Команда ІТ компанії у віддаленому форматі. Чи треба щось робити юридично?
Коли учасники команди співпрацюють з компанією в форматі господарських відносин, то можливість або ж навіть обов’язковість віддаленого формату співпраці закладається по дефолту, а тому особливої потреби в змінах в документи, наче не виникає. Але, чи дійсно це так?
-
Конфіденційність. Чи працюють наші NDA?
В цілому, в хорошому NDA передбачається, що вся та будь-яка інформація, що передається підряднику є конфіденційною, і немає різниці – це передача онлайн чи в паперовому вигляді.
При цьому, не буде зайвим пересвідчитись, що конкретні способи передачі та конкретні види конфіденційної інформації все ж вказані в контракті, а також, що передбачений відповідний режим роботи та зберігання такої інформації. Одна справа, коли дані зберігаються в офісі за 100 чіпованими замками, а інша – коли це ноут, до якого мають доступ родина та дітлахи. Чи це питання вже кібербезпеки?
-
Кібербезпека та захист даних компанії
Звісно, завжди резюмується, що кожен учасник команди відповідально ставиться до захисту важливої інформації на своїй машині. Ще краще, коли ця інформація на сервері, а не на робочому столі. Паролі та обмеження доступу до конкретного ноуту також не завадять. В цілому, такі умови можна було б прописати в інструкції для тих, хто, зазвичай, віддалено не допомагав команді.
Це може навіть певна комбінація – інструкція щодо кібербезпеки при співпраці у віддаленому форматі та красиве, навіть артове FAQ у форматі Dos & Don’ts. Проблема більшості інструкцій та політик в тому, що їх ніхто ніколи не читає – багато тексту маленьким шрифтом і все юридичне. Фу. А от картинки (візуалізація) значно покращить розуміння положень та постулатів складних бумажуль.
-
GDPR, HIPPA, CCPA та інші складні до виконання регламенти
Мабуть, не так багато компаній, які не мали змоги насолодитись можливістю заповнювати опитувальники на 100 питань про те, що по GDPR у нас все дуже добре і всі організаційні та технічні заходи у нас впроваджені та виконуються. Хто працює з медичними даними, міг також мати справу з HIPPA.
Чи потрібно додатково робити якісь політики / інструкції та інші документи на період віддаленої співпраці з тими членами колективу, хто перейшов на remote формат? Хороше питання.
В цілому, якщо самі процеси обробки персональних даних та карти їх руху не змінились, у цьому немає необхідності. З іншого боку – якщо обробка була прив’язана до певного сек’юрного приміщення і це визначалось в документах, то, можливо, доцільно було б провести аудит щодо необхідності внесення змін на певний період.
-
Передача техніки конкретним учасникам команди
Певні види робіт чи послуг можуть надаватись виключно з використанням дуже крутого обладнання – монітори, системні блоки, ноутбуки. Якщо до цього учасник команди не знаходився у віддаленому форматі, а тепер йому передається певна одиниця техніки – буде не зайвим прописати що саме та в якій кількості і кому передається. Це можна оформити простим актом прийому-передачі до договору.
-
Печатки, золоті ручки, 2 фірмові бланки
Звісно, печаток вже давно немає, замість ручок – докусайн, а фірмові бланки в онлайні. Все ж активи, що забезпечують доступ до онлайн-банкінгу чи можливості виступати від імені юридичної особи (булава та довіреність) краще тримати при тих особах, які дійсно мають право вчиняти юридично значимі дії від імені компанії.
То треба щось робити чи ні?
В цілому, оскільки специфіка надання послуг чи розробки продуктів в ІТ сфері апріорі передбачає можливість співпраці та надсилання deliverables online, перехід на повний remote формат для ІТ компаній не є випробуванням з юридичної точки зору, і, на 99%, якщо навіть зовсім нічого не робити, то все може бути ОК.
З іншого боку, сподіваємось, що чек-лист з 5 пунктів зазначених вище буде для Вас корисним і, можливо, Ви згадали ще щось, що треба буде зробити 😉
Антон Тарасюк
Керуючий партнер в Legal IT Group, LLM, CIPP/E, CIPM, FIP