Kaip užtikrinti konfidencialumą ir saugumą dirbant su subrangovais IT sektoriuje?

Konsultuojant IT sektoriuje veikiančius verslus dažnai susiduriama su klausimais, susijusiais su konfidencialumo ir duomenų apsaugos sutarčių (NDA) taikymu pasitelktiems subrangovams – paslaugos teikėjams. Viena iš dažniausiai pasitaikančių problemų – įmonės samdo paslaugos teikėjus neįvertinusios, ar jų tipinių sutarčių sąlygos atitinka klientų sutarčių sąlygas. Ne paslaptis, kad tai gali kelti rimtą riziką konfidencialios informacijos saugumui, verslo paslapčių apsaugai bei iš to kylančioms teisinėms rizikoms. Jeigu pagal paslaugų sutartį yra nustatyti konfidencialumo reikalavimai, jie dažniausiai taikomi ir subrangovams. 

Esant tokiai situacijai ir egzistuojant konfidencialumo ir NDA sutarčių skirtumams, kyla tokios pagrindinės rizikos:  

1. Sutarties pažeidimas ir teisinė atsakomybė – subrangovai gali netinkamai tvarkyti ar saugoti konfidencialią informaciją, kas gali lemti duomenų nutekėjimą ar neteisėtą panaudojimą, kas tiesiogiai lemtų užsakovo ir kliento sutarties pažeidimą bei užsakovo atsakomybę prieš klientą.
2. Reputacijos praradimas – konfidencialumo ir NDA sutarčių pažeidimas gali smarkiai pakenkti įmonės reputacijai rinkoje. 

Per savo profesinės veiklos praktiką esame išskyrę keletą prevencinių veiksmų, kurie leidžia suvaldyti tokias situacijas ir galinčias kilti rizikas:

1. Rekomenduojame užtikrinti, kad visi subrangovai būtų įtraukti į bendrą įmonės konfidencialumo sistemą, t. y. kartu su pasirašoma paslaugų teikimo sutartimi būtų įtraukiama ir konfidencialumo ir NDA sutarčių paketas – subrangovams kartu su sutartimis pateikiama susipažinti ir pasirašyti įmonės vadovo įsakymu patvirtintas įmonės konfidencialios informacijos ir komercinių paslapčių sąrašas.
2. Siūlytina atsakingai rinktis savo partnerius/subrangovus. Prieš pradedant bendradarbiauti reikalingas išsamus patikrinimas, siekiant įvertinti jų atliktus darbus, istoriją, darbuotojus, naudojamas technologijas ir pan.
3. Sutarčių su subrangovais sąlygose privaloma aiškiai nurodyti konfidencialumo reikalavimus, atitinkančius esamus įsipareigojimus su savo klientais. Tokio veidrodinio principo pritaikymas leistų suvaldyti savo riziką subrangovui pažeidus konfidencialumo įsipareigojimus.
4. Tarpusavio sutartyje reikalinga nustatyti teisę ir galimybę reguliariai stebėti ir audituoti subrangovo veiklą. Tokiu būdu bus galima užtikrinti kaip subrangovai laikosi visų konfidencialumo reikalavimų.
5. Vykdant sutartį, privaloma riboti subrangovų prieigą prie konfidencialios informacijos išimtinai tik iki būtiniausio lygio, reikalingo jų darbo vykdymui. Šio veiksmo vykdymui siūloma pasitelkti technologijas, leidžiančias stebėti ir kontroliuoti prieigą prie svarbios informacijos, bei aiškiai fiksuoti prie kokios informacijos subrangovui suteikiama prieiga ir pabrėžiama, kad visa subrangovui perduodama informacija yra konfidenciali.
6. Į sutartis su subrangovais privaloma įtraukti sąlygas dėl atsakomybės pasidalijimo. Tokiu būdu subrangovams bus aiškiai suformuluota atsakomybė už bet kokius konfidencialumo pažeidimus.

 Tinkamas subrangovų valdymas ir aiškių konfidencialumo taisyklių įgyvendinimas gali ženkliai sumažinti rizikas, susijusias su konfidencialios informacijos apsauga IT sektoriuje. Tai ne tik padės apsaugoti savo įmonės ir klientų interesus, bet ir užtikrins ilgalaikę verslo sėkmę bei reputacijos išsaugojimą.