текстова версія подкасту:
Вітаю, мене звати Валерій Пономаренко, я адвокат і це черговий епізод подкасту спеціально для сайту Ваш Юрист.
Сьогодні ми продовжуємо нашу серію про правові аспекти ведення бізнесу. У попередніх випусках ми говорили про створення компанії, вибір організаційно-правової форми, а також про договірні відносини та трудове право. Якщо ви ще не слухали ці епізоди, раджу ознайомитися з ними – там багато корисної інформації для підприємців.
У сьогоднішній розмові ми заглибимося в теми, які часто залишаються поза увагою, але є критично важливими для успіху та безпеки бізнесу. Ми поговоримо про внутрішні політики компанії, захист конфіденційної інформації та роботу з персональними даними.
Ми розглянемо, які внутрішні політики необхідні сучасному бізнесу, як їх розробляти та впроваджувати. Обговоримо, що таке комерційна таємниця і як її захистити. І, звісно, торкнемося теми персональних даних – адже в епоху цифрових технологій це питання стає все актуальнішим.
Отже, давайте поговоримо про внутрішні політики компанії. Ви можете запитати: “Навіщо вони потрібні? Хіба не достатньо просто дотримуватися законів?” Але внутрішні політики – це набагато більше, ніж просто формальність. Це ваш інструмент для створення ефективної, безпечної та етичної робочої атмосфери.
Почнемо з того, чому внутрішні політики важливі. По-перше, вони встановлюють чіткі правила гри для всіх співробітників. По-друге, вони допомагають захистити компанію від різноманітних ризиків – від витоку інформації до корупційних скандалів. І по-третє, вони демонструють вашим партнерам та клієнтам, що ви ведете бізнес відповідально та прозоро.
Тепер розглянемо ключові види внутрішніх політик, які варто мати кожній компанії.
Перша і, мабуть, найважливіша – це політика конфіденційності. Вона визначає, яка інформація в компанії вважається конфіденційною, хто має до неї доступ і як з нею потрібно поводитися. Це ваш перший захист від витоку важливих даних.
Давайте детальніше розглянемо політику конфіденційності та її практичне застосування. Це не просто формальний документ – це ваш реальний інструмент захисту важливої інформації.
Почнемо з того, що дає вам політика конфіденційності на практиці. По-перше, вона чітко визначає, яка саме інформація в компанії вважається конфіденційною. Це можуть бути фінансові дані, технологічні розробки, клієнтські бази чи маркетингові стратегії. Маючи цей перелік, ви можете ефективно організувати захист цієї інформації.
По-друге, політика встановлює правила роботи з конфіденційною інформацією. Наприклад, ви можете визначити, що доступ до певних даних мають лише співробітники конкретного відділу, або що робота з важливими документами можлива тільки на робочих комп’ютерах в офісі.
Але пам’ятайте: політика працює лише тоді, коли її дотримуються. Важливо проводити регулярні тренінги для співробітників, пояснюючи важливість конфіденційності. Можна також впровадити систему нагадувань – наприклад, спливаючі вікна при роботі з важливими документами.
Ще один практичний момент – реагування на порушення. Ваша політика повинна чітко визначати, що робити, якщо стався витік інформації. Це допоможе швидко та ефективно мінімізувати збитки.
Завдяки наявності чіткої політики конфіденційності та підписаному договору про нерозголошення з реальною фінансовою відповідальністю за порушення умов, значно зростають шанси зберегти чутливу інформацію.
Отже, політика конфіденційності – це не просто формальність. Це реальний інструмент захисту вашого бізнесу, який при правильному застосуванні може зберегти вам гроші, репутацію та конкурентні переваги.
Друга – політика використання IT-ресурсів. В епоху, коли більшість бізнес-процесів відбувається онлайн, критично важливо встановити правила користування корпоративними комп’ютерами, мережами та програмним забезпеченням. Ця політика допоможе захистити вас від кібератак та втрати даних через необережність співробітників.
Розглянемо конкретні приклади. Уявіть, що ваш співробітник використовує робочий комп’ютер для особистих цілей і випадково завантажує вірус. Без чіткої політики важко визначити міру відповідальності та план дій. А з політикою ви маєте чіткий алгоритм: від повідомлення IT-відділу до можливих санкцій щодо працівника.
Інший приклад: віддалена робота. Ваша політика може встановлювати правила використання VPN, шифрування даних при роботі з дому, заборону на використання публічних Wi-Fi мереж для роботи з конфіденційною інформацією.
Важливий аспект – використання особистих пристроїв для роботи, так званий BYOD (Bring Your Own Device). Політика може регулювати, які саме корпоративні дані можна зберігати на особистих пристроях, як їх захищати, і що робити у випадку втрати пристрою.
Ще один практичний момент – соціальні мережі. Ваша політика може визначати, як співробітники мають поводитися в соціальних мережах, особливо якщо вони згадують компанію. Це допоможе уникнути репутаційних ризиків.
Ще один важливий аспект – оновлення програмного забезпечення. Ваша політика повинна чітко регламентувати процес оновлень, особливо коли мова йде про критично важливі патчі безпеки. Це допоможе захистити вашу систему від відомих вразливостей.
Третя – антикорупційна політика. Вона особливо важлива, якщо ви працюєте з державними замовленнями або на міжнародних ринках. Ця політика встановлює чіткі правила щодо подарунків, представницьких витрат та взаємодії з державними службовцями.
І нарешті, кодекс корпоративної етики. Це не просто набір красивих слів. Це документ, який визначає цінності вашої компанії, стандарти поведінки співробітників та принципи взаємодії з клієнтами та партнерами.
Як же розробити та впровадити ці політики? Перш за все, не намагайтеся створити їх “з нуля”. Існує багато шаблонів та прикладів, які можна адаптувати під ваш бізнес. Головне – зробити їх реалістичними та зрозумілими для всіх співробітників.
Важливо залучити до розробки політик ключових співробітників. Це допоможе врахувати специфіку різних відділів та забезпечить краще сприйняття правил колективом.
Щодо юридичних аспектів – переконайтеся, що ваші політики не суперечать трудовому законодавству. Наприклад, ви не можете вимагати від співробітників працювати понаднормово без додаткової оплати, навіть якщо це прописано у внутрішній політиці.
І останнє, але не менш важливе – впровадження. Недостатньо просто написати політики і покласти їх у шухляду. Проведіть навчання для співробітників, регулярно нагадуйте про ключові моменти, а головне – подавайте приклад їх дотримання.
На завершення, кілька практичних порад. Робіть ваші політики короткими та зрозумілими. Використовуйте конкретні приклади. Регулярно переглядайте та оновлюйте їх. І пам’ятайте – найкраща політика та, якої реально дотримуються.
Внутрішні політики – це не просто формальність. Це потужний інструмент управління, який може значно підвищити ефективність вашого бізнесу та захистити його від багатьох ризиків. Інвестуйте час у їх розробку – і ви побачите результат.
Захист конфіденційної інформації
Переходимо до надзвичайно важливої теми – захисту конфіденційної інформації. У сучасному бізнесі інформація часто є найціннішим активом, і її втрата може мати катастрофічні наслідки.
Почнемо з визначення: що ж таке конфіденційна інформація в бізнесі? Це будь-які дані, які дають вам конкурентну перевагу і не є загальновідомими. Це може бути список клієнтів, технологічні процеси, фінансові показники, маркетингові стратегії або навіть плани розвитку компанії.
Важливо розуміти, що не вся інформація може бути захищена як конфіденційна. Наприклад, ви не можете засекретити дані, які вже є у відкритому доступі, або інформацію, яку ви зобов’язані розкривати за законом.
Комерці́йна таємни́ця — інформація, яка є секретною в тому розумінні, що вона в цілому чи в певній формі та сукупності її складових є невідомою та не є легкодоступною для осіб, які звичайно мають справу з видом інформації, до якого вона належить, у зв’язку з цим має комерційну цінність та була предметом адекватних існуючим обставинам заходів щодо збереження її секретності, вжитих особою, яка законно контролює цю інформацію.
Статтею 420 Цивільного кодексу України визначено, що комерційна таємниця є одним з об’єктів інтелектуальної власності. Відповідно майнові права інтелектуальної власності на комерційну таємницю належать особі, яка правомірно визнала інформацію комерційною таємницею, якщо інше не встановлено договором.
Але самого закону недостатньо. Ви повинні вжити “розумних заходів” для збереження секретності інформації. Це означає:
1. Чітко визначити, яка саме інформація є конфіденційною.
2. Обмежити доступ до цієї інформації.
3. Повідомити співробітників про конфіденційність інформації та їхні обов’язки щодо її збереження.
Ключовий інструмент у захисті конфіденційної інформації – це угода про нерозголошення або NDA (Non-Disclosure Agreement). Коли і з ким її укладати? Практично з усіма, хто має доступ до вашої конфіденційної інформації: співробітниками, підрядниками, партнерами, інвесторами.
При складанні угоди про нерозголошення (NDA) необхідно звернути увагу на кілька ключових аспектів. Першочергово важливо чітко визначити, яка саме інформація вважається конфіденційною. Це допоможе уникнути потенційних непорозумінь у майбутньому.
Далі, угода повинна детально описувати обов’язки сторони, яка отримує інформацію, щодо її захисту. Важливо також чітко вказати дозволені способи використання цієї інформації. Це дозволить отримувачу розуміти межі допустимих дій з отриманими даними.
Особливу увагу слід приділити терміну дії зобов’язань про нерозголошення. Варто зазначити, що цей термін може перевищувати термін дії самого договору. Також необхідно прописати відповідальність за порушення угоди, що сприятиме дотриманню сторонами своїх зобов’язань.
Однак, самих лише юридичних заходів для захисту конфіденційної інформації недостатньо. Критично важливо впровадити технічні засоби захисту. До них відносяться:
- Шифрування важливих даних, що робить їх нечитабельними для неавторизованих осіб.
- Використання систем контролю доступу, які обмежують коло осіб, що мають доступ до конфіденційної інформації.
- Регулярне резервне копіювання даних, що забезпечує збереження інформації навіть у випадку технічних збоїв чи кібератак.
- Встановлення систем виявлення та запобігання витокам інформації, які дозволяють своєчасно виявити та зупинити спроби несанкціонованого доступу до даних.
Комплексне застосування юридичних та технічних заходів забезпечує найбільш ефективний захист конфіденційної інформації в сучасному бізнес-середовищі.
Окремо хочу наголосити на важливості навчання персоналу. Часто витік інформації відбувається не через злий умисел, а через необережність співробітників. Регулярні тренінги з інформаційної безпеки можуть значно знизити цей ризик.
Що стосується відповідальності за порушення конфіденційності, вона може бути як цивільно-правовою (відшкодування збитків), так і кримінальною (у випадках промислового шпигунства). Важливо, щоб ваші угоди про конфіденційність передбачали чіткі санкції за порушення.
На завершення хочу навести приклад гучної справи, яка стала показовою для багатьох компаній у світі. Це випадок з компанією Waymo, дочірньою структурою Alphabet (материнська компанія Google), проти Uber.
У 2017 році Waymo подала позов проти Uber, звинувачуючи компанію у крадіжці технологій для безпілотних автомобілів. За твердженням Waymo, їхній колишній інженер Ентоні Левандовскі перед звільненням завантажив тисячі конфіденційних файлів, які потім використав у стартапі Otto, який пізніше був придбаний Uber за 680 мільйонів доларів.
Справа привернула значну увагу не лише через участь двох технологічних гігантів, але і через потенційну вартість викрадених технологій, яку Waymo оцінила в мільярди доларів.
Судовий процес тривав майже рік і завершився у 2018 році позасудовою угодою. Uber погодився виплатити Waymo компенсацію у розмірі близько 245 мільйонів доларів у вигляді акцій компанії. Крім того, Uber зобов’язався не використовувати конфіденційні технології Waymo у своїх розробках безпілотних автомобілів.
Цей випадок став важливим прецедентом у сфері захисту інтелектуальної власності та конфіденційної інформації в технологічній індустрії. Він підкреслив важливість ретельного контролю за доступом до конфіденційної інформації, необхідність укладання суворих угод про нерозголошення з співробітниками та важливість швидкого реагування на потенційні витоки даних.
Після цього випадку багато технологічних компаній переглянули свої політики щодо захисту конфіденційної інформації та посилили заходи безпеки. Це ще раз доводить, наскільки критичним є захист інтелектуальної власності та комерційних таємниць у сучасному бізнес-середовищі.
Захист конфіденційної інформації – це не одноразова дія, а постійний процес. Регулярно переглядайте свої політики, оновлюйте технічні засоби захисту та проводьте навчання персоналу. Тільки так ви зможете ефективно захистити найцінніші активи вашого бізнесу.
Захист персональних даних
Переходимо до надзвичайно актуальної теми – захисту персональних даних. В епоху цифрових технологій це питання стає все більш критичним для бізнесу.
Почнемо з огляду законодавства. В Україні основним нормативним актом у цій сфері є Закон “Про захист персональних даних”. Цей закон визначає правові відносини, пов’язані із захистом і обробкою персональних даних, і спрямований на захист основоположних прав і свобод людини, зокрема права на невтручання в особисте життя.
Ключові положення закону, які повинен знати кожен підприємець:
1. Персональні дані – це відомості про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.
2. Обробка персональних даних повинна здійснюватися відкрито і прозоро із застосуванням засобів та у спосіб, що відповідають визначеним цілям такої обробки.
3. Суб’єкт персональних даних має право на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження.
Тепер розглянемо обов’язки бізнесу щодо захисту персональних даних.
По-перше, збір та обробка даних. Ви маєте право збирати лише ті дані, які необхідні для конкретної, заздалегідь визначеної мети. Важливо отримати згоду суб’єкта на обробку його персональних даних. Ця згода повинна бути добровільною та інформованою.
По-друге, зберігання та передача даних. Ви зобов’язані забезпечити захист персональних даних від несанкціонованого доступу. Це включає як технічні заходи (наприклад, шифрування даних), так і організаційні (обмеження кола осіб, які мають доступ до даних).
По-третє, права суб’єктів персональних даних. Ви повинні забезпечити можливість для суб’єктів персональних даних реалізувати свої права, зокрема право на доступ до своїх даних, їх виправлення або видалення.
Розробка політики захисту персональних даних – це ключовий крок у забезпеченні відповідності законодавству. Ваша політика повинна включати:
1. Перелік персональних даних, які збираються та обробляються.
2. Цілі обробки даних.
3. Заходи безпеки, які застосовуються для захисту даних.
4. Процедури реагування на запити суб’єктів персональних даних.
5. Правила передачі даних третім особам.
Щодо технічних аспектів захисту, рекомендується впровадити:
1. Системи контролю доступу до персональних даних.
2. Шифрування даних при зберіганні та передачі.
3. Регулярне резервне копіювання даних.
4. Системи виявлення та запобігання витокам інформації.
Варто пам’ятати про відповідальність за порушення законодавства про захист персональних даних. Це може бути адміністративна відповідальність (штрафи), а в серйозних випадках – навіть кримінальна.
На завершення хочу підкреслити: захист персональних даних – це не лише юридична вимога, але й питання етики та репутації вашого бізнесу. Клієнти довіряють вам свої дані, і ваш обов’язок – виправдати цю довіру. Інвестиції в захист персональних даних – це інвестиції у довгострокову стабільність та надійність вашої компанії.
Одним з найбільш резонансних випадків порушення захисту персональних даних в останні роки став скандал навколо Facebook та Cambridge Analytica, який розгорівся у 2018 році.
Cambridge Analytica, британська консалтингова компанія, яка займалася аналізом даних, отримала доступ до персональних даних близько 87 мільйонів користувачів Facebook без їхньої згоди. Ці дані були зібрані через додаток для Facebook під назвою “This Is Your Digital Life”, який пропонував користувачам пройти психологічний тест.
Проблема полягала в тому, що додаток збирав не лише дані людей, які його використовували, але й інформацію про їхніх друзів на Facebook. Ця інформація потім використовувалася для створення психологічних профілів користувачів та таргетування політичної реклами, зокрема під час президентської кампанії Дональда Трампа у 2016 році та кампанії за вихід Великобританії з ЄС (Brexit).
Коли ця інформація стала публічною, це призвело до масштабного скандалу. Facebook зіткнувся з жорсткою критикою за недостатній захист персональних даних користувачів. Компанія була оштрафована на 5 мільярдів доларів Федеральною торговою комісією США за порушення конфіденційності. Це був найбільший штраф в історії FTC за порушення конфіденційності споживачів.
Крім того, Cambridge Analytica була змушена припинити свою діяльність, а її керівництво зіткнулося з кримінальними розслідуваннями.
Цей випадок мав глобальні наслідки та став яскравим прикладом того, наскільки серйозними можуть бути наслідки неналежного захисту персональних даних. Він підкреслив необхідність для компаній не лише дотримуватися законодавства, але й етично підходити до питань приватності та захисту даних своїх користувачів.
Тепер давайте розглянемо кілька питань, які часто виникають у підприємців щодо тем, які ми обговорювали сьогодні.
Питання 1: “Як часто потрібно оновлювати внутрішні політики компанії?”
Відповідь: Рекомендується переглядати внутрішні політики щонайменше раз на рік. Однак, ви повинні оновлювати їх негайно при суттєвих змінах у законодавстві, структурі вашої компанії або бізнес-процесах. Також важливо вносити зміни, якщо ви виявили якісь недоліки в існуючих політиках.
Питання 2: “Чи достатньо просто підписати NDA з співробітниками, щоб захистити конфіденційну інформацію?”
Відповідь: Підписання NDA – важливий крок, але цього недостатньо. Ви також повинні впровадити технічні засоби захисту інформації, проводити регулярні тренінги для співробітників та встановити чіткі процедури роботи з конфіденційними даними. NDA – це лише один з елементів комплексної системи захисту інформації.
Питання 5: “Чи потрібно призначати окрему особу, відповідальну за захист даних у компанії?”
Відповідь: Це залежить від розміру вашої компанії та обсягу персональних даних, які ви обробляєте. Для великих компаній або тих, що працюють з великими обсягами персональних даних, призначення окремого фахівця з захисту даних (Data Protection Officer) може бути дуже корисним. Для малого бізнесу ці обов’язки може виконувати хтось із керівництва або юрист компанії. Головне – щоб була чітко визначена особа, відповідальна за ці питання.
Сподіваюся, почута в цьому епізоді інформація була для вас корисною та допоможе зробити ваш бізнес більш захищеним та ефективним.
Ми розглянули важливість створення та впровадження внутрішніх політик, обговорили ключові аспекти захисту конфіденційної інформації та розібрали основні вимоги до захисту персональних даних. Пам’ятайте, що ці теми не просто формальності – це реальні інструменти, які можуть значно посилити ваші позиції на ринку та захистити від багатьох ризиків.
У наступному епізоді ми поговоримо про ще одну надзвичайно важливу тему для сучасного бізнесу – інтелектуальну власність.
Якщо у вас є питання або теми, які ви хотіли б, щоб ми розглянули в майбутніх епізодах, будь ласка, пишіть нам на електронну пошту або залишайте коментарі під цим подкастом. Ваш зворотний зв’язок дуже важливий для нас і допомагає робити наш контент ще кориснішим.
Дякую, що були зі мною сьогодні.
Слава Україні, Слава Збройним Силам України.
Автор подкасту: адвокат Валерій ПОНОМАРЕНКО
Залишити відповідь