Условия о конфиденциальности в договорах

Условия о конфиденциальности в договорах

В настоящее время в законодательстве РФ существует понятие общедоступной информации — общеизвестные сведения и иная информация, доступ к которой не ограничен1.

Однако существует также и спектр информации, на который федеральными законами устанавливается ограниченный доступ. Такая информации, доступ к которой ограничен федеральными законами, обладает определённым статусом конфиденциальности (требование не передавать такую информацию третьим лицам без согласия ее обладателя).

В соответствии с Указом Президента Российской Федерации от 6 марта 1997 г. №1882 в Перечень сведений конфиденциального характера входят:

  1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные).
  2. Сведения, составляющие тайну следствия и судопроизводства.
  3. Служебная тайна.
  4. Профессиональные тайны (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).
  5. Коммерческая тайна.
  6. Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.
  7. Сведения, содержащиеся в личных делах осужденных, а также сведения о принудительном исполнении судебных актов, актов других органов и должностных лиц, кроме сведений, которые являются общедоступными в соответствии с Федеральным законом «Об исполнительном производстве».

Среди приведенного перечня указана коммерческая тайна, которая представляет собой режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду.

В случае необходимости раскрытия сведений, относящихся к коммерческой тайне, существует специальная форма соглашения — Соглашение о неразглашении конфиденциальной информации (оно же Non-disclosure agreement или NDA, далее – NDA/Соглашение).

В мировой практике NDA является одним из наиболее часто применяемых соглашений. В тоже время, в отечественном правовом поле, Соглашение о неразглашении конфиденциальной информации, характеризуется намного более скромными масштабами использования.

Если проанализировать российскую практику за последние 20 лет, то необходимость заключения NDA обычно возникает в следующих случаях:

  1. При заключении трудового договора с сотрудниками.
  2. При заключении гражданско-правового договора с контрагентами.
  3. При предоставлении акционерным обществом информации об этом обществе акционерам этого общества.

Для того, чтобы лучше понимать смысл NDA, а также возможные правовые последствия, связанные с его заключением, рассмотрим конкретные примеры.

NDA в рамках трудовых правоотношений

Согласно ст. 57 Трудового кодекса Российской Федерации3 (далее -ТК РФ) помимо обязательных условий трудового договора (таких как место работы, трудовая функция, режим рабочего времени и т.д.

), в нем могут предусматриваться и дополнительные условия, в том числе, о неразглашении охраняемой законом тайны (государственной, служебной, коммерческой и иной).

В случае включения такого условия в содержание трудового договора, в целях охраны конфиденциальности информации, составляющей коммерческую тайну, у работодателя возникает несколько обязательств:

  1. 1) ознакомить под расписку работника, доступ которого к этой информации, обладателями которой являются работодатель и его контрагенты, необходим для исполнения данным работником своих трудовых обязанностей, с перечнем информации, составляющей коммерческую тайну;
  2. 2) ознакомить под расписку работника с установленным работодателем режимом коммерческой тайны и с мерами ответственности за его нарушение;
  3. 3) создать работнику необходимые условия для соблюдения им установленного работодателем режима коммерческой тайны4.

В случае разглашения охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, работодатель вправе расторгнуть трудовой договор с сотрудником.

Так, решением Красногорского городского суда Московской области от 21 января 2019 г.

по гражданскому делу №2-1528/2019 отказано в признании незаконным увольнения начальника отдела кооперации и обеспечения производства машиностроительного завода ОАО «766 УПТК» по пп. «в» п. 6 ст.

81 ТК РФ за передачу персональных данных о сотрудниках (сведений о принимаемых и уволенных сотрудниках) на сторонние адреса электронной почты.

Решением Замоскворецкого районного суда г. Москвы от 01 сентября 2017 года была подтверждена правомерность увольнения директора по работе с ключевыми клиентами ООО «Объединенные кондитеры» согласно пп. «в» п. 6 ст. 81 ТК РФ за отправку писем и файлов, отнесенных к коммерческой тайне организации, на стороннее файловое хранилище.

В тоже время, Решением Октябрьского районного суда Санкт-Петербурга от 14.10.2019 Приказ об увольнении менеджера ООО «Партнерский центр БЖР» (истца) на основании п. 6 ч. 1 ст. 81 ТК РФ суд признал незаконным.

Основанием для этого послужил доказанный факт того, что сведения, отправленные с электронной почты истца в адрес третьего лица, а также с электронной почты третьих лиц на электронную почту истца не являются коммерческой служебной тайной, а перенаправлялись в рамках исполнения истцом своих трудовых обязанностей.

Судом также отмечено отсутствие на документах грифа «коммерческая тайна» с указанием обладателя этой информации, и учета лиц, получивших доступ к информации, что является основанием полагать, что в отношении документов, разглашение содержания которых было вменено истцу, режим коммерческой тайны, не был нарушен. Апелляционным определением от 27 февраля 2020 г.

№33-2453/2020 судебная коллегия по гражданским делам Санкт-Петербургского городского суда Решение Октябрьского районного суда Санкт-Петербурга от 14.10.2019 было оставлено без изменения, апелляционная жалоба – без удовлетворения.

Помимо применения дисциплинарного взыскания в виде увольнения согласно п. 6 ч. 1 ст. 81 ТК РФ, за разглашения сведений, составляющих охраняемую законом тайну (государственную, служебную, коммерческую или иную), на работника также может быть возложена материальная ответственность в полном размере причиненного ущерба в соответствии с п. 7 ст. 243 ТК РФ.

По общему правилу необходимыми условиями для наступления материальной ответственности работника за причиненный работодателю ущерб являются: наличие прямого действительного ущерба у работодателя, противоправность поведения (действия или бездействия) работника, причинно-следственная связь между действиями или бездействием работника и причиненным работодателю ущербом, вина работника в причинении ущерба. При этом бремя доказывания наличия совокупности указанных обстоятельств законом возложено на работодателя, который до принятия решения о возмещении ущерба конкретным работником обязан провести проверку с обязательным истребованием от работника письменного объяснения для установления размера причиненного ущерба, причин его возникновения и вины работника в причинении ущерба.

Как отмечается в апелляционном определении от 14 мая 2019 г.

по делу №33-20378/2019, АО КБ «ЛОКО-Банк» обратилось в суд с иском к гр-ке Кубашевской, ранее состоящей в трудовых отношениях с АО КБ «ЛОКО-Банк», с которой было заключено соглашение о неразглашении, согласно которому работник обязуется не разглашать и не использовать в коммерческих целях, а также в интересах третьих лиц ставшую ей известной в период исполнения трудовых обязанностей и после увольнения соответствующую информацию. При этом, в случае нарушения обязательств, предусмотренных соглашением, работник выплачивает КБ «ЛОКО-БАНК» (АО) штраф в размере 500 000 руб. Соответственно, АО КБ «ЛОКО-Банк» просило взыскать денежные средства в размере 500 000 руб. с гр-ки Кубашевской. Суд пришел к выводу, что соглашение о неразглашении, заключенное с работником в рамках трудовых отношений, не является гражданско-правовым и к спорным правоотношениям применимы положения ТК РФ, которые не предусматривают материальную ответственность работника в виде штрафа, а доказательств причинения прямого действительного ущерба в результате виновных действий гр-ки Кубашевской не представлено. Таким образом, Решение Зюзинского районного суда города Москвы от 19 декабря 2018 было оставлено без изменения, апелляционная жалоба КБ «ЛОКО-Банк» (АО) — без удовлетворения.

Следует особо отметить, что, указание о взыскании неустойки (штрафа) в тексте трудового договора является не корректным и противоречащим действующим нормам ТК РФ. Так, в Апелляционном определении Московского городского суда от 24 июня 2019 г. №33-26791/2019 отмечено, что в силу положений ст. ст.

8, 57 ТК РФ дополнительные условия трудового договора, ухудшающие положение работника по сравнению с установленным трудовым законодательством и иными нормативными правовыми актами, содержащими нормы трудового права, не допускаются.

В связи с этим включение в трудовой договор дополнительного условия в виде взыскания штрафа за нарушение условий о конфиденциальности в размере 500 000 руб. противоречит действующему трудовому законодательству и применению не подлежит.

Дополнительно следует сказать, что неустойка, то есть денежная сумма, которая в соответствии со ст.

330 Гражданского кодекса Российской Федерации5 подлежит взысканию со стороны гражданско-правового договора за неисполнение или ненадлежащее исполнение принятого на себя по такому договору обязательства, и, как признает судебная коллегия по гражданским делам Санкт-Петербургского городского суда в апелляционном определении от 12 сентября 2019 г. №33-19819/2019, такая неустойка не может быть взыскана в рамках возникших между сторонами трудовых правоотношений.

Читайте также:  Порядок принудительного выселения из квартиры по решению суда

NDA в рамках корпоративных правоотношений

В соответствии со ст. 67 ГК РФ и статьей 8 Федерального закона «Об обществах с ограниченной ответственностью»6 (Закон №14-ФЗ) участники общества с ограниченной ответственностью (далее – общество) имеются право получать информацию о деятельности общества. Также, согласно п. 4 ст. 65.

2 ГК РФ участники корпорации (общества) обязаны не разглашать конфиденциальную информацию о деятельности корпорации. В Информационном письме Президиума Высшего Арбитражного Суда РФ от 18 января 2011 г.

№ 144 «О некоторых вопросах практики рассмотрения арбитражными судами споров о предоставлении информации участникам хозяйственных обществ» указано, что, если документы, которые требует предоставить участник хозяйственного общества, содержат конфиденциальную информацию о деятельности общества, в том числе коммерческую тайну, общество, прежде чем передать соответствующие документы и (или) их копии, может потребовать выдачи расписки, в которой участник подтверждает, что предупрежден о конфиденциальности получаемой информации и об обязанности ее сохранять.

Как отмечено в Постановлении от 15 октября 2019 г.

по делу №А68-565/2019 Арбитражного суда центрального округа, установленный на предприятии порядок оборота информации, отнесенной самим обществом к конфиденциальной, не является препятствием для предоставления таковой участнику в целях реализации корпоративного контроля над деятельностью общества, учитывая, что законом предусмотрена обязанность участника не разглашать конфиденциальную информацию. Пункт 5 статьи 50 Закона №14-ФЗ предусматривает, что срок исполнения обязанности по предоставлению документов, содержащих конфиденциальную информацию, исчисляется не ранее чем с момента подписания между обществом и обратившимся с требованием о предоставлении доступа к документам участником договора о нераспространении информации (соглашения о конфиденциальности) по форме, принятой в обществе. Поскольку само по себе неподписание соглашения о конфиденциальности и неразглашении информации не может служить основанием для отказа в удовлетворении требований участника общества о предоставлении необходимой информации, то с учетом действующего правового регулирования, разрешение настоящего дела не отменяет обязанность сторон на подписание какого-либо соглашения о конфиденциальности, поскольку указание об этом содержится в законе, в случае, если конфиденциальный характер запрашиваемых документов установлен, данное соглашение может быть заключено сторонами на любой стадии судопроизводства, в том числе и на стадии исполнения решения суда.

Аналогичная правовая позиция изложена в Постановлении от 8 ноября 2019 г. по делу №А03-10777/2018 Арбитражного суда Западно-Сибирского округа, в Постановлении от 19 декабря 2019 г. по делу №А40-16444/19 Арбитражного суда Московского округа.

NDA в рамках гражданско-правовых отношений с контрагентами

Согласно пп. 4 пункта 1 статьи 10 Федерального закона от 29.07.2004 №98-ФЗ «О коммерческой тайне» (далее – Закон о коммерческой тайне) регулирование отношений по использованию информации, составляющей коммерческую тайну, осуществляется работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров.

  • В силу статьи 420 ГК РФ договором признается соглашение двух или нескольких лиц об установлении, изменении или прекращении гражданских прав и обязанностей.
  • При этом в силу статьи 421 ГК РФ граждане и юридические лица свободны в заключении договора.
  • Стороны могут заключить договор, как предусмотренный, так и не предусмотренный законом или иными правовыми актами.

В соответствии с пунктом 1 статьи 432 ГК РФ договор считается заключенным, если между сторонами, в требуемой в подлежащих случаях форме, достигнуто соглашение по всем существенным условиям договора.

Существенными являются условия о предмете договора, условия, которые названы в законе или иных правовых актах как существенные или необходимые для договоров данного вида, а также все те условия, относительно которых по заявлению одной из сторон должно быть достигнуто соглашение.

Согласно положениям статьи 434 ГК РФ договор может быть заключен в любой форме, предусмотренной для совершения сделок, если законом для договоров данного вида не установлена определенная форма.

Если стороны договорились заключить договор в определенной форме, он считается заключенным после придания ему условленной формы, хотя бы законом для договоров данного вида такая форма не требовалась.

NDA, или Соглашение о неразглашении конфиденциальной информации в жизни коммерческой компании

Утечка информации может нанести бизнесу серьезные убытки, поэтому коммерческие компании принимают все возможные меры для ее предотвращения, в том числе, заключают со своими контрагентами и работниками, а также собственниками бизнеса соглашения о неразглашении. Поговорим о том, как сделать NDA действительно работающим инструментом.

Что такое NDA и какова его правовая природа

NDA (англ. non-disclosure agreement) – это соглашение о неразглашении конфиденциальной информации, которое заключается компанией с теми, кому компания передает существенную для бизнеса информацию в целях недопущения ее последующего разглашения.При разработке NDA и внедрении практики его заключения в деловую жизнь компании, в первую очередь, нужно ответить на вопрос о том, через какие источники может утечь информация.Ответ очевиден: коммерчески интересную информацию могут разгласить те, кто имеет к ней доступ и хочет на ней нажиться либо с ее помощью навредить компании. Это обиженные или недооцененные сотрудники, недобросовестные контрагенты и собственники бизнеса, которые, к примеру, когда-то учредили совместную фирму, а после по каким-либо причинам фактически отошли от дел в ней и занимаются другими проектами, особенно если эти другие проекты реализуются на том же рынке.Когда речь идет об участниках (акционерах) коммерческих компаний, NDA регулируется корпоративным правом.

Согласно п. 1 ст. 65.1 Гражданского кодекса РФ участники корпорации имеют право получать информацию о деятельности корпорации и знакомиться с ее бухгалтерской и иной документацией.

Согласно п. 5 ст. 50 Федерального закона от 8 февраля 1998 г. N 14-ФЗ «Об обществах с ограниченной ответственностью», п. 12 ст. 91 Федерального закона от 26 декабря 1995 г. N 208-ФЗ «Об акционерных обществах» информация предоставляется после подписания между обществом и участником (акционером) договора о нераспространении информации (соглашения о конфиденциальности).

Договор заключается по принятой в обществе форме, при этом в случае акционерных обществ отдельно выделено требование о том, что условия договора должны размещаться на сайте в сети Интернет и быть одинаковыми для всех акционеров.

Соглашение с работниками подчиняется нормам трудового законодательства.

Согласно ст. 57 Трудового кодекса РФ в трудовом договоре может предусматриваться условие о неразглашении охраняемой законом тайны (государственной, служебной, коммерческой и т.д.), при этом данное условие не может ухудшать положение работника по сравнению с трудовым законодательством (также ст.

9 Трудового кодекса РФ).

Что касается контрагентов, то есть лиц, с которыми компания работает на основании гражданско-правовых договоров, будь то физическое или юридическое лицо, то очевидно, что заключенное с ними NDA является гражданско-правовым договором.

В силу того, что в качестве отдельного вида обязательства в части 2 Гражданского кодекса РФ соглашение о неразглашении не поименовано, к нему применяются общие нормы о договоре: согласно ч. 2 ст.

421 ГК РФ стороны могут заключить договор, как предусмотренный, так и не предусмотренный законом или иными правовыми актами.

Как работает NDA в российской правовой действительности

По российскому законодательству NDA вне зависимости от того, кто является его стороной (учредитель (акционер, участник), работник или контрагент), будет в полной мере работать только при соблюдении всех предусмотренных законодательством формальностей.

Согласно пп. 7 п. 3 ст.

2 Федерального закона от 27 июля 2006 г.

N 149-ФЗ «Об информации, информационных технологиях и о защите информации» конфиденциальность информации — обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.

В силу ч. 4 ст. 9 Закона N 149-ФЗ условия отнесения информации к сведениям, составляющим тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение устанавливаются федеральными законами.

Режим конфиденциальности информации, позволяющей получать коммерческую выгоду и сохранять стабильное положение на рынке, регулируется Федеральным законом от 29 июля 2004 г. N 98-ФЗ «О коммерческой тайне».

Читайте также:  Последствия непогашения кредита - худшие 5 проблем для заемщика

В силу п. 2 ст.

3 Закона № 98-ФЗ к коммерческой тайне могут быть отнесены любые сведения, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании. Исключения из данного правила установлены в ст. 5 Закона, определяющей перечень информации, которая не может быть отнесена к коммерческой тайне, но из этой информации особой выгоды в действительности не извлечёшь.

Для того, чтобы установить режим коммерческой тайны, необходимо выполнить требования ч. 1 ст.

10 Закона о коммерческой тайне:1) определить перечень информации, составляющей коммерческую тайну;2) установить порядок обращения с составляющей тайну информацией и контроль за его соблюдением, то есть ограничить доступ к коммерческой тайне;3) вести учет лиц, получивших доступ к коммерческой тайне, а также лиц, которым она была предоставлена (когда речь идет о государственных и муниципальных органах) или передана (применительно к контрагентам);4) внести в трудовые договоры с работниками в договоры с контрагентами условия, регулирующие использование коммерческой тайны;5) нанести на материальные носители коммерческой тайны (или включить в состав реквизитов документов) гриф «Коммерческая тайна» с указанием обладателя такой информации.

Следует заметить, что по ГОСТ Р 7.0.97-2016 нанести на материальный носитель и включить в реквизиты документа это, по сути, одно и то же: согласно п. 4, п. 5.14 ГОСТ гриф ограничения доступа является реквизитом документа и проставляется в правом верхнем углу первого листа на границе верхнего поля.

Согласно ч. 2 ст. 10 Закона о коммерческой тайне режим коммерческой тайны считается установленным исключительно после принятия вышеперечисленных мер, и несоблюдение требований закона влечет за собой отказ судов в удовлетворении требований, связанных с разглашением информации, как было, например, при рассмотрении дел А40-83833/15-15, А33-28905/2016.

  • Ответственность разглашение информации, отнесенной к коммерческой тайне
  • Если разгласил сотрудник:

Соглашение о конфиден­циаль­нос­ти. Как правильно доверять контрагенту

«Сторона обязуется не разглашать сведения, которые относятся к коммерческой тайне», — этой формулировки в договоре недостаточно, если компании действительно есть что скрывать от конкурентов.

Прописывать условие о конфиденциальности нужно максимально подробно, а иногда в отдельном соглашении.

Читайте в статье, как компаниям защитить информацию с помощью соглашения о конфиденциальности и не допустить ошибок при формулировании его условий.

До основного договора оформляйте отдельное соглашение о конфиденциальности

Обычно стороны выбирают между отдельным соглашением о конфиденциальности и условием о конфиденциальности в основном договоре. Оба варианта допустимы.

Зачастую будущие контрагенты обмениваются конфиденциальной информацией до заключения основного договора. Например, когда хотят оценить перспективы совместной деятельности. В этом случае лучше заключить соглашение о конфиденциальности.

Статья 434.

1 ГК позволяет защитить интересы стороны, которая раскрывает конфиденциальную информацию до заключения договора. Однако, чтобы возместить убытки из-за раскрытия, ей придется доказать не только их размер и причинно-следственную связь между раскрытием и возникновением убытков, но еще и три факта.

Первый — раскрытая информация относится к конфиденциальной. Второй — информацию передали другому лицу. Третий — раскрыл информацию именно контрагент./p>

Соглашение о конфиденциальности упростит доказывание первых двух фактов. Таким образом обладатель раскрытой конфиденциальной информации увеличит шансы возместить убытки.

Судебная практика по статье 434.1 ГК пока не сформировалась. Поэтому безопаснее фиксировать договоренности об обмене конфиденциальной информацией уже на преддоговорном этапе.

Включайте в соглашение любую информацию, которую считаете важной

Соглашение часто включает широкое определение конфиденциальной информации, которую можно передать в рамках этого документа. В целом такой подход защищает раскрывающую сторону и не противоречит закону. Тем более что нет единого акта, который описывал бы все виды конфиденциальной информации. Обычно такой информацией признают сведения:

  • о персональных данных, кроме сведений, которые распространяют СМИ в установленных законом случаях;
  • о профессиональной деятельности, когда доступ к таким сведениям ограничен в соответствии с Конституцией и федеральными законами. Это врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных сообщений;
  • о коммерческой деятельности, в том числе финансовой отчетности, контрагентах, когда доступ к такой информации ограничен ГК и федеральными законами;
  • о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.
  • Сторонам соглашения нужно обеспечить возможность идентифицировать информацию, которую передают в рамках соглашения. В большинстве случаев факт передачи информации закрепляют в акте приема-передачи. Заодно отдают материальные носители: flash-карты, CD-диски, загружают файлы на портал для обмена данными или отправляют материалы по почте.

    Нельзя защитить информацию, которую раскрывающая сторона не защищает как конфиденциальную. Например, требование возместить убытки в случае разглашения не удовлетворят, если его предъявит лицо, которое не принимало меры по соблюдению конфиденциальности информации.

    Предусмотрите меры, чтобы информацию не передали третьим лицам

    Суды признают допустимыми такие доказательства раскрытия конфиденциальной информации, как электронная переписка, заключение эксперта и нотариальный протокол осмотра сайта, на котором разместили информацию.

    Перечень конкретных мер по соблюдению и защите конфиденциальности зависит от типа информации. Его обычно устанавливают во внутренних нормативных актах раскрывающей стороны.

    Обычно владельцы конфиденциальной информации определяют перечень такой информации, ограничивают доступ и учитывают лиц, которые получили возможность знакомиться с ней.

    Кроме этого, заключают соглашения о конфиденциальности с любыми получателями информации, маркируют грифами и другими средствами защиты материальные носители с конфиденциальной информацией компании.

    Также указывают, что необходимо использовать специальные технические средства защиты и ограничения доступа.

    В соглашении о конфиденциальности зеркально отразите меры, которые уже применяет раскрывающая сторона. Это обеспечит хотя бы минимальный уровень защиты передаваемых данных.

    Нельзя требовать возместить убытки или применять другие санкции, если контрагент раскрыл общедоступную информацию, например, из открытых реестров или сведения, которые в силу закона не могут быть конфиденциальными. Это правило работает, даже если стороны договорились сохранять конфиденциальность такой информации.

    Стороны вправе предусмотреть дополнительные гарантии и включить санкции на случай их нарушения. Например, включить в соглашение заверения и гарантии получающей стороны, что она соблюдает все необходимые меры защиты конфиденциальной информации. На случай нарушения этой гарантии в соглашении можно предусмотреть штраф.

    Проверяйте, соблюдает ли контрагент соглашение о конфиденциальности

    Чтобы оперативно отслеживать, не разглашают ли конфиденциальную информацию, необходимо включить в соглашение дополнительные «контрольные» права раскрывающей стороны. Можно выделить три полномочия.

    Первое — право запросить полный комплект внутренних документов получающей стороны, которые регулируют режим конфиденциальности.

    Второе — право проводить выборочную проверку в отношении работника или контрагента получающей стороны, включая право ознакомления с соглашениями о конфиденциальности, которые подписали указанные лица.

    Третье — право проводить периодический аудит, например, раз в год по адресу местонахождения получающей стороны. Это покажет, выполняет ли она внутренние локальные акты в сфере конфиденциальности. Зафиксируйте также обязанность получающей стороны компенсировать убытки и выплатить штраф, если она нарушит соглашение.

    Статья подготовлена с использованием материалов журнала «Корпоративный юрист»

    Политика конфиденциальности – как сделать правильно? — CMS Magazine

    Июль 2017 все же заставил владельцев сайтов изрядно понервничать. Виной тому вступившие 01 июля 2017 года в силу поправки в статью 13.11 КоАП РФ (см. Федеральный закон от 07.02.2017 № 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях»), ужесточающие административную ответственность за нарушение персональных данных.

    Размер штрафов для предпринимателей варьируется в диапазоне от 5 тыс. руб. до 75 тыс. руб. Последняя цифра касается организаций, допустивших обработку персональных данных, не получив письменного согласия субъекта персональных данных.

    Прежде чем бить тревогу и думать, что же делать и бросаться отключать на сайте формы для обратной связи, необходимо провести диагностику собственного сайта на предмет наличия или отсутствия документов, регулирующих отношения с пользователями, в том числе по вопросу обработки оставляемых ими данных, а также оценить их содержание с точки зрения прозрачности, полноты, непротиворечивости и достаточности.

    Если не знаете, как это сделать правильно, и что должна включать в себя политика конфиденциальности, предлагаем обратить внимание на ключевые моменты.

    Больше не нужно искать и обзванивать каждое диджитал-агентство Создайте конкурс на workspace.ru – получите предложения от участников CMS Magazine по цене и срокам. Это бесплатно и займет 5 минут. В каталоге 15 617 диджитал-агентств, готовых вам помочь – выберите и сэкономьте до 30%.

    Читайте также:  Покупка квартиры с прописанным человеком: особенности сделки и рекомендации специалистов

    Создать конкурс →

    Зачем нужна Политика конфиденциальности?

    Думаем, что здесь ответ очевиден.

    Документ, регулирующий обработку персональных данных пользователей и размещаемый на сайте, является ни чем иным как правилами игры, которые устанавливает владелец сайта в отношениях с пользователями.

    Цель фиксации и размещения таких правил — снизить риски из законодательства о персональных данных, при необходимости дать отпор потребительскому экстремизму.

    Как лучше назвать — оферта, соглашение об обработке персональных данных или политика конфиденциальности?

    С юридической точки зрения название документа, регулирующего обработку персональных данных пользователей, не имеет значения. Остальное — дело вкуса каждого владельца сайта. Со своей стороны можем выделить название «политика конфиденциальности» из-за его емкости, повсеместного использования и понятности для пользователя.

    Как лучше разместить — в виде отдельного документа или сделать частью оферты/пользовательского соглашения?

    Здесь также нет обязательных правил и универсального шаблона. Можно отразить необходимые положения в отдельном документе или сделать частью, например, пользовательского соглашения.

    Как правило, пользовательское соглашение содержит немало особенностей использования сайта, что влияет на объем документа. Включение в пользовательское соглашение еще и положений по обработке данных будет явно перегружать документ и усложнять его восприятие пользователем.

    При размещении на сайте двух отдельных документов (например, политики конфиденциальности и пользовательского соглашения) рекомендуем проверить их на отсутствие противоречий друг другу, а также на наличие ссылок друг на друга.

    Нужно ли помимо Политики конфиденциальности размещать также отдельную форму согласия на обработку персональных данных?

    Здесь ответ прост. Если из Политики конфиденциальности очевидно следует согласие на обработку каких данных и с какой целью дает пользователь, то отдельная форма согласия будет явно лишней.

    Как заставить правила работать?

    Политика конфиденциальности это та же оферта (соглашение), только по вопросам, связанным с обработкой персональных денных пользователей. Для того, чтобы пользователь считался принявшим условия обработки его данных владельцем сайта, он должен акцептовать предложенные правила (принять, согласиться).

    Таким акцептом могут быть:

    1. регистрация/авторизация,

    2. проставление отметок в полях,

    3. выполнение последовательности действий,

    4. использование функционала сайта.

    Рекомендуем не привязываться и не ограничиваться описанием одной формы акцепта, а использовать и фиксировать их совокупность, например, следующим образом:

    «Пользователь дает своё согласие с положениями настоящей Политики конфиденциальности нажатием кнопки «Принять Политику конфиденциальности» или «Продолжить», проставлением соответствующей отметки в поле при Регистрации, в том числе на любом этапе такой регистрации и (или) в любой момент пользования сайтом.»

    Что включать в Политику конфиденциальности (далее также Политика)?

    Универсального шаблона Политики конфиденциальности нет. В любом случае при составлении Политики конфиденциальности стоит учитывать специфику работы сайта, его назначение, функциональные возможности, круг пользователей, объем оставляемых ими данных.

    Анализ действующего законодательства в сфере обработки персональных данных, а также собственный опыт, позволил нам сформулировать следующие рекомендации владельцам сайтов по содержанию Политики конфиденциальности:

    1. По желанию включаем раздел с терминами и определениями — не является обязательным.

      Для удобства пользователя и унификации документов на сайте можно включить соответствующий раздел с понятиями и определениями, которые являются общими как для Политики конфиденциальности, так и для Пользовательского соглашения (например, «Политика конфиденциальности», «пользователь», «сайт», «владелец сайта», «личный кабинет» и др.).

      Отсутствие такого раздела в Политике конфиденциальности не связано с рисками для владельца сайта.

    2. Выделяем общие положения, где описываем:

      • предмет регулирования Политики (например, «регулирет порядок обработки персональных данных пользователей, в том числе с целью обеспечения безопасности обработки персональных данных пользователей, обеспечения их прав и интересов при обработке персональных данных»).
      • формы акцепта пользователя с условиями Политики и обработкой данных (пример приведен в п. 5 настоящей статьи).
      • место разрешения споров, вытекающих из Политики, с оговоркой (например, все возможные споры по поводу настоящей Политики конфиденциальности и отношений между пользователем и Администрацией сайта будут разрешаться по нормам российского права в суде по месту нахождения Администрации сайта, если иное прямо не предусмотрено законодательством РФ). Оговорка необходима для соблюдения действующего законодательства, а указание на место рассмотрения споров по месту нахождения владельца сайта призвано оказывать скорее превентивный эффект на пользователя.
      • порядок изменения и обновления Политики (например, «Администрация сайта оставляет за собой право изменять и (или) дополнять настоящую Политику конфиденциальности без какого-либо специального уведомления. Новая редакция Политики конфиденциальности вступает в силу с момента ее размещения на странице сайта, если иное не предусмотрено новой редакцией Политики конфиденциальности. Действующая редакция Политики конфиденциальности всегда находится на странице сайта по адресу…»). Стоит указать, что молчание пользователя расценивается как согласие с изменениями и (или) дополнениями Политики конфиденциальности.
      • отсутствие доступа к данным, которые пользователь оставляет на сайтах третьих лиц. Подобное может быть связано с оплатой пользователем услуг и предоставлением своих платежных данных. В таком случае стоит четко указать, например, следующее: «пользователь признает и подтверждает, что любые данные (в том числе, реквизиты банковских карт), прямо или косвенно связанные с оплатой услуг и сервисов, размещаются Пользователем на страницах сайтов, принадлежащих третьим лицам, не имеющим отношения к Администрации сайта; Администрация сатйа не имеет доступа к таким сведениям, не осуществляет любых действий в отношении таких данных, включая их сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в т.ч. передача), обезличивание, блокирование, уничтожение, трансграничную передачу».
    3. Фиксируем предоставление согласия на обработку персональных данных. Это просто «must have» любой политики конфиденциальности. Обязательно указываем, что давая согласие, пользователь действует своей волей и в своем интересе. Согласие дается пользователем с момента регистрации на сайте и (или) совершения иных действий, связанных с использованием сервисов или возможностей сайта.

    4. Указываем на цель предоставления согласия. Здесь возможны одновременно несколько вариантов:

      • для целей заключения с Администрацией сайта соглашения, иных договоров, прямо предусмотренных Политикой, иных соглашений, размещенных на страницах сайта, и их дальнейшего исполнения,
      • участия в проводимых акциях, принятия решений или совершения иных действий, порождающих юридические последствия в отношении пользователя или других лиц,
      • для принятия, обработки запросов;
      • информирования о состоянии запроса, услугах, например, посредством электронных и SMS- уведомлений;
      • улучшения качества работы сайта;
      • проведения статистических и иных исследований на основе обезличенных данных.

      Ключевым является первый вариант с указанием на предоставление данных с целью заключения с Администрацией сайта соглашений и их исполнения. Этот вариант при возникновении проблем с Роскомнадзором позволит объяснить отсутствие согласия на обработку персональных данных «на бумаге», а также ненаправление владельцем сайта уведомления в Роскомнадзор.

    5. Описываем состав персональных данных. Помним, что не все данные о пользователе являются персональными. К персональным относится такая совокупность данных, которая позволяет идентифицировать пользователя, например, ФИО и адрес места жительства.

      Можно указать, что согласие распространяется на фамилию, имя, отчество, адрес, номер телефона и любую иную информацию, относящуюся к личности пользователя, доступную либо известную в любой конкретный момент времени Администрации сайта.

    6. Указываем срок, на который предоставляется согласие.

      Может быть описан такой вариант — согласие дается пользователем до истечения сроков хранения соответствующей информации или документов, содержащих вышеуказанную информацию, определяемых в соответствии с законодательством РФ, после чего оно может быть отозвано пользователем путем направления соответствующего письменного уведомления Администрации не менее чем за 3 месяца до момента отзыва согласия.

    7. Фиксируем объем возможных действий по обработке. Здесь исходим из того, что чем больше описано возможных действий с данными, тем лучше.

      Можно описать так: согласие предоставляется на осуществление любых действий в отношении персональных данных, которые необходимы или желаемы для достижения указанных выше целей, включая, без ограничения: сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в т.ч.

      передача), обезличивание, блокирование, уничтожение, трансграничную передачу персональных данных, а также осуществление любых иных действий с персональными данными пользователя с учетом действующего законодательства РФ.

    8. Указываем способы обработки данных. Можно указать следующие: хранение, запись на электронные носители и их хранение, составление перечней. Отдельно стоит отметить, что указанный перечень способов обработки не является исчерпывающим.

    9. Включаем право на раскрытие третьим лицам. Стоит зафиксировать право Администрации сайта по передаче данных третьим лицам для достижения указанных в Политике целей, а также согласие пользователя на подобное.

    10. Определяем порядок направления юридически значимых сообщений. Для регулирования потока входящих от пользователей обращений по вопросам обработки данных стоит усложнить процедуру взаимодействия с Администрацией сайта.

      Сделать это можно путем определения письменной формы для таких обращений, а также способа их представления — направление на указанный на сайте почтовый адрес и/или с курьером.

      Дополнительно стоит указать, что в противном случае, обращения и уведомления пользователя могут остаться без рассмотрения.

    Надеемся, что приведенный выше «чек-лист» будет полезным не только для составления политики конфиденциальности «с нуля», но и для осознанной проверки уже имеющегося документа с его последующей доработкой.

    Помним, что правильное и должным образом проработанное документальное оформление отношений по обработке персональных данных пользователей в последующем позволит минимизировать риски и избежать привлечения к ответственности.

    Иллюстрация: http://www.2nsp.ru/wp-content/uploads/2016/12/safe2.jpg

    Leave a Comment

    Ваш адрес email не будет опубликован. Обязательные поля помечены *