Договір про нерозголошення конфіденційної інформації для IT компаній (NDA)

Договір про нерозголошення конфіденційної інформації для IT компаній (NDA)

Адвокатське бюро "Дмитра Мамчика"

Адвокатське бюро "Дмитра Мамчика"

Бізнес використовує усі можливі інструменти для захисту комерційної таємниці. Наприклад, Tesla регулярно судиться із співробітниками щодо розголошення конфіденційної інформації, щоб захистити результати своєї інтелектуальної роботи. Так, за останні 4 роки американський виробник електромобілів ініціював початок 4 публічних процесів проти своїх співробітників. У компанії завжди є вагомі аргументи для захисту своєї позиції, завдяки підписанню non-disclosure agreement. NDA — це угода про нерозголошення конфіденційної інформації, яка підписується з співробітниками, клієнтами, партнерами та інвесторами. Наявність документу дозволяє компаніям убезпечити себе від витоку стратегічно важливої інформації, залишатися конкурентоспроможними та капіталізувати бізнес.

Що таке NDA та для чого він потрібен?

Угода про нерозголошення інформації — це гарантія для бізнесу від недобросовісної поведінки членів команди, підрядників, клієнтів та інших людей, яким ви довіряєте конфіденційну інформацію. Наприклад, співробітник може прийняти робочий оффер конкурента, а це ризик розголошення комерційної таємниці. З такою проблемою зіткнулася компанія Tesla, коли її колишній працівник передав документи, що стосуються логістичних операцій, новому роботодавцеві Zoox, тим самим порушивши NDA. Справа розглядалася в суді та завершилася мировою угодою, в якій сторони домовилися, що Zoox виплатить Tesla компенсацію.

Але справи про порушення NDA рідко доходять до суду, частіше документ виконує превентивну функцію та застерігає від розголошення комерційної таємниці. Угода допомагає формувати дисципліну безпечного обміну інформацією та корпоративну культуру.  

Чи потрібно підписувати окремий NDA чи можна додати пункт про конфіденційність до основної угоди?

Договір про нерозголошення інформації може бути частиною контракту або окремою угодою. Ми радимо в основному договорі передбачити окремий пункт, який буде захищати вашу конфіденційність, а деталі врегулювати окремою угодою. 

Наведемо приклад. Компанія підписує договір на створення програмного продукту з іт-спеціалістами. У цьому договорі будуть пункти, що зобов’язують членів команди дотримуватися правила конфіденційності, а такі деталі, як перелік конфіденційних даних, способи їх передачі, місце зберігання, інструменти доказування порушень описують в окремому NDA.

Практика американських судів яскраво демонструє, що поряд з зобов’язаннями за NDA часто існують й інші: договір про неконкуренцію (NCA) та непереманювання (NSA). 

Що написати в NDA?

Ось перелік пунктів, які повинні бути у кожній угоді. 

  1. Поняття та перелік даних, які належать до конфіденційної інформації. 
  2. Перелік інформації, яка не вважається конфіденційною, та розголошення або використання якої не нашкодить компанії. 
  3. Випадки правомірного розголошення інформації. Наприклад, з дозволу сторін або на вимогу державних органів. 
  4. Способи передачі інформації: корпоративна пошта, месенджери, таск-менеджери, репозиторії. 
  5. Штрафи за порушення угоди та обов'язок відшкодувати збитки. 
  6. Способи доведення порушень. 
  7. Юрисдикція для розгляду спору. 

Розкажемо про кожен з них детальніше. 

Поняття конфіденційної інформації 

Конфіденційною вважається важкодоступна інформація, що не є відомою широкій публіці. До неї належать персональні дані, комерційна таємниця, ноу-хау, бази даних клієнтів та інші об’єкти. 

Список конфіденційних даних формується індивідуально під вимоги кожної компанії, її окремих проектів та членів команди. До прикладу, до нас звернулася онлайн освітня платформа  TechMission, щоб захистити унікальні навчальні матеріали та бізнес-рішення від витоку, перевикористання, перепродажу та розповсюдження їх співробітниками. Запит компанії полягав у тому, щоб скласти окремі NDA для різних членів команди: фінансового спеціаліста, розробника, дизайнера, маркетолога та сейлз менеджера. Список інформації, яка вважається конфіденційною для таких працівників складався індивідуально, оскільки кожен з них працює з різним об’ємом даних. Так, для фінансового спеціаліста конфіденційними будуть доступи до рахунків компанії, звіти про прибутки та збитки, податки, а для сейлз менеджера — база лідів та конверсій, скрипти та аналітика. 

Також, юристи Stalirov&Co розробили NDA з розробниками для міжнародної сервісної компанії Artkai. Для запровадження режиму конфіденційності в цій компанії, юристи склали такий список інформації: 

  1. Плани власників бізнесу, зокрема стосовно відкриття нових компаній та виходу на нові ринки
  2. Відомості про маркетинг та просування послуг, про ринкову політику компанії 
  3. База клієнтів та їх контакти, списки підрядників, постачальників, партнерів, з якими працює компанія 
  4. Бюджети проектів та заробітна плата працівників
  5. Кореспонденція та листування 
  6. Відомості про розроблені програми, коди, технічні завдання та специфікації 
  7. Креслення, шаблони, плани, формули 
  8. Методологія та прийоми 
  9. Презентації, діаграми, ілюстрації 

При визначенні об’єму конфіденційної інформації, ми радимо уникати стандартних, загальних формулювань. Зразки угод знаходять в Інтернеті, але варто пам’ятати, що кожен випадок унікальний. 

Важливо, щоб перелік об’єктів інформації у документі відповідав процесам у компанії та команді. Але не обмежуйте список. Для цього додайте застереження про те, що перелік конфіденційної інформації є невичерпним. Такий пункт буде корисним, якщо виявиться, що не всі об’єкти зазначені в NDA. 

Легковажне ставлення до NDA призводить до фінансових втрат та розчарувань, як це сталося в історії, за мотивами якої у 2021 році Netflix випустив серіал «Код на мільярд доларів». Це історія двох геніїв Карстена Шлютера та Юрія Мюллера, яка демонструє наскільки важливо укласти NDA та детально описувати об’єкти конфіденційної інформації. Карстен та Юрій розробили Terra Vision — програмне забезпечення для віртуального відтворення світу за допомогою супутникових зображень та архітектурних даних. Щоб залучити інвестиції, розробники звернулися до Google. Вони розповіли про фічі, алгоритми, бізнес-плани та показали прототип продукту, але замість фінансування, Google вкрали ідею, та презентували світу аналогічний софт —  Google Earth. Сьогодні цей продукт має назву Google Карти. 

Такої ситуації можна було уникнути, якби розробники перш ніж ділитися інформацією з представником Google, підписали NDA. До переліку конфіденційних даних слід було віднести інформацію про вільну навігацію сховищем даних, квадродерево як макет карти, плаваючу систему координат та адресацію у пам’яті. Однак розробники не підписали NDA, втратили права на технології та можливість заробляти мільйони доларів у рік. 

Яка інформація не вважається конфіденційною?

До NDA слід додати список даних, які можна розголошувати. До них належить:

  1. Загальновідома інформація 
  2. Інформація, що вже відома стороні до підписання угоди
  3. Інформація, на розкриття якої погодилася одна зі сторін NDA

Яке розголошення вважається правомірним? 

Незважаючи на те, що інформація конфіденційна, існують випадки, коли її розкриття допустиме. Наприклад,  допускається розголошення:

  1. Даних, які прямо не визначені та не перераховані в угоді.
  2. Інформації, необхідної для отримання додаткових послуг, а також для передачі даних бухгалтерам, аудиторам, юристам та іншим консультантам.  
  3. За письмовою згодою власників конфіденційної інформації.
  4. На вимогу державних органів. У NDA варто визначити порядок розголошення у випадку запиту державного органу. Коли сторона угоди отримує запит, вона повідомляє про нього іншу сторону, і робить це до того, як надішле відповідь.

У процесі створення нових продуктів IT-компанія розвиває та формує портфоліо. Важливо продемонструвати потенційним клієнтам досвід роботи. Внести результати роботи до портфоліо можна лише з дозволу клієнта, для якого створювався продукт. Якщо ви отримаєте письмову згоду, то розголошення інформації про проект, до прикладу на вашому вебсайті, буде правомірним. 

Способи передачі інформації

В угоді повинен бути пункт з описом способів обміну конфіденційною інформацією, наприклад: 

  1. електронна пошта; 
  2. месенджери: Whatsapp, Telegram, Slack;
  3. хмарні сховища даних;
  4. вебсервіси для хостингу IT-проектів та їх спільної розробки;
  5. програми віддаленого конференц-зв’язку: Skype, ZOOM, Google meet;
  6. таск-менеджери: Trello, Asana, Jira;
  7. надання доступу до баз даних, репозитаріїв,бібліотек.

Штраф за порушення угоди та обов’язок відшкодувати збитки

Штраф повинен бути співмірним зі збитками. Команда Stalirov&Co‎ часто зіштовхується з угодами, у яких встановлені кабальні штрафи та санкції. Однак, між порушенням та штрафом повинен бути логічний зв’язок. Суму штрафу потрібно обґрунтувати. Ми рекомендуємо встановлювати її у розділі відповідальність, з чітким переліком дій, які призводять до застосування штрафних санкцій. 

Як довести порушення та суму збитків? 

Як доказ розміру збитків пропонуємо використовувати: 

  1. Висновок фінансового аудитора. 
  2. Висновок експертизи, за допомогою якої буде встановлено порушення авторських прав, факт крадіжки об’єктів інтелектуальної власності, таких як винахід, раціоналізаторська пропозиція, ноу-хау та інших. 
  3. Висновки незалежних іт-спеціалістів. До прикладу, game-програміст пішов у конкуруючу компанію, де використав результати розробок, створених за час роботи у колишнього роботодавця. ІТ-спеціаліст, який готував висновки на підтвердження такого факту, діагностував, що у комп’ютерній грі конкурента використовується фіча, що розроблена компанією колишнім роботодавцем game-програміста. Такий висновок підтвердить, що розробку вкрадено. 
  4. Показання свідків про розголошення. 
  5. Письмові докази: контракт про нерозголошення, цифрові утиліти, якими генерується та передається конфіденційна інформація: Jira, Asana, Confluence.
  6. Аудіо та відеозаписи розмов, які свідчать про розголошення. 
  7. Електронні докази: ділове листування з використанням електронної пошти, месенджерів; голосові повідомлення; скріншоти; публікації у соціальних мережах; інформація з вебсайтів або мобільних додатків, хмарних сховищ баз даних та інше.

Докази — це підтвердження позиції. Тільки усних аргументів недостатньо. Важливо сформувати чітке переконання про те, що угоду порушено, а сума, яку ви хочете стягнути, співрозмірна зі збитками. 

Що вважається порушенням NDA?

У тексті документа повинен бути перелік дій, які вважаються порушенням: недотримання правил компанії про зберігання та передачу конфіденційних даних, передача інформації конкурентам, розміщення даних у відкритих джерелах, переманювання співробітників або створення конкуруючих продуктів. 

До прикладу, у справі Sirona Dental Systems проти Jian Lu компанія отримала $6.8 мільйонів компенсації. Sirona Dental Systems — це світовий виробник стоматологічної техніки. Компанія розробила продукт Apollo DI,  який поєднує програмне забезпечення та обладнання для оптичної візуалізації. У 2014 році Sirona дізналася, що дві компанії, які належать їх колишньому співробітнику Jian Lu, у Китаї створили копію Apollo DI та вивели продукт на ринок. Юристи Sirona подали позов про незаконне присвоєння комерційної таємниці, порушення угоди NDA та виграли справу у суді Каліфорнії.

Ще один приклад порушення NDA — справа Tesla. У травні 2022 року компанія звинуватила свого інженера в крадіжці технології Dojo. Це навчальний комп’ютер з нейронною мережею, який обробляє дані, необхідні для навчання штучного інтелекту в бізпілотних автомобілях Tesla. Компанія звинувачує співробітника у тому, що він завантажив інформацію на свої особисті пристрої та відмовився її повернути. Крім цього, інженер надсилав електронні листи з секретною інформацією Tesla на свою електронну пошту. У квітні 2023 року справа завершилася мировою угодою, відповідно до якої інженер погодився виплатити компенсацію. 

Як бачите у кейсах Sirona Dental Systems та Tesla співробітники здійснювали різні дії, і всі вони вважаються порушенням NDA.

Крім цього, порушення режиму конфіденційності може мати наслідком і кримінальні процеси. Прокуратура США звинуватила Ішана Вахі, колишнього менеджера з продуктів Coinbase, у розкритті конфіденційної інформації про лістинг нових криптовалютних активів. 

Ішан Вахі був учасником каналу для співробітників Coinbase, які брали участь у процесі лістингу. Тут співробітники обговорювали нові списки цифрових активів, включно зі строками та датами випуску валюти на ринок. Через популярність Coinbase криптовалюти часто ростуть в ціні після того, як біржа оголошує про їх лістинг. Трейдери називають це «ефектом Coinbase». Біржа забороняє співробітникам розголошувати будь-яку непублічну інформацію, але Ішан повідомив своєму брату та другу як мінімум про 25 криптовалют, які Coinbase планувала розмістити. Вони купували цифрові активи через анонімні гаманці, що загалом принесло їм прибуток розміром близько 1,5 мільйона доларів США. Коли шахрайська схема була розкрита, Ішан Вахі намагався втекти зі США, однак був арештований, перш ніж зміг сісти на рейс до Індії. Йому загрожує декілька років в’язниці.  

Юрисдикція - де буде розглядатися спір? 

Сторони договору обирають державу та суд, який розглядатиме спір. 

Вибір інституції для розгляду спору залежить від локального розміщення компанії та фінансових можливостей. Спір може розглядатися у США, Великобританії та інших державах. 

Якщо бізнес зареєстровано в Україні, у NDA ми радимо передбачити можливість розгляду спору у Міжнародному комерційному арбітражному суді при Торгово-промисловій палаті України (ICAC). Процедура у ICAC займе від трьох до дванадцяти місяців, а розгляд справи у суді може затягнутися на роки. 62,4% спорів у ICAC розглядаються швидше, ніж за три місяці. Арбітражний збір складе 1800$ якщо сума, яка стягується з порушника, не перевищує 10000$.

Крім цього, ви можете звернутися до українського суду. Але розгляд справи може тривати рік та більше.

У справі 757/17647/19-ц ТОВ «ПЮ Девелоперс» звернувся до суду з позовом про стягнення з працівника упущеної вигоди. Відповідач порушив умови угоди NDA та розголосив конфіденційну інформацію, яку отримав від іт-компанії. В результаті такого розголошення ТОВ «ПЮ Девелоперс» завдано збитків у формі упущеної вигоди: замовник відмовився співпрацювати з іт-компанією через те, що її працівник розголошує конфіденційну інформацію на особистих сторінках у соціальних мережах Facebook та Linkedin. Такі дії коштували іт-спеціалісту 279 800 грн.

У якості доказу позивач надав до суду договір про надання послуг, який було розірвано з вини працівника. Сума договору складала 279 800 грн. ТОВ «ПЮ Девелоперс» довело, що підписання договору могло принести прибуток у 279 800 грн., який з вини працівника не отримано. На підставі статті 22 Цивільного кодексу працівник компенсував компанії збитки.

У практиці українських судів є приклади, коли отримати компенсацію не вдалося. Касаційний цивільний суд у справі № 752/5775/16-ц відмовив ТОВ «Смайл-Експо» та не стягнув компенсацію. Як зазначив позивач, співробітниці під час відпустки зайшла в корпоративну пошту та отримала доступ до комерційної таємниці, а пізніше передала її конкуренту. Але суд вирішив, що позивач не надав доказів неправомірного використання працівницею комерційної таємниці в особистих цілях. Сам по собі факт того, що працівниця увійшла в корпоративну систему позивача під час відпустки, не є доказом того, що вона здійснила розголошення комерційної таємниці. 

Чому з юрисдикцією слід визначитися до того, як складати NDA?

Кожна держава має свої закони, що регулюють підписання NDA. Особливо, якщо угоду укладають між працівником та роботодавцем. Уявіть, що ви обрали юрисдикцію Вашингтону. Тоді ви повинні знати, що з червня 2022 року у цьому штаті діє Silenced No More Act. Закон дозволяє працівникам розголошувати будь-які факти дискримінації та порушення прав. Зокрема, вільно розповідати про практику незаконного найму, порушення умов оплати та режиму роботи. 

Аналогічні закони були прийняті у Каліфорнії, у штаті Мен, Орегоні та на Гаваях. Крім цього, така практика поширюється за межі США. У травні 2022 року провінція PEI у Канаді прийняла схожий закон.  

У Каліфорнії в січні 2022 року суд вже ухвалив перше рішення на основі акту про обмеження NDA. Відповідачем у справі стала корпорація Google. Суд вирішив, що NDA компанії містить надто загальні формулювання та порушує трудове законодавство. А саме, Google забороняв працівникам розповідати про минулий досвід на співбесідах з потенційними роботодавцями.

Рекомендації IT юристів

Положення NDA, які ми описали у цій статті, знизять ризик розголошення конфіденційної інформації та допоможуть убезпечити бізнес від фінансових втрат та конфліктів. Нижче ви знайдете заключні поради, які допоможуть зробити ваш NDA ще ефективнішим.

  1. Орієнтуйтесь на продукт IT-компанії, коли визначаєте поняття конфіденційної інформації у NDA.
  2. Передбачте право на публікацію кейсів та портфоліо. Важливо описати інформацію, яку допустимо використовувати у прес-релізах. 
  3. Пропишіть у NDA з командою розробників обов'язок не розголошувати конфіденційну інформацію клієнтів.