Skip to main content

6.6 Umowy o poufności (NDA)

Kontrola

Umowy o poufności (NDA) lub umowy o nieujawnianiu informacji, odzwierciedlające potrzeby organizacji w zakresie ochrony informacji, powinny być zidentyfikowane, udokumentowane, regularnie przeglądane i podpisywane przez personel oraz inne zainteresowane strony.

Cel

Utrzymanie poufności informacji, do których dostęp ma personel lub podmioty zewnętrzne.

Wytyczne

Umowy o poufności powinny określać obowiązek ochrony informacji poufnych w sposób prawnie egzekwowalny. Są one stosowane zarówno do pracowników organizacji, jak i do innych zainteresowanych stron. W zależności od wymagań organizacji dotyczących bezpieczeństwa informacji, treść umów powinna uwzględniać m.in.:

  • a) definicję informacji podlegających ochronie (np. informacje poufne);
  • b) okres obowiązywania umowy, w tym przypadki, gdy poufność musi być zachowana bezterminowo lub do momentu upublicznienia informacji;
  • c) wymagane działania po zakończeniu obowiązywania umowy;
  • d) obowiązki i działania sygnatariuszy w celu zapobiegania nieautoryzowanemu ujawnieniu informacji;
  • e) kwestie własności informacji, tajemnic handlowych oraz własności intelektualnej w kontekście ochrony informacji poufnych;
  • f) dozwolone sposoby wykorzystywania informacji poufnych oraz prawa sygnatariuszy do ich użycia;
  • g) prawo do audytu i monitorowania działań związanych z informacjami poufnymi w przypadku szczególnie wrażliwych danych;
  • h) procedurę powiadamiania i raportowania o nieautoryzowanym ujawnieniu lub wycieku informacji poufnych;
  • i) zasady zwrotu lub zniszczenia informacji po zakończeniu obowiązywania umowy;
  • j) oczekiwane działania w przypadku naruszenia warunków umowy.

Organizacja powinna uwzględnić zgodność umów o poufności z przepisami obowiązującymi w jurysdykcji, w której mają one zastosowanie (zob. 5.31, 5.32, 5.33, 5.34).

Wymagania dotyczące umów o poufności powinny być okresowo przeglądane oraz aktualizowane w przypadku zmian wpływających na te wymagania.

Inne informacje

Umowy o poufności chronią informacje organizacji oraz informują sygnatariuszy o ich obowiązku ochrony, właściwego wykorzystywania i ujawniania informacji w sposób odpowiedzialny i autoryzowany.