (050) 462 15 51 Замовити дзвінок s

Ви наймаєте ІТ-компанію і відкриваєте доступ до вихідного коду, клієнтських даних та бізнес-процесів. Фактично віддаєте «ключі» від вашого бізнесу. Що зупинить підрядника від зловживань? 

Адже витоки інформації, хакерські атаки, інсайдерські загрози стали звичними явищами. Тому NDA та положення про кібербезпеку — це необхідні інструменти захисту. У цій статті розповідаємо, що обов’язково має бути в договорі з ІТ-підрядником.

NDA: що це і для чого

NDA або Non-Disclosure Agreement — це угода про нерозголошення. По суті, цей документ зобов’язує IT-компанію та її фахівців зберігати у таємниці важливу інформацію, яку вони отримують під час роботи над вашим проєктом.

Чому це важливо саме в ІТ? Тому що компанія отримує доступ до найцінніших активів вашого бізнесу. 

Уявіть, що розробник за окрему плату «злив» конкуренту базу з контактами ваших клієнтів. Без NDA довести порушення та отримати компенсацію буде майже неможливо.

До речі, NDA працює не тільки протягом проєкту. Найбільша цінність угоди — це гарантія захисту після завершення співпраці. Адже саме тоді з’являється спокуса вигідно монетизувати отриману інформацію. Тому часто NDA продовжує діяти ще кілька років після розірвання всіх інших договорів.

Наприклад, співробітник компанії Waymo (це виробник технологій автономного водіння) під час звільнення «взяв із собою» 14 000 конфіденційних файлів про технологію автопілота. 

Через 2 роки він заснував свою компанію, яка продала ці технології Uber. Waymo подала позов через порушення NDA. Uber довелося виплатити близько 245 млн доларів у акціях та публічно попросити вибачення.

У міжнародній співпраці наявність NDA ще важливіша. Якщо ваш підрядник з ЄС чи США, то ця угода стає обов’язковим стандартом. Європейський GDPR та американські галузеві регуляції зобов’язують контролювати доступ до інформації. 

Якщо NDA не укладено, ви порушуєте вимоги до обробки персональних даних і ризикуєте отримати мільйонні штрафи. Крім того, відповідальні західні компанії просто не почнуть співпрацю без підписаної угоди про нерозголошення. Це базова практика ведення бізнесу.

Ключові положення, які мають бути в NDA 

NDA стане ефективним інструментом лише за однієї умови — якщо угода сформульована правильно. Важливо прописати наступне.

Визначення конфіденційної інформації. Оптимальна формула — це конкретика + широке формулювання для «страховки». Спочатку визначіть конкретні категорії конфіденційних відомостей: вихідний код, технічна документація, бази даних користувачів, бізнес-процеси, маркетингові стратегії, фінансові показники. 

Потім додайте загальне формулювання:

«конфіденційною вважається будь-яка інформація, передана Замовником в усній, письмовій, електронній формі або до якої Підрядник отримав доступ під час виконання робіт».

Обсяг зобов’язань підрядника. Це конкретний список заборон:

  • не розголошувати відомості третім особам;
  • не використовувати в особистих цілях;
  • не копіювати без дозволу;
  • не зберігати після завершення проєкту на особистих носіях;
  • не застосовувати зворотну розробку коду.

Строк дії NDA. Стандартно угода має працювати хоча б 3-5 років після завершення співпраці. Для особливо чутливої інформації (ноу-хау, протоколи безпеки тощо) можна зафіксувати безстрокове нерозголошення.

Винятки з режиму конфіденційності. Важливо передбачити, яке розголошення не буде вважатися порушенням NDA. Наприклад, якщо інформація отримана з відкритих джерел до підписання договору або від третіх осіб без порушення NDA. Або розкриття конфіденційних відомостей на вимогу закону або судового рішення.

Санкції. Можна прописати фіксовану неустойку (наприклад, 20 000 $ за кожен факт порушення) плюс відшкодування всіх збитків. Також часто передбачають право замовника негайно розірвати договори у разі порушення NDA без компенсацій підряднику.

Кібербезпека у договорі з IT-підрядником

NDA захищає від навмисного витоку інформації. Але що робити з ненавмисним? Наприклад, підрядник не передає ваші дані, а просто зберігає їх на незахищеному ноутбуці або у хмарі без шифрування. На такий випадок у договір закладають конкретні вимоги до кібербезпеки.

Насамперед це збереження інформації. Зазвичай стандартні вимоги виглядають так: 

  • дані зберігаються винятково на захищених серверах з шифруванням; 
  • доступ — лише через корпоративну інфраструктуру, а не особисті девайси; 
  • заборонено використовувати публічні хмарні сервіси без погодження; 
  • після завершення проєкту — повне видалення всіх копій з підтвердженням.

Також слід визначити та зафіксувати конкретне коло осіб, які мають доступ до інформації. Як буває на практиці? Ви наймаєте одного Senior Developer, а він залучає трьох джуніорів з аутсорс-агенції. І виявляється, що мінімум 4 людей вже мають доступ до вашої клієнтської бази. 

Тому у договорі варто прописати перелік фахівців (їх ПІБ та посади) з боку підрядника, які можуть працювати з конфіденційними відомостями. Звісно, інколи необхідно залучати додаткових людей. Але це має бути лише з вашого письмового дозволу. І бажано, щоб кожен учасник команди також підписав угоду про нерозголошення. 

Ще один важливий аспект — технічний захист доступу. Тут має бути список конкретних інструментів, які компанія зобов’язана використовувати:

  • VPN для будь-якого віддаленого доступу до ваших систем;
  • багатофакторна автентифікація для всіх акаунтів;
  • шифрування даних при передачі та зберіганні;
  • окремі облікові записи для кожного члена команди та заборона на спільні паролі;
  • автоматичний logout після 15 хвилин неактивності;
  • заборона на доступ з публічних Wi-Fi без VPN.

Якщо ви працюєте з серйозною компанією, а не з фрилансером, вона має документально підтвердити свій рівень інформаційного захисту. Для цього існують міжнародні сертифікати безпеки.

Наприклад, ISO 27001. Це міжнародний стандарт, який підтверджує, що у підрядника налагоджені процеси захисту інформації. Або GDPR compliance. Цей стандарт обов’язковий для роботи з персональними даними громадян ЄС. 

Якщо підрядник не має цих сертифікатів, він повинен надати детальний опис своїх політик безпеки: як зберігаються паролі та обмежується доступ, як реагують на інциденти, як навчають персонал тощо.

Також договір має забезпечувати ваше право контролювати дотримання вимог безпеки. Зокрема, підрядник зобов’язаний вести логи (такий собі цифровий «журнал»). Там фіксують усі дії з вашими відомостями: хто, коли і до чого отримував доступ, що змінював або завантажував. Доступ до логів вам мають надавати на ваш запит.

Бажано прописати у договорі право замовника проводити аудити безпеки. Ви можете робити це самостійно або через незалежну компанію. 

Практична різниця між NDA та кібербезпекою

Захист конфіденційної інформації та кібербезпека — два різних інструменти. Але вони взаємодоповнюють один одного.

NDA — це правовий захист. Він «карає» за наслідки, але не завжди може їм запобігти. Наприклад, підрядник продав ваші дані конкурентам. Тоді NDA дає вам право подати до суду і вимагати компенсацію. Але шкода бізнесу вже завдана.

Кібербезпека — це технічний захист. Він працює на випередження. Це заходи, які унеможливлюють або значно ускладнюють витік інформації. Підрядник має намір «злити» базу? Він не зможе завантажити її без вашого дозволу. Хтось пробує зламати акаунт? Система блокує підозрілий вхід. 

Кібербезпека мінімізує ризик витоку. NDA створює фінансові та юридичні наслідки для тих, хто спробує обійти захист. 

IT-підрядник з-за кордону: що передбачити

Коли ваш підрядник у Варшаві, Тбілісі чи Дубаї, з’являються додаткові юридичні виклики. Міжнародна співпраця вимагає врахування не лише українського законодавства, а й правил тих країн, де працює підрядник.

GDPR або General Data Protection Regulation регулює обробку персональних даних громадян Євросоюзу. Якщо ви — українська компанія, але збираєте інформацію про клієнтів з ЄС, ви зобов’язані дотримуватися GDPR. 

Персональні дані (імена, email, телефони, IP-адреси) вважаються найчутливішою категорією. Їх передача вимагає окремої угоди — Data Processing Agreement (DPA), де прописані обов’язки підрядника. Порушення GDPR може коштувати до 20 млн євро або 4 % річного обороту.

Data Protection Agreement або DPA. Його часто вимагають американські компанії. Це окремий документ, що деталізує обробку та захист даних. Без цього серйозна американська компанія не почне співпрацю. Також можуть застосовуватися California Consumer Privacy Act (CCPA), HIPAA для медичних відомостей, різноманітні федеральні закони для фінансів.

Крім того, у вашому договорі має бути визначено право конкретної країни, яке буде застосоване у разі спору. А також які суди чи арбітражі розглядатимуть ваш спір. Варіанти різні:

  • українське право та суди — це найпростіше для української компанії, але підрядник може відмовитися;
  • міжнародний арбітраж (LCIA, ICC); 
  • право країни-члена ЄС.

Без цього пункту ви ризикуєте судитися в іншій країні за чужим правом.

Ще одне чутливе питання — це вимоги до транскордонної передачі даних. Якщо відомості зберігаються на серверах в іншій країні, це вже вважається транскордонною передачею інформації. 

У цьому випадку GDPR вимагає дотримання Standard Contractual Clauses. Це типові застереження від Єврокомісії, які гарантують інформаційний захист за межами ЄС.

Типові помилки та як їх уникнути

Більшість компаній роблять однакові помилки при укладанні договорів з ІТ-підрядниками. Розповідаємо про найпоширеніші та підказуємо, що з ними робити.

Помилка 1: шаблонний NDA без ІТ-специфіки. Ви берете типову угоду про нерозголошення. Там є загальні фрази про «комерційну таємницю» і «конфіденційну інформацію». Але ні слова про вихідний код, API-ключі або доступ до репозиторіїв. 

В результаті підрядник використовує ваші алгоритми у власному проєкті. І «технічно» це не буде порушенням NDA. Адже ці дані не були визначені як конфіденційні. 

Що робити? Завжди адаптуйте NDA під ІТ-реалії — конкретно перелічіть категорії конфіденційної інформації, включіть технічні терміни, пропишіть заборони.

Помилка 2: відсутність у договорі технічних вимог до безпеки. Уявіть, підрядник зберігає код на Dropbox, передає доступи через Telegram, працює з кав’ярні через публічний Wi-Fi. І, знову ж таки, формально нічого не порушує. 

Щоб цього уникнути, обов’язково включайте розділ про кібербезпеку в основний договір. Не забудьте прописати технічні вимоги: VPN, 2FA, шифрування, заборона на публічні хмари без погодження.

Помилка 3: розмиті або символічні санкції. Інколи у договорах пишуть: «у разі порушення — відповідальність згідно з законодавством України» або штраф 500 $ за будь-яке порушення угоди. І це зовсім не відповідає тій шкоді, яка буде завдана недотриманням NDA чи заходів безпеки. 

Тому фіксуйте реальні штрафи, що будуть пропорційні цінності ваших даних. Наприклад, 50 000 $ за кожен факт розголошення плюс повне відшкодування збитків. Санкції мають «боліти», інакше вони не працюють.

Помилка 4: підписали договір без перевірки підрядника. Чому важливо проводити due diligence перед початком співпраці та подальші аудити? Бо без цього може виявитися, що ваш підрядник не має жодних політик безпеки та зберігає інформацію на незахищеному Google Drive. 

Тому перед підписанням договору запитайте сертифікати безпеки (ISO 27001, SOC 2), політики захисту даних, результати попередніх аудитів. Під час співпраці вимагайте логи доступу, проводьте регулярні аудити безпеки, перевіряйте дотримання усіх вимог.

Також ми підготували короткий, але практичний чек лист з безпечної робити з IT-підрядниками

  • проведіть due diligence компанії до підписання угоди: сертифікати, політики, кейси, відгуки клієнтів;
  • комбінуйте в договорі NDA і технічні вимоги до безпеки; 
  • встановлюйте конкретні KPI з безпеки —  час реагування на інциденти, частота оновлень паролів тощо;
  • прописуйте відповідальність за розголошення для всіх людей, які працюватимуть над проєктом, включно з субпідрядниками;
  • включайте у договір право на регулярні аудити та доступ до логів;
  • регулярно оновлюйте договори з урахуванням нових загроз і стандартів.

Співпраця з ІТ-підрядниками без захисту інформації — це гра в рулетку. Проте NDA та вимоги до кібербезпеки дають подвійний захист. Ви отримуєте юридичний важіль для покарання порушників та інструменти для запобігання витоку інформації. 

Потрібна допомога у підготовці договору або аудит актуальних угод з IT-підрядниками? Адвокати Mitrax спеціалізуються на ІТ-праві та захисті даних. Зверніться до нас за контактами на цьому сайті.

1 Star2 Stars3 Stars4 Stars5 Stars (Поки оцінок немає)
Loading...