Конфиденциальность и NDA при переводе коммерческой документации в Казахстане: что должно быть в договоре с переводческим бюро

В службу безопасности крупного промышленного холдинга в Караганде поступил запрос от тендерного отдела: нужно срочно перевести с английского пакет на 800 страниц по новому контракту с поставщиком из Северной Европы. В пакете — финансовые модели, технические ноу-хау по обогатительной фабрике, персональные данные сотрудников, проект договора с положениями о ценах. Подрядчик найден на маркетплейсе фрилансеров, цена ниже рыночной на 35%. Юрист холдинга остановил передачу за час до отправки: NDA с переводчиком не заключён, путь хранения файлов не определён, у исполнителя нет даже корпоративной почты — только бесплатный почтовый сервис.

Этот сценарий повторяется в Казахстане десятки раз в неделю. Коммерческая документация уходит в перевод по тем же каналам, что и развлекательные тексты, — почтой, мессенджерами, через биржи фрилансеров. Безопасность сводится к строчке «исполнитель обязуется не разглашать» в одном абзаце договора. Когда дело доходит до утечки или спора, выясняется, что юридическая защита нулевая, а технические следы давно стёрты.

Ниже — практическая логика того, как должна быть устроена работа с переводческим подрядчиком, чтобы передача коммерческой и технической документации не превращалась в риск для компании.

Что защищает закон в Казахстане

Прежде чем обсуждать NDA, важно понимать, какая информация в принципе подпадает под защиту по казахстанскому законодательству, потому что от этого зависит формулировка договора.

Гражданский кодекс РК, статья 126 «Служебная и коммерческая тайна» определяет три условия, при которых информация защищается как коммерческая тайна: она имеет действительную или потенциальную коммерческую ценность в силу неизвестности третьим лицам, к ней нет свободного доступа на законном основании, и обладатель информации принимает меры к охране её конфиденциальности. Все три условия должны выполняться одновременно. Если меры по защите не приняты, защита не работает — даже если ценность очевидна.

Закон РК «О персональных данных и их защите» № 94-V от 21 мая 2013 года регулирует обращение с персональными данными. В декабре 2023 года в него внесены поправки Законом РК № 44-VIII (вступили в силу с 11 февраля 2024 года), которые ввели новое определение «нарушения безопасности персональных данных» и расширили обязанности оператора. В июне 2024 года последовали дополнения по Закону РК № 94-VIII. Это означает, что любая передача документов, содержащих персональные данные сотрудников, контрагентов, кандидатов, должна сопровождаться правовой основой обработки и защитными мерами на стороне переводческого подрядчика.

Закон «О противодействии недобросовестной конкуренции» запрещает неправомерное использование коммерческой тайны конкурентами, а Закон «Об информатизации» задаёт правила оборота информации.

Существует распространённое заблуждение, что в Казахстане есть отдельный закон «О коммерческой тайне». Его нет. Регулирование собрано из перечисленных актов, и это значит, что защита строится не на ссылке на один закон, а на грамотной договорной конструкции.

Подробнее о подходе к корпоративному переводу мы писали в полном руководстве по организации корпоративного перевода для промышленного холдинга — оно даёт общий каркас, в котором NDA — лишь один из элементов.

Какие документы требуют NDA в первую очередь

Не каждая страница перевода — секретная. Но в коммерческой переписке есть несколько категорий, по которым подписание NDA обязательно ещё до передачи файлов:

Тендерная и закупочная документация. Технические задания, коммерческие предложения, ценовые расчёты конкурентов, банковские гарантии. Утечка может стоить компании участия в тендере и испортить отношения с заказчиком.

Договорная документация. Проекты соглашений, дополнительные соглашения, протоколы переговоров, MOU, term sheets, положения о ценообразовании и условиях оплаты.

Финансовая отчётность и инвестиционные материалы. Аудиторские отчёты, финансовые модели, инвестиционные меморандумы, презентации для роуд-шоу, due diligence reports.

Технические ноу-хау. Технологические регламенты, проектная документация на новые объекты, спецификации оригинального оборудования, разработки в R&D, формулы и рецептуры.

Персональные данные и кадровые документы. Трудовые договоры, личные дела, медицинские заключения, биографические справки.

Юридическая переписка. Заключения внутренних и внешних юристов, материалы судебных разбирательств, претензионная переписка, корпоративные расследования.

Корпоративные расследования и внутренняя коммуникация по чувствительным темам. Whistleblower-обращения, материалы compliance-аудитов, внутренние расследования инцидентов.

Если документ относится к одной из этих категорий, NDA должен быть подписан до того, как файл будет открыт переводчиком — а не после, как часто бывает на практике.

Что должно быть в NDA с переводческим бюро

Стандартное соглашение о неразглашении, скачанное из интернета, обычно прикрывает 30-40% реальных рисков. Применительно к переводческой работе договор должен содержать как минимум следующие элементы:

Точное определение конфиденциальной информации. Не «всё, что передано», а перечень категорий: технические данные, финансовые показатели, персональные данные, тексты договоров, переписка. Желательна ссылка на классификатор внутренних документов заказчика, если он есть.

Срок действия обязательств после прекращения работы. Как правило, от 3 до 7 лет. Для технических ноу-хау и проектной документации стратегических объектов — без срока. Простая фраза «в течение всего срока действия договора и год после» часто слишком мягкая.

Определение круга лиц, которые получат доступ. В переводческом бюро это не только переводчик, но и редактор, корректор, менеджер проекта, иногда верстальщик. Все они должны быть связаны индивидуальными NDA с бюро, и заказчик имеет право запросить копии этих внутренних соглашений (с замазанными персональными данными).

Обязанность письменно уведомлять о привлечении субподрядчиков. Если бюро передаёт работу внешнему переводчику-фрилансеру, заказчик должен знать об этом и согласовать. Без этого положения бюро может законно передать ваш пакет третьему лицу — и формально не нарушить договор.

Технические требования к хранению и обработке. Запрет передачи файлов через бесплатные мессенджеры и публичные облака, требование шифрованного канала, удаление файлов после сдачи проекта, запрет на использование файлов для тренировки публичных LLM-моделей. Этот пункт стал критичным с распространением ИИ-инструментов.

Ответственность за нарушение. Конкретный размер штрафа за каждый случай разглашения, а не «возмещение фактического ущерба», который потом трудно доказать. Для корпоративного клиента типична сумма от 500 000 тенге за случай, для крупных промышленных контрактов — кратно выше.

Порядок возврата или уничтожения материалов. По окончании проекта — письменный акт об уничтожении файлов с указанием способа (cryptographic wipe, физическое уничтожение носителей), сроков и ответственных лиц.

Применимое право и подсудность. Право РК и казахстанский суд — стандартная и удобная конструкция для большинства случаев. Включение арбитражной оговорки оправдано в крупных контрактах с международным переводческим бюро.

Положение об инциденте и уведомлении. Если у переводческого подрядчика произошёл инцидент (взлом, утечка, потеря устройства), он обязан уведомить заказчика в установленный срок (обычно 24-48 часов) и описать масштаб.

Подобная договорная конструкция — это не «бюрократия», а минимальный пакет, который снимает половину рисков ещё до начала работы.

Технические меры защиты: что должно быть на стороне бюро

Юридический договор не работает в вакууме. NDA защищает компанию только тогда, когда у переводческого подрядчика есть техническая инфраструктура для исполнения этих обязательств.

Ориентир в международной практике — стандарт ISO/IEC 27001 «Системы менеджмента информационной безопасности». Он формализует подход к защите информации: оценка рисков, политики доступа, шифрование, журналирование действий, обучение персонала, реагирование на инциденты. Сертификация по ISO 27001 — сильный сигнал, что бюро серьёзно относится к безопасности данных.

Параллельно для переводческой отрасли работает стандарт ISO 17100:2015 «Услуги перевода. Требования к переводческим услугам», который включает требования к защите данных в составе системы управления качеством. Это базовый отраслевой стандарт, и его наличие — обязательный фильтр при выборе подрядчика для регулярной работы с конфиденциальными материалами.

Что должно быть на практике у бюро, претендующего на работу с чувствительными документами:

— Корпоративная инфраструктура. Корпоративные почтовые ящики на собственном домене (а не free-сервисы), VPN для удалённой работы, MDM-управление устройствами переводчиков.

— Шифрованные каналы передачи. Защищённые порталы для загрузки и выгрузки файлов, или использование S3-совместимого хранилища с end-to-end шифрованием. Никаких WhatsApp, Telegram, Bitrix24 без корпоративного контроля.

— Журналирование доступа. Каждое открытие файла, скачивание, изменение фиксируется в журнале. По запросу заказчика — выгрузка журнала за период.

— Контролируемые рабочие станции. Запрет копирования на USB, ограничение печати, контроль над ИИ-сервисами. В критичных проектах — выделенные виртуальные машины без доступа в интернет.

— Политика «нулевого ИИ» по запросу клиента. Возможность гарантировать, что текст не попадёт в публичные LLM-сервисы (ChatGPT, DeepL, Google Translate в открытом виде). Это особенно важно для финансовых, юридических и технических ноу-хау.

— Обучение и допуск. Каждый переводчик и редактор проходит обучение по информационной безопасности и подписывает индивидуальный NDA с бюро.

Подход к организации проектов с такими требованиями мы подробно описывали в материале о многоуровневой системе проверки качества технического перевода — конфиденциальность встроена в этот процесс на каждом этапе.

Где чаще всего «течёт»: пять типичных уязвимостей

По нашему опыту работы с промышленными клиентами, утечка коммерческой информации в переводческих процессах чаще происходит не из-за злого умысла, а из-за рутинных слабостей.

Первая уязвимость — передача файлов почтой. Письмо с вложением проходит через несколько SMTP-серверов, попадает в архивы, индексируется почтовыми клиентами. Если получатель работает с корпоративной почтой через мобильное приложение, файл оседает на его устройстве.

Вторая — фрилансеры без корпоративного контроля. Бюро принимает большой заказ и распределяет его между внешними переводчиками. Юридически — это субподряд, технически — рассылка файлов на 5-10 личных почтовых ящиков, которые управляются неизвестно кем.

Третья — публичные ИИ-сервисы. Переводчик загружает фрагменты текста в ChatGPT для проверки терминологии или ускорения работы. По умолчанию такой текст становится частью обучающей выборки, и заказчик об этом не узнает.

Четвёртая — копирование на личные устройства. Переводчик берёт работу на выходные, копирует файлы на домашний компьютер, которым пользуется ещё кто-то из членов семьи. Никаких следов и контроля.

Пятая — отсутствие протокола уничтожения файлов. После сдачи проекта файлы остаются в папках переводчика, в облачных бэкапах, во временных директориях CAT-инструментов годами. Если у бюро нет регулярной чистки и журналирования, эти данные доступны при компрометации устройств в любой момент.

Каждая из этих уязвимостей закрывается сочетанием договорных обязательств и технической инфраструктуры. Без одного из двух — защита неполная.

Как iText организует работу с конфиденциальной документацией

Команда бюро технических переводов iText строит работу с коммерческой документацией с учётом специфики промышленных клиентов Казахстана. Базовый контур включает:

NDA с заказчиком подписывается до открытия файлов. Договор содержит конкретные категории защищаемой информации, сроки сохранения обязательств, индивидуальные размеры ответственности и порядок инцидент-репортинга. Шаблон NDA можно адаптировать под требования службы безопасности заказчика — это нормальная практика и не повод для затягивания запуска.

Передача файлов организована через защищённый канал — корпоративный портал или согласованное решение со стороны заказчика (SharePoint, корпоративный SFTP). Почта используется только для несекретных вложений.

Каждый переводчик и редактор, работающий с проектом, связан внутренним NDA с iText и допускается к материалам по принципу необходимого доступа. На крупные проекты собирается выделенная команда, как мы описывали в материале о выделенной команде переводчиков для долгосрочных контрактов.

ИИ-инструменты используются только в режиме on-premise или через корпоративные API с гарантией непопадания данных в обучающие выборки. По запросу клиента — полный отказ от ИИ-инструментов с письменным подтверждением.

После сдачи проекта файлы перемещаются в архив с ограниченным доступом, по запросу заказчика — уничтожаются с актом. Терминологические базы и память переводов хранятся в обезличенном виде и не привязываются к именам файлов клиента, как мы описывали в материале о терминологических базах для промышленных клиентов.

Опыт долгосрочной работы с группой ERG, изложенный в кейсе партнёрства с Eurasian Resources Group, включает в себя налаженный режим работы с конфиденциальными технологическими и коммерческими документами на протяжении многих лет.

Чек-лист службы безопасности перед передачей пакета в перевод

Перед тем как отправить коммерческие документы внешнему переводческому подрядчику, проверьте по следующим пунктам:

— Подписано ли актуальное соглашение о неразглашении с конкретными категориями защищаемой информации, а не общими формулировками. — Указан ли в договоре круг лиц со стороны бюро, которые получат доступ, и порядок уведомления о привлечении субподрядчиков. — Каким каналом передаются файлы и кто из сотрудников бюро имеет к нему доступ. — Есть ли у бюро сертификация ISO 17100 или ISO 27001, или подтверждение действующих внутренних политик информационной безопасности. — Согласован ли запрет на использование публичных ИИ-сервисов для обработки текста. — Установлен ли срок и порядок уничтожения файлов после сдачи проекта. — Есть ли в договоре финансовая ответственность за утечку с конкретной суммой, а не отсылка к «фактическому ущербу».

Если хотя бы по одному пункту нет ясности — лучше отложить передачу пакета на пару дней и привести договор в соответствие, чем потом разбираться с последствиями.

Что мы предлагаем

iText сопровождает компании Казахстана при переводе коммерческой и технической документации с тем уровнем конфиденциальности, который требуют их службы безопасности и юридические департаменты. Готовы подписать NDA на ваших условиях, предоставить регламент обработки документов, организовать защищённый канал передачи и выделенную команду на длительные проекты. Свяжитесь с нами через страницу контактов — обсудим конкретный сценарий и подготовим договор под требования вашей службы безопасности.