Старший юрист практики интеллектуальной собственности Адвокатского бюро ЕПАМ Дарья Сергеева провела мастер-класс на тему «IT-compliance для компании: как снизить риски». Юрист рассказала, на что нужно обратить внимание в работе с программными продуктами третьих лиц и как компаниям себя обезопасить от кражи информации. Дарья уделила особое внимание вопросам лицензионных соглашений, сохранения конфиденциальности информации, защиты персональных данных и противодействия кибер-атакам.
Основные риски при заключении лицензионных соглашений
Право на использование ПО третьих лиц может быть предоставлено на основании лицензионного или сублицензионного договора, который может быть заключен с правообладателем или, что чаще бывает на практике, с его уполномоченным представителем.
Дарья отметила, что зачастую лицензии приобретаются компанией как одним лицом, но по факту ими пользуются компании всей группы. Когда головная компания или основная производственная компания приобретают лицензию, важно проконтролировать, что разрешение на использование продукта распространяется также на аффилированных лиц лицензиата. В противном случае необходимо позаботиться о возможности сублицензирования.
Условия лицензионного договора: на что важно обратить внимание
«Чтобы минимизировать риски, необходимо тщательно ознакомиться с текстом лицензии и различными приложениями, сопоставив их содержание. Не пасуйте перед «необычными» формами и формулировками. Как бы сложно или объемно ни был составлен документ, необходимо сделать выжимку по условиям, которые важны именно для Вашей компании. Для кого-то это будет возможность без потерь отказаться от договора досрочно, для кого-то, наоборот, гарантия, что лицензиар не прекратит лицензию ни при каких обстоятельствах, для других - четкие сроки устранения неполадок и оказания техподдержки. Составьте свой список приоритетов и предлагайте изменения по ключевым для Вас вопросам»- рекомендовала Дарья.
Спикер отметила, что всегда нужно обращать внимание, чтобы в самом договоре или приложениях к нему были указаны наименование программного обеспечения, способы и цели его использования, а также стоимость. Это позволит избежать ситуации, когда Вы получаете дополнительные счета за услуги (например, обновления), которые, оказывается, не входили в согласованную стоимость, либо стоимость пересматривается в одностороннем порядке лицензиаром.
Необходимо также прописывать количество пользователей. Проверить нарушение этого условия достаточно легко. Это может стать поводом для наложения санкций, вплоть до потери лицензии. Условия о конфиденциальности также важно проверять. В документе следует допустить разглашение некоторых сведений, так как практически все компании используют программное обеспечение, в связи с чем существуют риски утечки информации.
«Нельзя забывать про экземпляр программного обеспечения. Это важно с точки зрения дальнейшей судьбы ПО, например, после прекращения срока действия лицензии», - указала Дарья. Стандартный лицензионный договор подразумевает, что компания пользуется продуктом, пока платит за него. Компания также имеете право, например, на получение обновлений и техподдержку. Но если вместе с заключением лицензионного договора приобретается сам экземпляр (то есть версия продукта), то можно требовать, чтобы после прекращения договора эта лицензия осталась в том варианте, в котором она была предоставлена. Это условие нужно согласовывать отдельно.
С 1 января 2021 года стал применяться налоговый маневр в IT-отрасли. Если ранее лицензии на программное обеспечение не облагались НДС, то сейчас они не облагаются при условии, что разработчиками такого программного обеспечения включены в Реестр российского программного обеспечения. При этом вид лицензии на освобождение от НДС не влияет, но существенным образом затрагивает лицензионные договоры с иностранными правообладателями, которые теперь облагаются налогом на добавленную стоимость.
Сублицензионный договор: особенности заключения
По сублицензионному договору сублицензиату могут быть предоставлены права использования РИДа только в пределах тех прав и тех способов использования, которые предусмотрены лицензионным договором для лицензиата.
Дарья отметила, что при заключении сублицензионного договора следует обращать внимание на проверку полномочий контрагента. На практике лицензионные договоры заключаются через партнеров или дилеров. Прежде всего необходимо разобраться, действительно ли лицо, заключившее договор, является уполномоченным лицом. Положения статьи 1238 ГК РФ предусматривают, что правообладатель в письменной форме может разрешить лицу предоставлять программное обеспечение по лицензии третьим лицам. Однако необходимо удостовериться, что это лицо имеет соответствующие полномочия.
Также Дарья отметила, что условия рамочного лицензионного договора могут быть конкретизированы и уточнены сторонами путем заключения отдельных договоров, подачи заявок одной из сторон или иным образом на основании либо во исполнение рамочного договора (ст. 429.1 ГК РФ).
При заключении такого договора необходимо обратить внимание на условия согласования заказов, на то, как определяется цена, какие документы оформляются, на предоставление доступа/ключей, на контактную информацию сотрудников, уполномоченных вести переписку.
ПО с открытым исходным кодом
Если предусмотрена открытая лицензия, лицензионный договор заключается в упрощенном порядке и является договором присоединения, при этом условия лицензии будут доступны неопределенному кругу лиц (ст. 1286.1 ГК РФ).
«Открытая лицензия имеет ряд недостатков, поскольку по общему правилу исходный код такой программы является общедоступным для использования, модификации и последующего распространения. Они должны быть использованы также в дальнейшем на основании лицензии, которая содержит минимальное количество ограничений», - отметила Дарья.
Чтобы выявить программу с открытым исходным кодом, нужно обратить внимание на следующие признаки: свободное распространение, открытый исходный код программы, возможность изучения кода и свободой модификации ПО, возможность использования ПО в собственных разработках, и распространение лицензии – она распространяется на любого, кто получил копию программы.
Основная проблема связана с тем, что такие программные продукты содержат значительные ограничения, несмотря на то, что они являются свободными по своему названию. Риски заключается в том, что пользователи становятся не свободными в использовании таких продуктов, подпадая под действие тех лицензий, под которыми они использовали эти продукты.
Как обеспечить защиту информации: ключевые рекомендации
При проведении IT-compliance нужно обратить внимание на защиту информации, которая обрабатывается и передается посредством различных программных продуктов, а также на доступ к продуктам, которые имеют и работники, и контрагенты.
«Юридическая защита информации строится на грамотном документальном оформлении. В частности, защита обеспечивается через утверждение ряда документов, таких как политика о конфиденциальности, политика по защите персональных данных, политика по защите интеллектуальной собственности, политика об информационной безопасности, положение о коммерческой тайне и других документов»,- перечислила Дарья.
Самым действенным и эффективным способом защиты информации, как известно, является введение режима коммерческой тайны. Это позволяет обладателю информации при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду.
Однако для того, чтобы режим коммерческой тайны на предприятии действовал, необходимо установить его отдельно. Для этого необходимо: определить перечень сведений, которые составляют коммерческую тайну, обеспечить ограничение доступа к информации путем установления порядка обращения и контроля за его соблюдением, вести учет лиц, получивших доступ к информации или которым такая информация была передана, урегулировать отношения по использованию информации и наносить гриф коммерческой тайны. Также в договоре с работником должна быть предусмотрена обязанность не разглашать сведения, составляющие коммерческую тайну.
Ноу-хау
Ноу-хау или секрет производства - это сведения о результатах интеллектуальной деятельности в научно-технической сфере или о способах ведения профессиональной деятельности. Сведения должны иметь коммерческую ценность по причине их неизвестности третьим лицам. Такими секретами производства могут быть потенциально охраноспособные объекты промышленной собственности. Правообладатель, не желая раскрывать те или иные методы производства, не патентует их, а сохраняет такие объекты в тайне, поскольку патентование означает публикацию сведений.
Для того чтобы сведения признавались ноу-хау, необходимо принять разумные меры для соблюдения конфиденциальности сведений. Проще всего заботиться о сохранности такого объекта путем введения режима коммерческой тайны. Но это не является единственным возможным вариантом введения разумных мер, направленных на соблюдение конфиденциальности, – отметила юрист.
Меры по защите персональных данных
Для того, чтобы компания могла обрабатывать персональные данные, необходимо получить согласие субъекта персональных данных. Также основаниями для обработки персональных данных являются достижение целей, установленных международным договором или законом, участие лица в судопроизводстве, исполнение судебного акта или акта другого органа, или должностного лица, подлежащего исполнению. Обработка персональных данных возможна в случае исполнения полномочий органов государственной власти и местного самоуправления, осуществления прав и законных интересов оператора или третьих лиц.
За нарушение законодательства о защите персональных данных к лицу может быть применена санкция в виде уплаты штрафа. Дарья указала, что размер таких штрафов увеличен. За невыполнение оператором при сборе персональных данных обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ, взимается штраф с юридических лиц от 2 до 6 млн. рублей, а при повторном нарушении - от 6 млн. до 18 млн. рублей.
Чтобы защитить персональных данные, рекомендуется ввести такие локальные документы, как политика в отношении обработки персональных данных, приказ о назначении лица, ответственного за организацию обработки персональных данных физлиц, приказ об утверждении перечня работников, имеющих доступ к персональным данным. Также необходимо подписать соглашение о конфиденциальности с работниками, имеющими доступ к персональным данным, разместить политику на сайте компании, подготовить типовые формы документов, касающихся обработки персональных данных (согласия и др.). Настоятельно рекомендуется, чтобы политика и иные локальные акты соответствовали рекомендациям Роскомнадзора, поскольку они непосредственно регулируют отношения в области охраны персональных данных.
Дарья отметила, что необходимо помнить и о технических и организационных мерах защиты, например, обеспечение защиты персональных данных от несанкцинированного доступа, внутренний контроль за обработкой/хранением персональных данных, назначение ответственных лиц, ознакомление сотрудников с политиками, проведение тренингов и обеспечение локализации данных. Необходимо сначала определить степень угрозы, а затем устанавливать уровень защищенности.
При сборе персональных данных, в том числе посредством сети Интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ, за исключением случаев, указанных в Законе о персональных данных. Например, когда обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.
Защита от кибер-атак
Кибер-атаки могут повлечь как материальные расходы, например, утрату денежных средств и имущества, издержки на проведение технического расследования, устранение последствий кибер-атаки, ответственность вследствие ненадлежащего исполнения обязательств перед контрагентами, так и нематериальные расходы – кражу объектов интеллектуальной собственности, утрату доверия со стороны клиентов и контрагентов, ущерб репутации.
«При этом если рассматривать кибер-атаку как обстоятельство непреодолимой силы, необходимо исходить из критерия форс-мажора как чрезвычайной ситуации. Нужно будет доказать, наличие причинно-следственной связи между форс-мажором и невозможностью выполнения гражданско-правовых обязательств, а также что обстоятельства действительно были непредотвратимы и непреодолимы. Но если, например, компания не принимает разумных мер по обеспечению информационной безопасности, признать совершенные кибер-атаки форс-мажором будет затруднительно», - указала Дарья.
Чтобы защитить компанию от кибер-атак, следует соблюдать технические меры защиты информации, использовать средства антивирусной защиты, разработать политики информационной безопасности, информировать работников о содержании политик, проводить тренинги, разрабатывать политики в отношении паролей, а также предусмотреть регулярную смену паролей.