Содержание
NDA — это договор, который запрещает получателю информации разглашать и использовать её вне согласованной цели. Проще: вы делитесь «секретом» для переговоров/проекта и закрепляете на бумаге (или в ЭДО), что другая сторона хранит секрет, не копирует его куда попало, возвращает/удаляет по требованию и отвечает рублём за нарушение. Для придания сведениям статуса коммерческой тайны внутри компании должен действовать режим КТ по 98-ФЗ: утверждённый Перечень КТ, Положение о КТ, регламент доступа и учёта выдачи сведений, а также маркировка носителей грифом «Коммерческая тайна» с указанием правообладателя.
Важно понимать отличие от одного пункта «о конфиденциальности» в большом договоре. Пункт — это минимальный слой защиты. Полноценный NDA — отдельный документ с целями, режимом доступа, исключениями, сроками, мерами безопасности и ответственностью. И ещё: NDA без режима коммерческой тайны (КТ) часто слаб. Юридически убедительнее, когда у вас действует связка: NDA + режим КТ + технические и организационные меры безопасности. Минимальные меры: Перечень сведений КТ; Положение о КТ; ознакомление персонала под роспись; маркировка документов/файлов; правила доступа по принципу need-to-know; журнал инцидентов и выдач.
Расшифровка и виды:
Когда обязателен: предпродажные переговоры, аудит, разработка ПО, совместные НИОКР, доступ к данным/базам, визиты на объект
NDA — must have, если даёте доступ к коду, репозиториям и CI/CD, платёжным/персональным данным, CRM и прайсам, чертежам, внутренним брифам, объектам «в цеху».
Если фактический обмен КИ ограничен и разовый — хватит жёсткого раздела в основном договоре. Если доступов много, есть субподрядчики, трансграничные передачи, живут отдельные «цели раскрытия», — выносите в отдельный NDA (проще управлять сроками, аудитами и отзывом доступов).
Режим КТ — это внутренние правила: утверждённый Перечень КТ, Положение о КТ, ознакомление персонала под роспись, маркировка документов и файлов, порядок доступа и журнал инцидентов. Для работников режим КТ вводится локальными актами работодателя и допсоглашением к трудовому договору; возможна дисциплинарная и материальная ответственность, а также ответственность по КоАП РФ ст. 13.14 и УК РФ ст. 183.
Файлы и презентации снабжайте «плашкой» («Confidential/Коммерческая тайна»), колонтитулами и водяными знаками. Это помогает в доказательствах и дисциплинирует получателей. Требования к маркировке КТ включают гриф «Коммерческая тайна», наименование правообладателя сведений, контакт для запросов и при необходимости номер экземпляра.
Если у вас внутри не описано, что именно — секрет, и нет маркировки/ограничений доступа, в споре оппонент заявит: «Это не секрет, это было общедоступно/обычно для отрасли». Режим КТ + NDA закрывают этот аргумент. NDA не заменяет режим КТ: необходимо поддерживать организационные и технические меры согласно 98-ФЗ.
Что именно защищаем (тех/коммерческая/финансовая инфо, ИС, ПД, ключи, исходники)? Пропишите сферы: исходные коды и архитектуры, ключи API, планы продаж, условия с контрагентами, прайс-политики, бюджеты и модели, документы по безопасности, базу знаний.
Исключения — классическая «четвёрка» + independently developed (самостоятельная разработка без использования КИ). Обязателен порядок подтверждения исключений. Сторона, ссылающаяся на исключение (включая independently developed), обязана документально подтвердить его: датированные черновики, репозитории, карточки задач и иные материалы, позволяющие проследить происхождение сведений.
Запреты и ограничения использования (только для оговорённой цели). Цель раскрытия — ядро. «Использовать только для ____». Любое иное использование/копирование/передача — нарушение.
Какой срок ставить (фиксированный срок + пока инфо остаётся КИ)
Рабочая формула: «обязанности конфиденциальности — Х лет + пока сведения сохраняют статус КИ». Для чувствительной техинфы — 5–10 лет. Срок: обязанности конфиденциальности действуют в течение согласованного периода (Х лет) и дополнительно — до тех пор, пока сведения объективно отвечают признакам конфиденциальной информации/коммерческой тайны; при утрате такого статуса обязательства прекращаются в соответствующей части.
Если используете зарубежные облака/подрядчиков — закрепляйте территорию обработки, механизмы трансграничной передачи, запрет личных облаков. NDA не является правовым основанием обработки ПД: требуются основания по 152-ФЗ (согласие, поручение обработки либо иное). Определите роли сторон (оператор/порученный обработчик), перечень ПД, цели, сроки и меры безопасности, а также порядок трансграничной передачи по ст. 12 152-ФЗ.
Для международных сделок — выберите право/форум (суд/арбитраж) и укажите, какая языковая версия имеет приоритет.
Доступ — только тем, кому «необходимо знать». По субподрядчикам — зеркальные NDA и ответственность раскрывающей стороны за их нарушения.
Закрепите защищённые каналы, VPN/MFA/SSO, корпоративные хранилища, DLP, водяные знаки, виртуальную data room для тендеров и аудитов. Visitor NDA должен запрещать фото/видео-фиксацию и использование личных носителей, определять «красные зоны», режим сопровождения и журнал регистрации посетителей.
После проекта — возврат носителей и сертификат уничтожения (включая резервные копии и локальные кэши). Удалению подлежат также резервные копии, локальные кэши и теневые версии; адресат предоставляет подтверждение удаления (акт/лог). Исключение: копии, обязательные к хранению по закону — они сохраняются под режимом NDA/КТ до истечения сроков ретенции.
NDA ≠ согласие на обработку ПД. Нужны: согласия субъектов/договор поручения/иное основание. Отдельно — роли и инструкции. Определите роли сторон (оператор/порученный обработчик), перечень ПД, цели, сроки и меры безопасности, а также механизм трансграничной передачи; зафиксируйте журнал операций и порядок реагирования на инциденты с уведомлением субъектов/регуляторов по 152-ФЗ.
Определите, кто оператор, кто порученный обработчик. Введите реестр операций, порядок реагирования на инциденты, уведомления субъектов/регуляторов.
Неустойка и убытки, обеспечительные меры, право на аудит. Комбинируйте: договорная неустойка (разумная, но ощутимая) + убытки сверх + право требовать обеспечительных мер (запрет определённых действий, арест носителей/сумм) по АПК/ГПК РФ. Предусмотрите аудит соблюдения. При фиксации ИТ-инцидентов обеспечьте доказательственную цепочку (hash/chain-of-custody).
Нарушение после увольнения, возврат носителей, non-solicit/non-compete (ограничения и допустимость). Для сотрудников — пост-обязательства, возврат всех носителей/ключей. Non-solicit (не переманивать) — обычно допустим. Non-compete с работниками по праву РФ, как правило, не исполним; используйте режим конфиденциальности, компенсационные механизмы и запреты переманивания. Для подрядчиков/поставщиков возможны разумные оговорки о неконкуренции и непереманивании.
Готовьте доказательства: логи доступа, скриншоты, выгрузки DLP, нотариальный осмотр страниц/переписок, техэкспертиза. Чем раньше — тем лучше. Для публичных утечек используйте осмотр с доверенным временем; по софту — репозитории и трекинг задач.
Разработка софта: IP-права, open-source/copyleft риски, доступ к облакам, секреты в CI/CD
Прописывайте принадлежность ИС, запрет на copyleft без согласия, правила коммитов, секрет-менеджер, запрет hardcode, регламенты доступа к облакам. Получатель обязан соблюдать условия OSS-лицензий; вклад в репозитории с copyleft возможен только с согласия раскрывающей стороны; секреты хранятся в секрет-менеджере, доступы логируются.
NDA для гостей/мероприятий: форма, зона фото-банов, бейджи
Для экскурсий/демо — Visitor NDA, бейджи «No photo», маркированные зоны, регистрация гостей, выдача памятки. Фактический доступ должен сопровождаться инструктажем и журналом посетителей.
Международные сделки: экспортный контроль, санкционные списки, спецклаузы для ПД
Проверяйте санкционные списки, ограничения экспортного контроля, выбирайте арбитраж и добавляйте data transfer-клаузы. Раскрытие не допускается, если трансфер нарушает экспортные/санкционные ограничения.
Чек-листы
Перед подписанием:
Во время обмена:
По завершении:
Цель и предмет, определения/исключения, срок и право, меры безопасности, порядок возврата/уничтожения, ответственность и право требовать обеспечительных мер.
Ставьте фиксированный срок + «пока информация остаётся КИ». Чистая «бессрочность» спорна — привяжите к статусу КТ/конфиденциальности.
Иногда — да (публичные материалы, демо без КИ). Но если есть доступ к чувствительным данным/системам — нужен NDA и режим КТ.
В одностороннем секрет раскрывает одна сторона, во взаимном — обе; от этого зависят симметричность обязанностей и баланс рисков.
NDA не заменяет основания обработки. Нужны отдельные согласия/договоры поручения и клаузы по трансграничной передаче.
Только с письменным разрешением и после деперсонализации/редакции; часто в NDA есть прямой запрет на PR без согласия.
