политика конфиденциальности в договоре
Политика конфиденциальности на сайте: кому нужна и как оформить
Большинство сайтов содержит раздел «Политика конфиденциальности». Это незаметная ссылка, которую обычно располагают в подвале страницы. Владельцы сайтов размещают её неслучайно: они защищают себя от штрафа и блокировки Роскомнадзором. Позаботьтесь о ней тоже, если на вашем сайте есть корзина или форма обратной связи.
Почему важно правильно работать с персональными данными
Персональные данные — любая информация о посетителе страницы, которая позволяет его опознать. Например, имя, возраст, телефон, электронная почта, домашний адрес, фотография. Закон 152-ФЗ запрещает собирать, хранить и обрабатывать эти данные без согласия человека. За нарушения владельцев сайтов штрафуют по ст. 13.11 КоАП.
Штрафы для ИП и ООО:
— Нет политики конфиденциальности: для ИП — от 5000 до 10 000 рублей, для ООО — от 15 000 до 30 000 рублей.
— Владелец сайта отказался сообщить пользователю, какие данные о нём собраны и с какой целью: для ИП — от 10 000 до 15 000 рублей, для ООО — от 20 000 до 40 000 рублей;
— Владелец сайта не удалил персональные данные по требованию пользователя: для ИП — от 10 000 до 20 000 рублей, для ООО — от 25 000 до 45 000 рублей
— Персональные данные оказались у третьих лиц: для ИП — от 10 000 до 20 000 рублей, для ООО — от 25 000 до 50 000 рублей.
— Обработка персональных данных противоречит целям сбора: для ИП — от 5 000 до 10 000, для ООО — от 30 000 до 50 000 рублей.
— Персональные данные обрабатывают без согласия посетителя сайта: для ИП — от 10 000 до 20 000 рублей, для ООО — от 15 000 до 75 000 рублей.
Кто находит нарушения и как
Сайты проверяет Роскомнадзор. Самая популярная причина проверки — жалоба клиента. Плановые проверки тоже бывают, но к малому бизнесу с ними приходят редко.
Владимир планирует семейное путешествие в Грецию. Он оставил свои контакты на сайте компании «Горящие туры». Ему перезвонили и предложили слишком дорогую путёвку, поэтому он отказался. На следующий день Владимир получил СМС: «Турция, Стамбул, 22-28 марта, 30 000 руб./чел, отель 5 звёзд, подробности на сайте». Подобные СМС доставали его до самого отпуска. Когда он вернулся из поездки, рассылка продолжилась. Он позвонил в ООО «Горящие туры» и попросил больше не писать ему. На следующий день получил очередное СМС — и не выдержал, написал жалобу в Роскомнадзор.
Роскомнадзор заблокировал сайт на время проверки. Политики конфиденциальности на сайте не обнаружилось. Владелец «Горящих туров» получил два штрафа: за отсутствие политики конфиденциальности и отказ удалить данные пользователя. Он заплатил 75 000 рублей.
Какие термины используют в законе
Знание терминов пригодится, если будете читать нормативно-правовые акты или другие статьи по теме.
Операторы персональных данных — владельцы сайтов.
Операторы собирают, обрабатывают и хранят персональные данные. Все три действия важно прописать в политике конфиденциальности.
Что такое политика конфиденциальности
Владелец сайта берёт у каждого посетителя согласие на сбор, обработку и хранение персональных данных. Подписывать документ на бумаге — затруднительно, из-за этого сайт растеряет всех посетителей. Поэтому есть способ проще — выложить на сайт специальный документ.
В политике конфиденциальности прописывают, какую информацию и с какой целью собирают. Сообщают также, какое действие считается согласием на обработку персональных данных. Например, оформление заказа или заполнение формы — ч. 2 ст. 18.1 152-ФЗ.
Как принять политику конфиденциальности
1. Составьте документ
Подготовьте политику конфиденциальности в виде отдельного документа. Также можно включить правила обработки персональных данных в пользовательское соглашение или договор-оферту, если работаете по ним.
Проще всего подготовить политику конфиденциальности при помощи специальных сервисов — например, конструктора Тильды.
В документе отразите:
— Перечень персональных данных. Например, имя, адрес, телефон. Не забудьте перечислить файлы cookie — обезличенные данные о посетителях, которые собирают Яндекс.Метрика и Гугл.Аналитика.
— Цели сбора и обработки. Например, исполнение договора, создание рекламных акций, продвижение товаров, улучшение сайта.
— Срок хранения. Он должен соответствовать целям.
— Меры защиты персональных данных. Например, резервное копирование.
— Какое действие считать согласием пользователя. Например, проставление галочки, создание личного кабинета, заполнение формы.
2. Опубликуйте политику конфиденциальности на сайте
Пользователю должно быть понятно, на что он соглашается. Когда он заполняет форму или регистрируется, покажите ему ссылку на политику конфиденциальности. При заходе на сайт — предупредите, что обрабатываете файлы cookie. Обычно используют всплывающее окно с кнопкой «ок».
Опубликуйте документ в доступном месте. У посетителей должна быть возможность в любой момент ознакомиться с ним. Обычно политику конфиденциальности прячут в подвал, чтобы ссылка не отвлекала от содержания сайта.
3. Уведомите Роскомнадзор
Владельцы сайтов, которые собирают персональные данные, обязаны уведомлять Роскомнадзор. За отсутствие уведомления штрафуют по ст. 19.7 КоАП РФ: ИП — на сумму до 500 рублей, ООО — до 5000 рублей.
Роскомандзор необязательно уведомлять, только если:
Лучше всё равно подстраховаться: уведомление бесплатное.
4. Назначьте ответственного за хранение персональных данных
Обычно ответственность возлагают на сотрудника, который работает с данными — кадровика, оператора колл-центра, менеджера продаж. Если вы ИП и работаете один — на самого себя.
5. Храните данные на серверах в России
Хранить персональные данные за пределами России запрещено по ст. 18 152-ФЗ. Если арендуете хранилище, узнайте, в какой стране расположены серверы.
Новым ИП — год Эльбы в подарок
Год онлайн-бухгалтерии на тарифе Премиум для ИП младше 3 месяцев
Почему важно защищать персональные данные
Брать согласие с посетителей сайта — недостаточно. Важно не передавать сведения третьим лицам и физически защитить их от утечки. Установите пароли к компьютерам и серверам, где храните информацию. Ограничьте к ним доступ своих сотрудников без необходимости. Бумажные документы храните в сейфе.
Если персональные данные стали известны кому-то ещё — это плохо. Пострадавший имеет право пойти в суд и потребовать компенсацию за моральный вред по ст. 24 152-ФЗ.
Пример из судебной практики:
Мама Евгения взяла кредит. Рассчитаться по нему она не успела: умерла. На сына обрушились звонки от коллекторов. Он пошёл в суд и заявил, что не принимал наследство, поэтому не отвечает по долгам. Что важно для нашей темы, Евгений добавил: банк передал коллекторам номер его телефона, а он не подписывал на это согласия. Суд встал на сторону Евгения. Банк выплатил ему компенсацию за моральный вред.
Статья актуальна на 02.02.2021
Получайте новости и обновления Эльбы
Подписываясь на рассылку, вы соглашаетесь на обработку персональных данных и получение информационных сообщений от компании СКБ Контур
Образец договора о конфиденциальности и неразглашении информации, заключаемого между юридическими лицами
Двое или несколько лиц обязуются соединить свои вклады и действовать совместно для получения прибыли без образования юридического лица. Сторонами договора, заключаемого для коммерческой деятельности, могут быть только юридические лица и индивидуальные предприниматели.
Вкладом могут быть любые вещи, деньги, профессиональные навыки, деловая репутация. Оценка вкладов производится по соглашению сторон. Вклады и полученная от деятельности продукция находится в их общей долевой собственности. Для совершения сделок требуется согласие всех сторон. Прибыль распределяется пропорционально стоимости вкладов. Соглашение об устранении кого-либо от распределения прибыли – ничтожно.
ДОГОВОР
СТАТЬЯ 1
СТАТЬЯ 2
Стороны подтверждают понимание важности вопроса и соглашаются принять на себя следующие обязательства:
2.1. В течение лет с даты заключения Договора Получающая сторона не будет разглашать никакой информации, полученной ею от Раскрывающей стороны, являющейся секретом фирмы или конфиденциальной, какому-либо другому лицу, предприятию, организации, фирме и не будет использовать эту информацию для своей собственной выгоды, за исключением цели, названной выше в явном виде.
2.2. Получающая сторона будет соблюдать столь же высокую степень секретности во избежание разглашения или использования этой информации, какую Получающая сторона соблюдала бы в разумной степени в отношении своей собственной конфиденциальной или являющейся секретом фирмы информации такой же степени важности.
СТАТЬЯ 3
3.1. Любая информация, передача которой оформлена в письменном виде и отнесена обеими сторонами к Договору считается конфиденциальной или секретом фирмы (протокол о передаче информации, Приложение №1).
СТАТЬЯ 4
4.3. Вся информация, выдаваемая Раскрывающей стороной Получающей стороне в какой-либо форме согласно Договору, будет и останется исключительной собственностью Раскрывающей стороны, и данные и любые их копии должны немедленно возвращаться Раскрывающей стороне по письменному требованию или уничтожаться по усмотрению Раскрывающей стороны.
СТАТЬЯ 5
5.1. Ни одна из сторон не будет разглашать факт существования Договора без предварительного согласия другой стороны.
5.2. Договор не может быть поручен или передан Получающей стороной в силу Закона или смены руководства. Любая попытка Получающей стороны получить договор без предварительного письменного соглашения Раскрывающей стороны будет недействительной. Если третья сторона возбудит субиск или другое юридическое действие на предмет раскрытия какой-либо конфиденциальной информации, Получающая сторона немедленно уведомит Раскрывающую сторону и обеспечит ей помощь, какую Раскрывающая сторона потребует для предотвращения разглашения.
СТАТЬЯ 6
6.1. Выигравшая сторона в любом иске или судебном разбирательстве между сторонами, вытекающим из настоящего Договора или связанных с ним, будет иметь право на возмещение в разумных пределах гонораров ее адвокатам и издержек, понесенных в связи с любым таким иском или судебным разбирательством.
6.2. В случае установления вины Получающей стороны в разглашении конфиденциальной или являющейся секретом фирмы информации Раскрывающая сторона по своему усмотрению имеет право возместить убытки, понесенные в связи с разглашением или использованием этой информации либо получить от Получающей стороны штраф в размере, оговоренном письменным образом при передаче информации.
СТАТЬЯ 7
7.1. Все устные оговорки по настоящему Договору не имеют силы. Договор может быть видоизменен или дополнен только в письменной форме, подписанной обеими сторонами.
7.3. Подписанный текст вводит настоящий Договор в силу с « » 2021 г. по « » 2021 г.
Политика конфиденциальности и условия использования как обязательный атрибут IT продукта
Меня зовут Александр Явтушенко и уже 4 года я работаю в сфере IT права. Последнее время все чаще сайты и приложения, которые я сопровождаю по части правового обеспечения их деятельности, начинают задумываться или непосредственно внедрять различные правила и политики связанные, в первую очередь, с процедурами сбора, обработки и хранения персональных данных. В большинстве случаев это вызвано страшным словом GDPR (англ. General Data Protection Regulation) — нормативным актом Европейского Союза, который регламентирует любые действия, связанные со сбором, обработкой, хранением и последующим использованием полученных от граждан ЕС персональных данных.
Основной проблемой IT разработчиков, которые не хотят привлекать профильных юридических специалистов в сфере защиты Personal Data (далее — PD) и обеспечения правильного режима конфиденциальности является смешивание в одном документе (зачастую его «обзывают» условиями использования сайта или пользовательским соглашением) как норм регламентирующих поведение пользователя (различных групп пользователей) на сайте или в приложении, так и положений об обработке персональных данных.
Второй глобальной проблемой является тот факт, что у неспециалиста, как правило, отсутствует понимание того, что мало написать какие-то правила, важно идеально знать правовые нормы и правоприменительную практику (как со стороны контролирующих органов, так и судебную) страны регистрации сайта/приложения, а также нормы других стран, которые в определенных случаях могут также распространяться на вас (яркий пример — тот же GDPR в случае работы с данными граждан ЕС).
Это связано с тем, что в регулировании использования PD существует две зоны:
1. Императивная
Что бы вы не написали в правилах, если это противоречит требованиям национального регулятора или международному правилу, это не имеет никакой силы. Как известно, любые правила имеют изъяны и бреши, которые квалифицированный юрист сможет использовать для тонкого обхода тех или иных норм. При этом стоит признать, что существуют случаи, когда обойти закон не получится вовсе и разработку бэка (очень редко и фронта) нужно адаптировать под букву закона.
2. Диспозитивная
Хотя в последнее время ЕС, США и Канада все больше внимания уделяют ужесточению работы с персональными данными, до сих пор остается множество норм, которые не имеют строгого характера и предлагают или выбор нескольких вариантов поведения, или и вовсе предоставляют нам возможность прописать самостоятельные регламенты и алгоритмы сбора, обработки и хранения некоторых видов данных. Понимая четкие границы в которых можно «делать что угодно и ничего за это не будет, если мы описали это в пользовательском соглашении», разработчик открывает перед собой возможности не только для тонкой настройки функционала своего приложения/сайта, но и избавляет себя от десятков или даже сотен исков во всех юрисдикциях мира, которые могут посыпаться от чересчур внимательных пользователей.
Политики и условия конфиденциальности (также известные как Условия использования или Условия обслуживания) не являются универсальными. Определение того, как клиенты будут взаимодействовать с вашим уникальным продуктом, а также как вы будете собирать, обрабатывать и хранить любые собранные данные, имеет решающее значение для защиты вашей компании. Попробуем детальнее разобрать виды и различия вышеупомянутых документов, как они регулируются в большинстве стран, а также почему даже самому маленькому IT проекту важно их иметь.
Политика конфиденциальности
Политика конфиденциальности объясняет, как ваша компания использует, обрабатывает, хранит и делится данными, предоставленными пользователями ее услуг и/или веб-сайта. Этот документ должен быть составлен квалифицированным юристом, потому что контролирующие органы (например. Федеральная торговая комиссия США) или суд (если против вас подан иск) могут принять меры против вас за «обман», если в документе есть неточные утверждения. Сегодня законодательство Украины, России, стран Европейского Союза и большинства штатов США требуют политики конфиденциальности, если вы собираете какие-либо персональные данные.
Условия обслуживания (также известные как «Условия использования»)
Если ваш бизнес управляет веб-сайтом, мобильным приложением или требует загрузки программного обеспечения, вам следует применять подготовленные юристом Условия использования. Условия использования — это договор (публичная оферта) между вами и пользователями вашего продукта. Важно учитывать также и то, где разместить Условия на вашем веб-сайте, чтобы убедиться, что он имеет обязательную юридическую силу. Довольно часто для этого посетителю нужно предпринять действие, выражающее его согласие с таким документом (например, нажать на кнопку «Я принимаю Условия»).
Эти документы устанавливают условия для пользователей вашего сайта, такие как кодекс поведения пользователей, отказ от гарантийных обязательств со стороны веб-сайта и отказ от ответственности за любые ссылки на сторонние сайты — среди прочего. Некоторые типичные положения могут включать:
Кодекс поведения пользователя
Это положение используется для определения ожиданий того, как клиенты могут использовать ваш продукт, а также вашего права на отзыв об их использовании вашего веб-сайта или приложения в ответ на указанные нарушения. На просторах стран СНГ применение такого кодекса не является общепринятым в IT проектах. В то же время, в странах с общей системой права (в основном США и большая часть Великобритании) детальная проработка этого раздела Условий является хорошим превентивным механизмом от большинства судебных исков.
Ограничение ответственности
Это положение освобождает компанию от ответственности за любой ущерб, возникший в результате использования их веб-сайта или продукта. Четкое установление исключений может иметь неоценимое значение в случае возникновения спора с клиентом. Существует, однако, ряд правовых норм, которые не позволяют отказаться от ответственности в определенных случаях, что требует создания «обходных путей» для защиты вашего проекта.
Порядок оплаты
Если это применимо, в ваших Условиях могут указываться принятые способы оплаты, комиссия, сроки, в течении которых ожидается платеж, и как ваша компания будет учитывать несвоевременный платеж или невыполнение платежа. Данный раздел зачастую используется в двух случаях:
Политика отмены (отказа или возврата)
Вы также можете указать положения, объясняющие, как клиент может прекратить свое взаимодействие с вашей компанией, а также любые соответствующие сборы или процедуры возврата. Сюда, как правило, включают условия отказа от рассылок, уведомлений (в том числе push-уведомлений для мобильных приложений), а также различные особенности, связанные с прекращением обслуживания клиента, который приобрел подписку на определенный срок, условия и порядок возврата средств и тому подобное. При разработке этого раздела юридически важно учитывать, потребляется ли ваш продукт/услуга непосредственно в момент ее использования или же результат использования сайта/приложения носит отложенный (пролонгированный) характер. Нередко именно здесь мы прописываем гарантированное GDPR`ом «право быть забытым». В данном случае, хотя и невозможно отказать пользователю в удалении данных о нем, которыми мы располагаем, но возможность определить механизм и форму передачи пользователем такого волеизъявления остается на нашей стороне и неправильно прописанный порядок реализации такого права может иметь серьезные юридические последствия.
К чему ваш продукт получит доступ
Если вашему веб-сайту или приложению потребуется доступ к клиенту на Facebook, в Инстаграм, его электронной почте, расположению или любой другой личной информации, в ваших Условиях должен быть явно указан список этих данных и необходимо, чтобы клиенты согласились предоставить их, прежде чем продолжить использование. Я встречал случаи, когда, вследствие юридически неправильных формулировок, пользователь предоставлял доступ приложению только к тем файлам, которые располагались (датировались) на его устройстве на момент дачи согласия на Условия, но созданные или сохраненные на устройстве файлы уже после согласия под действие Условий не попадали, что в результате вызвало довольно серьезные судебные разбирательства и большие затраты для клиента, который обратился к нам когда было уже слишком поздно.
Сcылки на другие сайты
Это положение гласит, что вы не несете ответственности за любые сторонние веб-сайты, на которые вы ссылаетесь или подключаетесь на своем веб-сайте или в приложении. Важно понимать, что если эти ссылки ведут на поддомены вашего сайта или другие веб-адреса, которые принадлежат компании-владельцу этого же ПО, то такой отказ от ответственности уже невозможен и необходимо применять юридические механизмы обхода.
Уведомление об авторских правах
Ваша компания может предоставить четкую политику в отношении нарушения авторских прав в соответствии с Законом. Сначала должно быть указано, что любой контент и логотипы на вашем сайте или в приложении являются вашей собственностью и защищены. Кроме того, если клиент полагает, что материал или контент, размещенный или доступный через ваш продукт, нарушает авторские права, эта политика устанавливает, как и кому они должны отправлять уведомление о нарушении авторских прав, чтобы такая ситуация могла быть наиболее эффективно разрешена.
На русскоязычных просторах очень популярно создавать также такой документ как Политика использования файлов cookie. Хоть и не существует единого мнения на этот счет, но многие клиенты часто просят меня вынести этот раздел из Политики конфиденциальности в отдельный документ. На самом деле, нужно выделять его отдельно или нет зависит от архитектуры вашего проекта.
В большинстве случаев необходимость создания политики использования файлов cookie связана с их особым характером, а именно тем, что они собирают информацию о вас с самого начала использования сайта или приложения (если вы не отключили их сбор заранее при наличии таких возможностей у браузера).
Такое свойство «куки» вызывает необходимость сразу информировать пользователя о сборе данных путем показа соответствующего окна на сайте (в приложении), что подразумевает согласие пользователя с этим путем продолжения использования сайта или приложения (конклюдентные действия). Как правило, этот способ используется на сайтах, где согласие с Условиями использования и Политикой конфиденциальности обычно необходимо только в случае регистрации, совершения покупки или иных действий.
Второй вариант — «заставлять» сразу соглашаться с Политикой конфиденциальности, куда нередко интегрирован раздел об использовании файлов cookie. Этот способ мы обычно используем в мобильных приложениях и ПО.
Таким образом, любой современный IT проект, будь то мобильное приложение, ПО или сайт должны иметь грамотно составленные Условия использования (Пользовательское соглашение), Политику конфиденциальности и Политику использования файлов cookie (может быть отдельным документом или частью Политики конфиденциальности в зависимости от архитектуры проекта).
Стоит помнить, что формирование таких документов довольно сложный и кропотливый процес, который требует глубокого знания императивных норм законодательства как страны, в которой зарегистрирована компания, владеющая правами на продукт, так и международных или общеевропейских правовых норм. Любой проект требует анализа процессов, чтобы предотвратить возможные риски в будущем. Ценность квалифицированного юриста — найти эти риски и разработать индивидуальные превентивные механизмы, чтобы не допустить проблем в будущем.
NDA, или Соглашение о неразглашении конфиденциальной информации в жизни коммерческой компании
Утечка информации может нанести бизнесу серьезные убытки, поэтому коммерческие компании принимают все возможные меры для ее предотвращения, в том числе, заключают со своими контрагентами и работниками, а также собственниками бизнеса соглашения о неразглашении. Поговорим о том, как сделать NDA действительно работающим инструментом.
Что такое NDA и какова его правовая природа
NDA (англ. non-disclosure agreement) – это соглашение о неразглашении конфиденциальной информации, которое заключается компанией с теми, кому компания передает существенную для бизнеса информацию в целях недопущения ее последующего разглашения.
При разработке NDA и внедрении практики его заключения в деловую жизнь компании, в первую очередь, нужно ответить на вопрос о том, через какие источники может утечь информация.
Ответ очевиден: коммерчески интересную информацию могут разгласить те, кто имеет к ней доступ и хочет на ней нажиться либо с ее помощью навредить компании. Это обиженные или недооцененные сотрудники, недобросовестные контрагенты и собственники бизнеса, которые, к примеру, когда-то учредили совместную фирму, а после по каким-либо причинам фактически отошли от дел в ней и занимаются другими проектами, особенно если эти другие проекты реализуются на том же рынке.
Когда речь идет об участниках (акционерах) коммерческих компаний, NDA регулируется корпоративным правом.
Согласно п. 1 ст. 65.1 Гражданского кодекса РФ участники корпорации имеют право получать информацию о деятельности корпорации и знакомиться с ее бухгалтерской и иной документацией.
Согласно п. 5 ст. 50 Федерального закона от 8 февраля 1998 г. N 14-ФЗ «Об обществах с ограниченной ответственностью», п. 12 ст. 91 Федерального закона от 26 декабря 1995 г. N 208-ФЗ «Об акционерных обществах» информация предоставляется после подписания между обществом и участником (акционером) договора о нераспространении информации (соглашения о конфиденциальности).
Договор заключается по принятой в обществе форме, при этом в случае акционерных обществ отдельно выделено требование о том, что условия договора должны размещаться на сайте в сети Интернет и быть одинаковыми для всех акционеров.
Соглашение с работниками подчиняется нормам трудового законодательства. Согласно ст. 57 Трудового кодекса РФ в трудовом договоре может предусматриваться условие о неразглашении охраняемой законом тайны (государственной, служебной, коммерческой и т.д.), при этом данное условие не может ухудшать положение работника по сравнению с трудовым законодательством (также ст. 9 Трудового кодекса РФ).
Что касается контрагентов, то есть лиц, с которыми компания работает на основании гражданско-правовых договоров, будь то физическое или юридическое лицо, то очевидно, что заключенное с ними NDA является гражданско-правовым договором.
В силу того, что в качестве отдельного вида обязательства в части 2 Гражданского кодекса РФ соглашение о неразглашении не поименовано, к нему применяются общие нормы о договоре: согласно ч. 2 ст. 421 ГК РФ стороны могут заключить договор, как предусмотренный, так и не предусмотренный законом или иными правовыми актами.
Как работает NDA в российской правовой действительности
По российскому законодательству NDA вне зависимости от того, кто является его стороной (учредитель (акционер, участник), работник или контрагент), будет в полной мере работать только при соблюдении всех предусмотренных законодательством формальностей.
В силу ч. 4 ст. 9 Закона N 149-ФЗ условия отнесения информации к сведениям, составляющим тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение устанавливаются федеральными законами.
Режим конфиденциальности информации, позволяющей получать коммерческую выгоду и сохранять стабильное положение на рынке, регулируется Федеральным законом от 29 июля 2004 г. N 98-ФЗ «О коммерческой тайне».
В силу п. 2 ст. 3 Закона № 98-ФЗ к коммерческой тайне могут быть отнесены любые сведения, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании. Исключения из данного правила установлены в ст. 5 Закона, определяющей перечень информации, которая не может быть отнесена к коммерческой тайне, но из этой информации особой выгоды в действительности не извлечёшь.
Для того, чтобы установить режим коммерческой тайны, необходимо выполнить требования ч. 1 ст. 10 Закона о коммерческой тайне:
1) определить перечень информации, составляющей коммерческую тайну;
2) установить порядок обращения с составляющей тайну информацией и контроль за его соблюдением, то есть ограничить доступ к коммерческой тайне;
3) вести учет лиц, получивших доступ к коммерческой тайне, а также лиц, которым она была предоставлена (когда речь идет о государственных и муниципальных органах) или передана (применительно к контрагентам);
4) внести в трудовые договоры с работниками в договоры с контрагентами условия, регулирующие использование коммерческой тайны;
5) нанести на материальные носители коммерческой тайны (или включить в состав реквизитов документов) гриф «Коммерческая тайна» с указанием обладателя такой информации.
Следует заметить, что по ГОСТ Р 7.0.97-2016 нанести на материальный носитель и включить в реквизиты документа это, по сути, одно и то же: согласно п. 4, п. 5.14 ГОСТ гриф ограничения доступа является реквизитом документа и проставляется в правом верхнем углу первого листа на границе верхнего поля.
Согласно ч. 2 ст. 10 Закона о коммерческой тайне режим коммерческой тайны считается установленным исключительно после принятия вышеперечисленных мер, и несоблюдение требований закона влечет за собой отказ судов в удовлетворении требований, связанных с разглашением информации, как было, например, при рассмотрении дел А40-83833/15-15, А33-28905/2016.
Ответственность разглашение информации, отнесенной к коммерческой тайне
Соглашение о конфиденциальности информации в условиях установленного режима коммерческой тайны дает обладателю значимой с коммерческой точки зрения информации действенные правовые инструменты для защиты, особенно для предупреждения нарушений, поскольку предупрежденный о серьезных последствиях человек вряд ли решится попробовать разгласить чужую коммерческую тайну.
Если разгласил сотрудник:
1) Увольнение по пп. «в» п. 6 ч. 1 ст. 81 ТК РФ: трудовой договор может быть расторгнут работодателем в случаях разглашения охраняемой законом тайны, в том числе, коммерческой, ставшей известной работнику в связи с исполнением им трудовых обязанностей.
Например, решением Прикубанского районного суда г. Краснодар от 16.10.2018 по делу №2-10607/18 была подтверждена правомерность увольнения по статье сотрудника, отправившего отчет за полгода работы компании Тандер (те самые магазины «Магнит») со сведениями о выручке, продажах, себестоимости товара и торговой наценке, бонусах поставщиков и другой финансовой информацией на некорпоративные электронные почты с пометкой «еще доказательства».
Решением Старооскольского городского суда от 20.02.2017 по делу 2-845/2017 отказано в признании незаконным увольнения менеджера, отправившего по электронной почте третьему юридическому лицу информацию об условиях дистрибьюторских отношений с клиентом компании.
И таких примеров масса.
2) Административная ответственность по ст. 13.14 КоАП РФ с назначением штрафа на граждан в размере от пятисот до одной тысячи рублей, а на должностных лиц — от четырех тысяч до пяти тысяч рублей.
3) Уголовная ответственность по ч. 2 ст. 183 УК РФ с назначением штрафа в размере до одного миллиона рублей или в размере дохода за период до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет, либо исправительными работами на срок до двух лет, либо принудительными работами на срок до трех лет, либо лишением свободы на тот же срок.
4) Взыскание убытков: согласно п. 7 ст. 243 ТК РФ в случае разглашения работником сведений, составляющих охраняемую законом тайну, в том числе, коммерческую, он несет материальную ответственность в полном размере причиненного ущерба.
Следует учитывать, что ответственность в виде неустойки включать в соглашение с сотрудником законом запрещается, и даже если она будет включена, то взыскать ее не получится, плюс есть риск нарваться на административную ответственность по ст. 5.27 КоАП РФ за нарушение трудового законодательства.
Например, в Апелляционном определении от 24 июня 2019 г. по делу N 33-26791/2019 СК по гражданским делам Московского городского суда признала включенное в трудовой договор дополнительное условие в виде взыскания штрафа за нарушение условий о конфиденциальности в размере 500 000 рублей противоречащим действующему трудовому законодательству и не подлежащим применению.
Если разгласил контрагент: административная ответственность за недобросовестную конкуренцию по ст. 14.33 КоАП РФ с наложением административного штрафа на должностных лиц в размере от двенадцати тысяч до двадцати тысяч рублей; на юридических лиц — от ста тысяч до пятисот тысяч рублей.
Если разгласил участник ( акционер): исключение из общества.
Согласно п. 1 ст. 67 ГК РФ участники хозяйственных товариществ и обществ (кроме ПАО) имеют право требовать исключения другого участника из товарищества или общества в судебном порядке, если такой участник своими действиями (бездействием) причинил существенный вред товариществу или обществу либо иным образом существенно затрудняет его деятельность и достижение целей, ради которых оно создавалось, в том числе грубо нарушая свои обязанности, предусмотренные законом или учредительными документами товарищества или общества.
В законе об обществах с ограниченной ответственностью эта норма воспроизводится в ст. 10 Закона.
Арбитражный суд Новосибирской области в решении от 10.05.2017 г. по делу № А45-2106/2017 указал, что невыполнение участником общества обязанности не разглашать конфиденциальную информацию о деятельности общества может служить основанием для применения мер гражданско-правовой ответственности, вплоть до исключения из числа участников общества.
Кроме того, при разглашении конфиденциальной информации контрагентом или собственником всегда можно взыскать убытки, причиненные разглашением, и неустойку при наличии такого условия в договоре.
При этом реально установленный в договоре штраф будет самым простым с точки зрения доказывания и самым пугающим вариантом.
Кстати, надлежащим образом установленный режим коммерческой тайны не даст использовать незаконным образом полученную конфиденциальную информацию в качестве доказательства в суде (ч. 3 ст. 64 АПК РФ, ч. 2 ст. 55 ГПК РФ), что является еще одним аргументом в его пользу.
Если заключенное соглашение NDA не соответствует Закону о коммерческой тайне или оно вовсе не заключалось
Сразу оговоримся, что в отсутствие надлежащим образом установленного режима коммерческой тайны привлечь сотрудника к какой-либо ответственности просто невозможно, с участником ООО или акционером АО всегда можно бороться общими нормами о затруднении деятельности корпорации, поэтому все нижеизложенное будет относиться только к контрагентам.
В силу ч. 2 ст. 421 ГК РФ участники гражданско-правового оборота могут заключать абсолютно любые не противоречащие законодательству договоры, в том числе и накладывающие на стороны соблюдать конфиденциальность передаваемой информации.
Согласно п. 1 ст. 393 ГК РФ должник обязан возместить кредитору убытки, причиненные неисполнением или ненадлежащим исполнением обязательства, включая реальный ущерб и упущенную выгоду (ст. 15 ГК РФ).
Таким образом, сторона договора, нарушившая условие договора о конфиденциальности, даже в отсутствие в договоре мер ответственности может быть обязана возместить другой стороне убытки, причиненные разглашением, неправомерным использованием информации и тому подобным нарушением, если, конечно, удастся пройти процедуру доказывания.
Дела об убытках по праву считаются одними из самых сложных. Общеизвестно и неоднократно подчеркнуто судами, что в предмет доказывания убытков входят в совокупности четыре элемента:
факт нарушения права истца;
вина ответчика в нарушении права истца;
факт причинения убытков и их размер;
причинно-следственная связь между фактом нарушения права и причиненными убытками.
Таким образом, придется доказать факт распространения конфиденциальной информации, вину контрагента в распространении информации, реальность возникших убытков и их размер и то, что убытки возникли именно по причине разглашения информации.
Недоказанность хотя бы одного из названных элементов однозначно повлечет за собой отказ суда в удовлетворении требования о взыскании убытков.
По данной причине ограничиваться простым декларированием в договоре обязанности не разглашать конфиденциальную информацию неразумно.
Необходимо предусмотреть неустойку, взыскание которой не предполагает доказывание убытков в силу прямого указания ст. 330 ГК РФ (предмет доказывания по делам о взыскании неустойки ограничивается фактом нарушения обязательств).
Например, Постановлением Девятого арбитражного апелляционного суда от 6 июня 2016 г. N 09АП-13810/16 по делу А40-220083/15 было оставлено без изменения решение суда первой инстанции о взыскании штрафа за разглашение конфиденциальной информации.
Дело было следующее: два общества заключили договор поставки с условием о том, что любая информация, содержащаяся в договоре и в любых документах, связанных с его исполнением, считается конфиденциальной, и стороны обязуются не разглашать ее под угрозой штрафа в размере 20% от суммы сделки.
Однако впоследствии продавец заключил договор уступки права требования с третьим лицом и передал ему договор поставки и товарные накладные, за что с него и был взыскан штраф.
Интересно заметить, что 20% от суммы сделки составили 16,5 млн рублей, из которых суд удовлетворил только 2 млн (непомерно высокие штрафы в NDA – обычная история, и суд не удовлетворит огромный штраф, потому что он больше напоминает источник дохода (п. 2 ст. 333 ГК РФ).
Еще один пример: дело № А56-92673/2016, по результатам рассмотрения которого с разгласившего конфиденциальную информацию лица был взыскан штраф в размере 400 000 рублей (по этому делу суд взыскал столько, сколько было прописано в договоре, потому что очевидно, что сумма для участвовавших в деле коммерческих компаний нормальная).
Кроме того, можно использовать относительно новый для российского права гражданско-правовой институт возмещения потерь, установленный ст. 406.1 ГК РФ: «Стороны обязательства, действуя при осуществлении ими предпринимательской деятельности, могут своим соглашением предусмотреть обязанность одной стороны возместить имущественные потери другой стороны, возникшие в случае наступления определенных в таком соглашении обстоятельств и не связанные с нарушением обязательства его стороной».
В данном случае предмет доказывания составят: наступление обстоятельства, оговоренного соглашением, наступление потерь или неизбежности их наступления в будущем и причинная связь между обстоятельством и потерями (п. 15 Постановления Пленума Верховного Суда РФ от 24 марта 2016 г. N 7).
Включая в соглашение такое условие, нужно следить за тем, чтобы не перейти тонкую грань между институтом возмещением потерь и институтом страхования.
Если же соглашение о неразглашении информации между сторонами не заключалось ни в каком виде, то сторонам остается рассчитывать на благосклонность суда и общие нормы о добросовестности участников гражданско-правовых отношений и запрете извлекать выгоду из недобросовестного поведения (п. 3, 4 ст. 1 ГК РФ), но шанс выигрыша в суде крайне ничтожен.
При этом есть ряд норм, позволяющих защитить свою конфиденциальную информацию вне зависимости от заключения специального соглашения и установления режима коммерческой тайны:
1) согласно п. 4 ст. 67.2 ГК РФ если иное не установлено законом, информация о содержании корпоративного договора, заключенного участниками непубличного общества, не подлежит раскрытию и является конфиденциальной.
2) в соответствии с п. 4 ст. 434.1 ГК РФ если в ходе переговоров о заключении договора сторона получает информацию, которая передается ей другой стороной в качестве конфиденциальной, она обязана не раскрывать эту информацию и не использовать ее ненадлежащим образом для своих целей независимо от того, будет ли заключен договор. При нарушении этой обязанности она должна возместить другой стороне убытки, причиненные в результате раскрытия конфиденциальной информации или использования ее для своих целей.
Однако для того, чтобы использовать эту статью, факт передачи информации в качестве конфиденциальной все же придется документально зафиксировать, пусть и не обязательно в полноценном соглашении.
3) информация о новых решениях и технических знаниях, полученных сторонами по договору подряда (ст. 727 ГК РФ): если сторона благодаря исполнению своего обязательства по договору подряда получила от другой стороны информацию о новых решениях и технических знаниях, в том числе не защищаемых законом, сторона, получившая такую информацию, не вправе сообщать ее третьим лицам без согласия другой стороны.
4) сведения, касающиеся договоров на выполнение научно-исследовательских работ, опытно-конструкторских и технологических работ (ч. 1 ст. 771 ГК РФ): если иное не предусмотрено договорами на выполнение научно-исследовательских работ, опытно-конструкторских и технологических работ, стороны обязаны обеспечить конфиденциальность сведений, касающихся предмета договора, хода его исполнения и полученных результатов.