NDA для IT-розробки 2026: source code, R&D, ст. 505 ЦКУ

NDA для IT-проєкту — спеціалізований договір про нерозголошення, що поєднує ст. 505-508 ЦКУ (комерційна таємниця) з ЗУ № 2811-IX «Про авторське право і суміжні права» (захист source code, архітектури, баз даних) і нормами цивільно-правового підряду / послуг (ст. 837-864, 901-907 ЦКУ). Ключове, що відрізняє IT-NDA — подвійний правовий режим: один і той самий код одночасно є об'єктом авторського права (як комп'ютерна програма за ст. 1 ЗУ № 2811-IX) і об'єктом комерційної таємниці (як алгоритми, архітектура, бізнес-логіка).

Що саме захищається у IT-NDA

В IT-проєктах об'єктів захисту значно більше, ніж у класичному B2B-NDA:

Категорія	Правовий режим	Як захищати
Source code	Авторське право (ЗУ № 2811-IX ст. 1) + комерційна таємниця	NDA + передача майнових прав
Архітектура / system design	Комерційна таємниця (ст. 505 ЦКУ)	NDA
Database schema / data models	Комерційна таємниця + sui generis right на бази даних (ЗУ № 2811-IX ст. 38)	NDA
Алгоритми, ML-моделі, ваги	Комерційна таємниця (як ноу-хау)	NDA
Документація API, internal tools	Комерційна таємниця	NDA
Реальні дані користувачів (PII)	Персональні дані (ЗУ № 2297-VI)	NDA + DPA (Data Processing Agreement)
Roadmap, продуктова стратегія	Комерційна таємниця	NDA
Прототипи, MVP, демо	Авторське право + комерційна таємниця	NDA

Ключовий принцип: для IT-проєкту NDA не замінює передачу майнових прав на твір. Це — два різні документи (або два розділи одного договору). NDA забороняє розкривати і використовувати інформацію поза метою; передача прав (ст. 17 ЗУ № 2811-IX, ст. 429 ЦКУ) робить замовника власником результату.

Структура IT-NDA: обов'язкові розділи

Покроково, які пункти обов'язкові саме для IT-кейсів:

Преамбула + мета — конкретний проєкт, до якого надається доступ (назва, опис, scope).
Конфіденційна інформація — IT-специфічні категорії:
- source code (всі гілки git, історія комітів);
- архітектурні діаграми, ER, sequence diagrams;
- технічні специфікації, API contracts, internal docs;
- тестові дані з реальних користувачів (PII);
- production credentials (Vault secrets, API keys);
- інфраструктурні налаштування (k8s, Terraform);
- алгоритми, ML-моделі, ваги нейронних мереж;
- бізнес-логіка, продуктові метрики.
Передача майнових прав на створене за договором — посилання на ст. 17 ЗУ № 2811-IX (за замовчуванням замовнику, але експліцитна передача обов'язкова для уникнення спорів).
Особисті немайнові права — лишаються за автором (виконавцем), невідчужувані (ст. 14 ЗУ № 2811-IX). Можна обмежити шляхом договірного застереження про право замовника використовувати твір без зазначення автора.
Винятки з конфіденційності — open source залежності (treati MIT/Apache коду; не можна claim that), не входять до scope NDA.
Зобов'язання щодо безпеки коду — використання захищеного git, MFA на всіх облікових записах, шифрування endpoints.
Заборона на reverse engineering третіх-осіб через переданий код.
Strok зобов'язань — для IT типово 5 років (життєвий цикл product версії). Для критичних алгоритмів / ML-моделей — 10 років або «до моменту втрати секретності».
Санкції — фіксований штраф 200 000 — 1 000 000 грн або % від обороту recipient. Окремо штраф за leak source code (вищий, 500 000 — 5 000 000 грн).
Injunctive relief — судова заборона подальшого використання витоку (ст. 16 ЦКУ).
Підсудність — для UA-UA: господарський суд; для cross-border (UA-US, UA-EU): LCIA / SIAC.

Інтерактивний шаблон IT-NDA →

Особливість 1: Open source у проєкті

Якщо у проєкті використовуються open source бібліотеки (а вони використовуються майже завжди), важливо:

Не претендувати на код OSS як на конфіденційну інформацію — це порушення ліцензії.
Список залежностей (package.json, requirements.txt, go.mod) — не є конфіденційною інформацією.
Власні модифікації до OSS — можуть бути конфіденційними, якщо ліцензія OSS це дозволяє (MIT/Apache — так; GPL — потрібна публікація змін).
У NDA окремо зазначте: «Винятки: код, що поширюється під OSS-ліцензіями, дозволяє публічне використання».

Особливість 2: GitHub, GitLab, Bitbucket — де зберігається код

Якщо код виконавця завантажується у репозиторій замовника — це акт передачі. Якщо у репозиторій виконавця — потрібен:

Доступ замовника на читання + запис.
Резервна копія у замовника (cron job, mirror).
Зобов'язання виконавця передати full repo з історією після завершення проєкту.
Видалення репозиторію виконавця після передачі — окрема процедура з підтвердженням.

Особливість 3: ML-моделі та ваги (weights)

Для AI/ML-проєктів конфіденційними можуть бути:

Об'єкт	Захист
Тренувальний датасет	NDA + persdata DPA (ЗУ № 2297-VI)
Архітектура моделі (model card)	NDA (комерційна таємниця)
Ваги моделі (.pth, .onnx, .safetensors)	NDA — найкритичніше; ваги дають змогу повністю відтворити модель
Hyperparameters, training config	NDA
Eval results (бенчмарки)	NDA

Окремо — generated outputs моделі. Якщо modelі генерує контент для замовника, потрібно врегулювати, кому належать виходи (типово замовнику).

Розрахунок штрафу для IT-NDA

Через високу комерційну цінність IT-інформації штрафи зазвичай вищі:

Тип витоку	Типовий штраф
Розголошення архітектури / документації	200 000 — 500 000 грн
Витік source code (часткові частини)	500 000 — 2 000 000 грн
Витік full source code (репозиторій)	1 000 000 — 5 000 000 грн
Витік prod credentials	500 000 — 1 000 000 грн + покриття downtime
Витік ML-моделі (ваги)	1 000 000 — 5 000 000 грн
Передача коду конкуренту	5 000 000+ грн або повна сума інвестицій у проєкт

Детальніше про розрахунок: Розрахунок штрафу за NDA.

Інтеграція з договором підряду / ЦПХ

IT-NDA рідко існує окремо. Зазвичай це додаток до основного договору:

Договір підряду на IT-розробку (cluster-pidryadu) — коли є матеріалізований результат (код, готовий продукт).
Договір ЦПХ для IT (розробка, дизайн, контент) (cluster-tsph) — універсальний для ЦПХ-послуг.
Передача майнових прав на твір (ст. 429 ЦКУ) — окремо QA по IP.

Anti-pattern: чого уникати в IT-NDA

«Source code є комерційною таємницею в цілому» — недостатньо. Потрібно: код, написаний за договором, до моменту public release.
NDA без передачі майнових прав — замовник захищений від витоку, але не власник коду. Без ст. 17 ЗУ № 2811-IX express transfer — конфлікти у разі розриву договору.
Заборона на «використання знань» — non-enforceable. Розробник набуває generic знань (фреймворки, патерни), які не можна обмежити.
Reverse engineering у NDA — ефективно тільки якщо переданий не source, а binary. Для UA-юрисдикції — складно довести.
NDA без DPA для PII — окрема проблема. Якщо передаються реальні дані користувачів — потрібен окремий Data Processing Agreement за ЗУ № 2297-VI.

Дисклеймер. AGENTIS — інформаційна платформа юридичної ясності, не замінює IT-юриста. Для проєктів з фінансуванням 100k+ USD рекомендуємо консультацію з фахівцем у сфері IT-права.

Ключові норми

ст. 505-508 ЦКУ — комерційна таємниця (для алгоритмів, архітектури).
ст. 1 ЗУ № 2811-IX — комп'ютерна програма як об'єкт авторського права.
ст. 16-17 ЗУ № 2811-IX — майнові права на твір (службовий + за замовленням).
ст. 38 ЗУ № 2811-IX — sui generis право на бази даних.
ст. 429 ЦКУ — права на об'єкт ІВ, створений за замовленням.
ст. 837-864 ЦКУ — договір підряду (для IT-розробки).
ст. 901-907 ЦКУ — договір про надання послуг (для ЦПХ).
ЗУ № 2297-VI — захист персональних даних (для DPA).

Зовнішні джерела

Готовий до складання IT-NDA?

Згенерувати IT-NDA з пунктом про source code → — інтерактивний шаблон з варіантом «IT-розробка / R&D».

Інформація носить довідковий характер і не є юридичною консультацією. Для вирішення конкретної ситуації скористайтесь AI-аналізом.