Dovgopola11

Людмила Довгопола

Юрист з питань інтелектуального права,

16.03.2021

 

Встановлення режиму комерційної таємниці і її збереження — це першочергове завдання IT-індустрії.

Згідно з українським законодавством, комерційною таємницею можуть бути визнані відомості, пов’язані з виробництвом, технологією, управлінням, фінансовою та іншою діяльністю підприємства, що не є державною таємницею, розголошення яких може завдати шкоди інтересам підприємства. Склад і об’єм відомостей, що складають комерційну таємницю, і спосіб їх захисту визначає суб’єкт господарювання згідно з законом.

Щоб інформація відносилася до категорії «комерційна таємниця», вона повинна мати низку характеристик, зокрема:

  • бути секретною (в цілому, частково або в сукупності її складових залишатися невідомою);
  • не бути легкодоступною для осіб, які працюють зі схожою інформацією;
  • мати комерційну цінність через її важкодоступність;
  • суб’єкт, який контролює доступ до цієї інформації та має право розпоряджатися такою інформацією, вжив достатніх заходів для збереження її секретності.

Комерційна таємниця у ITОднак не слід забувати, що деяку інформацію не можна віднести до категорії «комерційна таємниця», оскільки її розкриття є обов’язковим згідно з законодавством. Наприклад, державні органи мають право запитувати інформацію, що стосується охорони праці, нещасних випадків на виробництві, травматизму робітників, частоти професійних захворювань тощо. В таких випадках не надавати інформацію з посиланням на те, що керівництво компанії віднесло її до комерційної таємниці, — це пряме порушення закону, що тягне за собою відповідальність.

В цій статті ми детально розглянемо перелік інформації, яку слід віднести до комерційної у IT-сфері, а також способи її захисту у випадку розголосу.

Список відомостей, що складають комерційну таємницю

Як відомості, що не підлягають розголошенню, для IТ-компаній актуальні такі:

  1. Вихідні коди програмного забезпечення, об’єктні коди, що не розповсюджуються публічно, пробні версії програмного забезпечення.
  2. Дизайн проєкту.
  3. Формули і алгоритми, що використовуються у програмному забезпеченні.
  4. Технічна документація, технічні завдання, специфікації.
  5. Ідеї щодо проєктів, які забезпечують конкурентні переваги вашої компанії (їх захист потрібен, щоб запобігти запуску конкурентною компанією аналогічного проєкту або проєкту, що заснований на вашій ідеї).
  6. Відомості про проєкти, що розробляються, їхнє призначення і функції.
  7. Дані про замовників і підрядників компанії.
  8. Відомості, що стосуються управління справами компанії, зокрема:
  • про методи управління і планування діяльності;
  • про заплановані, прийняті і/або такі, що знаходяться на стадії виконання, рішення органів управління з комерційних, організаційних, виробничих, науково-технічних та інших питань;
  • про питання, що включені до порядку денного засідань органів управління компанії, та про результати їх розгляду.
  1. Відомості про фінансово-господарські аспекти діяльності компанії.
  2. Відомості про діяльність компанії у сфері маркетингу.
  3. Відомості, що стосуються ділових відносин компанії з третіми особами, зокрема про підготовку, хід і результати переговорів з третіми особами.
  4. Відомості, що стосуються захисту економічної і фізичної безпеки, зокрема про апаратні й програмні засоби захисту інформації та обладнання від несанкціонованого доступу, які використовує компанія.

Комерційна таємниця у IT

Способи захисту комерційної інформації

  1. Адміністративно-організаційний.

Цей спосіб передбачає:

  1. Видання наказу про введення режиму комерційної таємниці. У документі визначаються основні параметри системи захисту і особи, що відповідають за організацію захисних заходів.
  2. Визначення переліку відомостей, що відносяться до комерційної таємниці. Часто автори документів включають до списку всі відомості, про існування яких знають. Це неправильно, оскільки у випадку судового розгляду занадто великий перелік даних може стати підставою для визнання всього списку таким, що не відповідає режиму комерційної таємниці. Більш доцільним буде обмежити перелік справді цінною інформацією.
  3. Розробка системи локальних нормативних актів, що забезпечать дотримання режиму конфіденційності та захист відомостей, що складають комерційну таємницю. Окрім основного документу — положення «Про комерційну таємницю» — можуть бути розроблені положення про роботу з комп’ютерною технікою, про порядок надання інформації контрагентам і державним органам, порядок копіювання документації, а також типові договори з контрагентами, додатки до трудових договорів тощо.
  4. Визначення кола осіб, які мають право працювати з матеріалами, де містяться відомості, що складають комерційну таємницю, і рівень їх допуску.
  5. Розробка трудових договорів і договорів з контрагентами, що містять норму про захист комерційної таємниці. В договори зі співробітниками обов’язково потрібно включати пункт, який попереджає про відповідальність за розголос конфіденційних відомостей і про право компанії зобов’язати співробітника компенсувати матеріальні збитки.
  6. Включення у договори з контрагентами умов про конфіденційність у випадках, коли інформація, що довірена контрагенту або його співробітникам у зв’язку з виконанням умов договору, складає комерційну таємницю.
  7. Функціонування грифів «комерційна таємниця» для захисту конфіденційної інформації та засобів ідентифікації копій документів. Це не захищає документи від копіювання з метою передання інформації потенційним замовникам, але обмежує їх розповсюдження серед широкого кола осіб у відкритому доступі.
  8. Суворий контроль за використанням облікових записів у мережах лише власниками облікових записів з попередженням про те, що передання паролю може бути підставою для звільнення через «розголос комерційної таємниці».

      2. Технічний.

Серед технічних способів захисту інформації, що складає комерційну таємницю, в першу чергу розглядають програми, які дозволяють повністю захистити дані від витоків, несанкціонованого копіювання або передання. До таких засобів відносять DLP-системи і SIEM-системи. Системи класу DLP налаштовують таким чином, щоб максимально виключити розкрадання інформації внутрішніми користувачами. Системи класу SIEM виявляють загрози та ідентифікують різноманітні інциденти інформаційної безпеки, і таким чином дозволяють здійснювати повний ризик-менеджмент і забезпечувати захист від проникнень через зовнішній периметр захисту.

До технічних засобів захисту можна віднести всі способи кодування і шифрування даних, встановлення заборони на копіювання, контроль за комп’ютерами співробітників і моніторинг використання облікових записів.

     3. Судовий.

Якщо виток все-таки стався і розповсюдження комерційної таємниці уникнути не вдалося, виникає необхідність притягнути до відповідальності винуватця і відшкодувати збитки. Це можливо лише в судовому порядку. Але як показує судова практика з питань захисту комерційної таємниці, довести порушення порядку її використання нелегко.

Наприклад, постановою Верховного Суду за справою № 752/5775/16-ц залишено без задоволення касаційну скаргу про притягнення до відповідальності за привласнення і неправомірне використання у особистих цілях комерційної таємниці юридичної особи, оскільки не доведено факт розголосу і не надано доказів порушення відповідачем прав позивача, тобто позивач не довів у суді, що відповідач незаконно використав комерційну таємницю позивача.

Постановою ВССУ за справою № 6-52761св13 за позовом про відшкодування збитків, спричинених розголосом відомостей, що складають комерційну таємницю, було встановлено, що відповідач — співробітник підприємства — був знайомий з унікальною технологією виробництва під час роботи на такому підприємстві. Відповідач підписав договір про нерозголошення комерційної таємниці, за яким зобов’язувався протягом п’яти років після звільнення не розголошувати інформацію, яку він отримав, коли працював на підприємстві. Незважаючи на зазначене, після звільнення відповідач налагодив власне виробництво з використанням, на думку позивача, комерційної таємниці останнього. ВССУ визначив, що задовольняючи вимоги позову і вимагаючи відшкодувати збитки, спричинені розголосом відомостей, що складають комерційну таємницю, керуючись при цьому положеннями ст. 22 ЦК України, суди не обґрунтували застосування зазначеної норми до правовідносин, що виникли між сторонами, і не визначилися з нормою закону, що встановлює таку відповідальність. Крім того, суди не визначили, якими доказами підтверджується наявність причинно-наслідкового зв’язку між діями відповідача і нанесенням збитків позивачу саме в розмірі доходу, що був отриманий новоствореним підприємством відповідача, яке проводить власну комерційну діяльність.

Аналогічна позиція міститься і в постанові ВССУ, яку було прийнято за справою № 6-27294ск15. Суди попередніх інстанцій у порушення вимог ст. 214 і 215 Цивільного процесуального кодексу України не з’ясували, чи мало місце порушення саме відповідачем положень внутрішніх документів позивача про захист комерційної таємниці та чи справді саме дії відповідача стали причиною розповсюдження комерційної інформації.

Подібні приклади судових рішень не є вичерпними, але показують, що питання про охорону комерційної таємниці потребує значного вдосконалення і врегулювання на законодавчому рівні, а судова практика — подальшого розвитку в напрямі захисту прав правомірних власників комерційної таємниці.

Сподіваємося, що наведена судова практика і наші рекомендації дозволять уникнути ситуацій безвідповідальності у випадку неправомірного використання комерційної таємниці.