Довольно-таки часто приходится изучать договоры на наличие в них положений о конфиденциальности данных, передаваемых между сторонами.
И в большинстве случаев, даже если одной из сторон является компания-интегратор ИБ (в штате которой не мало специалистов с сертификатами), видишь скудные положения о конфиденциальности неких данных.
Обычно в шаблонных разделах о конфиденциальности к таким данным относят:
- факт существования договора (интересно, и от налоговых органов тоже скрываем?)
- условия договора
- любая информация о договоре (что это?)
Считаю, что такая неразвитость условий сохранения конфиденциальности в договорах обусловлена отсутствием судебной практики, малым количеством известных инцидентов утечки информации и отсутствием реального/понятного ущерба от таких утечек.
К типовым недоработкам разделов "О конфиденциальности" в договорах я бы отнес:
- Отсутствие четкого определения, в отношении какой информации устанавливается режим конфиденциальности.
- Недостаточная проработка возможных исключений (например, передача информации в различные госорганы в соответствии с законодательством). Здесь, конечно, можно возразить, что в случае, если пункт договора противоречит законодательству, то данный пункт является ничтожным, т.е. по умолчанию, передача в госорганы возможна.
- Недостаточная проработка порядка передачи и доступа к конфиденциальной информации сторон договора (обычно договор указывает, что передающая сторона неким образом обозначает конфиденциальность передаваемых сведений принимающей стороне - такой порядок желательно детализировать в договоре).
- Отсутствие указания контактных лиц, сроков и каналов информирования сторон в случае разглашения конфиденциальной информации.
- Отсутствие условий, которые можно было бы предъявить к принимающей стороне, как то: подписание с работниками соглашений о конфиденциальности информации, защищаемой по данному договору; в случае, если привлекается субисполнитель, то требования к договорным условиям с субисполнителем.
- Отсутствие или недостаточная детализация условий уничтожения конфиденциальной информации по окончанию действия договора или по требованию стороны-обладателя информации (желательно предусмотреть возможность уничтожения информации по запросу обладателя, а также возможность запроса подтверждения уничтожения информации, например, в виде акта). Часто встречаю условия в духе "вернуть все копии по окончанию договора": стоит задаться вопросом, каким образом они могут быть возвращены, если размещены на сервере исполнителя?
И самое основное, что нужно знать и четко для себя определить: а относится ли конфиденциальная информация к предмету договора. Так, например, договор на хостинг может включать в себя положения о конфиденциальности "передаваемой сторонами информации". А что это за информация, по каким каналам она передается и как доказать факт такой передачи?
Если вы не можете доказать, что информация была передана вами и получена другой стороной, а потом каким-то образом оказалась у третьих лиц, то никакие условия конфиденциальности вас не спасут.
