Угода між Україною та Королівством Нідерланди про обмін та взаємну охорону інформації з обмеженим доступом

Україна

та

Королівство Нідерланди,

надалі разом іменовані "Сторони", а кожна окремо - "Сторона",

бажаючи забезпечити взаємну охорону інформації з обмеженим доступом в інтересах національної безпеки,

домовилися про таке:

1. Метою цієї Угоди є забезпечення охорони інформації з обмеженим доступом, обмін якою здійснюється між Сторонами або між юридичними чи фізичними особами, які перебувають під їх юрисдикцією, або яка створюється в рамках двосторонніх програм відповідно до цієї Угоди.

Угода визначає процедури та заходи безпеки для забезпечення такої охорони.

2. Угода не становить підстави для зобов’язання Сторін надавати інформацію з обмеженим доступом або здійснювати обмін нею.

Для цілей цієї Угоди терміни вживаються у такому значенні:

a) "порушення правил безпеки" - дії чи бездіяльність, що суперечать національним законам та підзаконним нормативно-правовим актам, які призводять до несанкціонованого доступу, розголошення, втрати або компрометації інформації з обмеженим доступом;

b) "контракт з обмеженим доступом" - контракт, включаючи будь-які переговори до укладення контракту, вчинений однією зі Сторін з підрядником для постачання товарів, виконання робіт або надання послуг, виконання яких вимагає або передбачає доступ чи можливий доступ до інформації з обмеженим доступом, чи її створення;

c) "інформація з обмеженим доступом" - будь-яка інформація або матеріал, позначені грифом обмеження доступу однієї зі Сторін, несанкціоноване розголошення або втрата яких може стати причиною завдання шкоди різного ступеня інтересам однієї або обох Сторін;

d) "компетентний орган безпеки" - державний орган Сторони, відповідальний за імплементацію та контроль за виконанням цієї Угоди. Компетентний орган безпеки може делегувати частину своїх обов’язків уповноваженому компетентному органу безпеки;

e) "підрядник" - фізична або юридична особа, якій надано право укладати контракти;

f) "дозвіл на провадження діяльності, пов’язаної з інформацією з обмеженим доступом" - письмове рішення, що ґрунтується на результатах перевірки компетентним органом безпеки, яке засвідчує, що установа здійснює відповідні заходи безпеки для доступу та поводження з інформацією з обмеженим доступом, включаючи, у тому числі, й інформацію зі ступенями обмеження доступу, встановленими згідно з національними законами та підзаконними нормативно-правовими актами Сторін;

g) "принцип необхідного знання" - вимога до фізичної чи юридичної особи, згідно з якою доступ, ознайомлення та зберігання інформації з обмеженим доступом здійснюється для виконання службових завдань та обов’язків;

h) "сторона створення" - сторона, під юрисдикцією якої створено інформацію з обмеженим доступом;

i) "допуск" - письмове рішення, що ґрунтується на результатах перевірки компетентним органом безпеки однієї зі Сторін, яке засвідчує, що фізична особа отримала право на доступ та поводження з інформацією з обмеженим доступом, включаючи, зокрема, інформацію з грифами обмеження доступу, встановленими згідно з національними законами та підзаконними нормативно-правовими актами Сторін;

j) "Сторона-джерело" - Сторона або підрядник, що перебуває під її юрисдикцією, які надають інформацію з обмеженим доступом Стороні-одержувачу за цією Угодою;

k) "Сторона-одержувач" - Сторона або підрядник, що перебуває під її юрисдикцією, які отримують інформацію з обмеженим доступом від Сторони-джерела за цією Угодою;

l) "Інструкція з безпеки" - документ, пов’язаний із контрактом з обмеженим доступом, який ідентифікує кожну частину цього контракту з обмеженим доступом, що містить інформацію з обмеженим доступом, та встановлює відповідні ступені обмеження доступу;

m) "третя сторона" - будь-яка міжнародна організація чи держава, включаючи юридичних та фізичних осіб, які перебувають під її юрисдикцією, яка не є Стороною цієї Угоди.

1. Компетентні органи безпеки Сторін визначено у додатку 1 до цієї Угоди.

2. Компетентні органи безпеки Сторін надають один одному офіційні контактні дані.

1. Вказані грифи обмеження доступу є еквівалентними та відповідають ступеням обмеження доступу, визначеним національним законодавством Сторін. Еквівалент англійською мовою є неофіційним перекладом, не є частиною національних законів та підзаконних нормативно-правових актів Сторін та не повинен використовуватись для позначення інформації з обмеженим доступом.

2. Сторона-одержувач позначає всю інформацію з обмеженим доступом, отриману за цією Угодою від Сторони-джерела, грифами обмеження доступу згідно з таблицею, викладеною у пункті 1 цієї статті.

3. Сторона-одержувач може змінити або скасувати гриф обмеження доступу отриманої за цією Угодою інформації з обмеженим доступом лише за письмовою згодою Сторони-джерела.

Доступ до інформації з обмеженим доступом надається особам лише за "принципом необхідного знання" та таким, які мають право на доступ до такої інформації відповідно до законодавства Сторони-одержувача.

1. Сторони здійснюють всі необхідні заходи для охорони інформації з обмеженим доступом, переданої в рамках цієї Угоди, відповідно до національних законів та підзаконних нормативно-правових актів.

2. Сторона-джерело здійснює всі необхідні заходи для забезпечення того, щоб:

a) інформацію з обмеженим доступом було позначено відповідними грифами обмеження доступу згідно з національними законами та підзаконними нормативно-правовими актами;

b) Сторону-одержувача було поінформовано про будь-які умови передачі або обмеження щодо використання наданої інформації з обмеженим доступом;

c) Сторону-одержувача було поінформовано про наступні зміни стосовно грифів обмеження доступу наданої інформації з обмеженим доступом.

3. Сторона-одержувач здійснює всі необхідні заходи для забезпечення того, щоб:

a) для охорони інформації з обмеженим доступом було забезпечено такий самий рівень, який передбачено для охорони національної інформації з обмеженим доступом еквівалентного ступеня обмеження доступу;

b) інформацію з обмеженим доступом було позначено власним відповідним грифом обмеження доступу;

c) грифи обмеження доступу, надані інформації з обмеженим доступом, не змінювалися або не скасовувалися без попередньої письмової згоди Сторони-джерела;

d) інформація з обмеженим доступом не розкривалася та не передавалася третій стороні без попередньої письмової згоди Сторони-джерела;

e) інформація з обмеженим доступом використовувалася виключно в цілях, у яких вона була передана, та відповідно до вимог її обробки, встановлених стороною створення.

1. З метою забезпечення тотожних стандартів безпеки компетентні органи безпеки за запитом інформують один одного про свої правила безпеки, принципи та заходи охорони інформації з обмеженим доступом.

2. За запитом компетентного органу безпеки однієї Сторони компетентний орган безпеки іншої Сторони надає письмове підтвердження про видачу чинного допуску або дозволу на провадження діяльності, пов’язаної з інформацією з обмеженим доступом.

3. За запитом компетентні органи безпеки надають один одному допомогу в проведенні перевірок у зв’язку з наданням допуску та дозволу на провадження діяльності, пов’язаної з інформацією з обмеженим доступом, відповідно до національних законодавчих та підзаконних нормативно-правових актів.

4. Компетентні органи безпеки невідкладно письмово повідомляють один одного про зміни щодо наданих допусків та дозволів на провадження діяльності, пов’язаної з інформацією з обмеженим доступом, стосовно яких було надано підтвердження.

5. Спілкування в рамках співробітництва за цією Угодою здійснюється англійською мовою.

1. Якщо Сторона або підрядник, який перебуває під її юрисдикцією, пропонують укласти контракт з обмеженим доступом із ступенем обмеження доступу, еквівалентним "CONFIDENTIAL" та/або "SECRET", як визначено у статті 4 цієї Угоди, з (суб)підрядником, що перебуває під юрисдикцією іншої Сторони, вона має попередньо отримати письмове підтвердження іншої Сторони, що підряднику надано дозвіл на провадження діяльності, пов’язаної з інформацією з обмеженим доступом, та/або оформлено допуск(и) відповідного ступеня. Для контрактів із ступенем обмеження доступу, еквівалентним "RESTRICTED", як визначено у статті 4 цієї Угоди, може вимагатися дозвіл на провадження діяльності, пов’язаної з інформацією з обмеженим доступом, якщо це передбачено законами та підзаконними нормативно-правовими актами держави підрядника.

2. Компетентний орган безпеки Сторони, під юрисдикцією якої діє підрядник, забезпечує, що підрядник:

a) гарантує, що всіх осіб, яким надається доступ до інформації з обмеженим доступом, поінформовано щодо зобов’язань стосовно охорони інформації з обмеженим доступом згідно з умовами, визначеними цією Угодою та національними законами та підзаконними нормативно-правовими актами;

b) здійснює контроль за забезпеченням безпеки в своїх установах;

c) невідкладно повідомляє свій компетентний орган безпеки щодо порушення правил безпеки, пов’язаного з контрактами з обмеженим доступом;

d) на додаток до підпунктів a), b) та c) цього пункту щодо контрактів з обмеженим доступом із ступенем обмеження доступу, еквівалентним "CONFIDENTIAL" та/або "SECRET", як визначено у статті 4 цієї Угоди, має дозвіл на провадження діяльності, пов’язаної з інформацією з обмеженим доступом, відповідного ступеня з метою забезпечення охорони інформації з обмеженим доступом;

e) на додаток до підпунктів a), b) та c) цього пункту щодо контрактів з обмеженим доступом із ступенем обмеження доступу, еквівалентним "CONFIDENTIAL" та/або "SECRET", як визначено у статті 4 цієї Угоди, гарантує, що особи, які потребують доступу до інформації з обмеженим доступом, мають допуск відповідного ступеня.

3. Кожен контракт з обмеженим доступом укладається відповідно до цієї Угоди та повинен включати в себе розділ з вимог безпеки, який містить такі положення:

a) Інструкція з безпеки;

b) порядок повідомлення сторонами контракту про зміну грифу обмеження доступу з урахуванням пункту 3 статті 4 цієї Угоди;

c) шляхи та процедури, що використовуються для транспортування та/або передачі інформації з обмеженим доступом;

d) приписи щодо поводження та зберігання інформації з обмеженим доступом;

e) контактні дані компетентних органів безпеки, відповідальних за нагляд за охороною інформації з обмеженим доступом, пов’язаної із контрактом з обмеженим доступом;

f) зобов’язання щодо повідомлення про будь-які порушення правил безпеки.

4. Компетентний орган безпеки Сторони, що надає дозвіл на виконання контракту з обмеженим доступом, надсилає копію розділу з вимогами безпеки компетентному органу безпеки Сторони-одержувача для здійснення нагляду за безпекою контракту з обмеженим доступом.

5. Якщо підрядник надає на виконання частину контракту з обмеженим доступом субпідряднику, підрядник та субпідрядник забезпечують виконання цієї Угоди.

6. Процедури погодження візитів, пов’язаних із виконанням контракту з обмеженим доступом, представників однієї Сторони до іншої здійснюються відповідно до статі 11 цієї Угоди.

1. Інформація з обмеженим доступом передається відповідно до національних законів та підзаконних нормативно-правових актів Сторони-джерела або у спосіб, погоджений компетентними органами безпеки.

2. Сторони можуть передавати інформацію з обмеженим доступом електронним шляхом, який захищено криптографічними засобами, відповідно до процедур, взаємно узгоджених компетентними органами безпеки.

1. Відтворення та переклади інформації з обмеженим доступом позначаються та підлягають такому ж захисту, як і оригінальна інформація з обмеженим доступом.

2. Переклади або відтворення обмежуються мінімальною кількістю, необхідною для використання в рамках цієї Угоди, та виконуються лише особами, які відповідно до національних законів та підзаконних нормативно-правових актів мають право на доступ до інформації з обмеженим доступом відповідного ступеня обмеження доступу інформації, що перекладається або відтворюється.

3. Переклади мають містити відповідну анотацію мовою, на яку здійснено переклад, яка відображає, що вони містять інформацію з обмеженим доступом Сторони-джерела.

4. Переклади або відтворення інформації з обмеженим доступом із ступенем обмеження доступу, еквівалентним "TOP SECRET", як визначено у статті 4 цієї Угоди, не здійснюються без письмової згоди Сторони-джерела.

5. Інформація з обмеженим доступом із ступенем обмеження доступу, еквівалентним "TOP SECRET", як визначено у статті 4 цієї Угоди, не знищується без письмової згоди Сторони-джерела. Така інформація повертається Стороні-джерелу після вирішення, що вона більше не буде необхідною Стороні-одержувачу.

6. Інформація з обмеженим доступом із ступенями обмеження доступу, еквівалентними включно до ступеня "SECRET", як визначено у статті 4 цієї Угоди, знищується після вирішення Стороною-одержувачем, що вона більше не буде необхідною, відповідно до національних законів та підзаконних нормативно-правових актів.

7. У разі виникнення кризової ситуації, яка унеможливлює забезпечення охорони інформації з обмеженим доступом, наданої в рамках цієї Угоди, така інформація з обмеженим доступом знищується невідкладно у спосіб, що унеможливлює подальший доступ до неї. Сторона-одержувач одразу письмово повідомляє компетентний орган безпеки Сторони-джерела про знищення такої інформації.

1. Візити, що потребують доступу до інформації з обмеженим доступом, вимагають попередньої письмової згоди відповідного компетентного органу безпеки, якщо інше не узгоджено між компетентними органами безпеки.

2. Відвідувач подає запит на візит щонайменше за 10 днів до запропонованої дати візиту до компетентного органу безпеки Сторони, під юрисдикцією якої він перебуває. Запит надсилається до компетентного органу безпеки іншої Сторони. У термінових випадках запит на візит може бути поданий у коротший строк, узгоджений попередньо між компетентними органами безпеки.

3. Запит на візит повинен включати:

a) повне ім’я відвідувача, дату і місце народження, громадянство та номер паспорта/ID-картки;

b) посаду відвідувача та назву установи, яку він представляє;

c) підтвердження, що відвідувач має допуск із зазначенням терміну його дії;

d) дату та тривалість візиту. У разі повторних візитів зазначається загальний період таких візитів;

e) мету візиту та очікувані ступені обмеження доступу до інформації, яка обговорюватиметься або доступ до якої здійснюватиметься;

f) назву, адресу, номер телефону, електронну адресу та контактну особу установи, яку планується відвідати;

g) дату та підтверджений печаткою підпис представника компетентного органу безпеки Сторони, під юрисдикцією якої перебуває відвідувач.

4. Компетентні органи безпеки можуть погоджувати списки відвідувачів, уповноважених на здійснення повторних візитів. Компетентні органи безпеки узгоджують деталі повторних візитів.

5. Поводження з інформацією з обмеженим доступом, наданою або отриманою відвідувачем, здійснюється відповідно до положень цієї Угоди.

1. Компетентні органи безпеки негайно інформують один одного в письмовій формі про будь-яке фактичне або можливе порушення правил безпеки стосовно інформації з обмеженим доступом іншої Сторони.

2. Сторона-одержувач невідкладно проводить розслідування будь-якого фактичного або можливого порушення правил безпеки відповідно до національних законів та підзаконних нормативно-правових актів. Сторона-джерело, у разі необхідності, сприяє у розслідуванні.

3. Компетентні органи безпеки здійснюють необхідні заходи відповідно до національних законів та підзаконних нормативно-правових актів, включаючи заходи з мінімізації наслідків випадку та попередження повторних порушень правил безпеки. Компетентному органу безпеки Сторони-джерела повідомляється про результати розслідування та про вжиті заходи.

Кожна Сторона самостійно несе витрати, пов’язані з виконанням своїх зобов’язань за цією Угодою.

Будь-які спори щодо тлумачення або виконання цієї Угоди вирішуються виключно шляхом переговорів між Сторонами.

Ця Угода не має переваги над будь-якими міжнародними договорами, які вже набрали чинності чи набиратимуть чинності та, зокрема, стосуються сфери, врегульованої цією Угодою.

Компетентні органи безпеки можуть укладати виконавчі домовленості, що стосуються цієї Угоди.

1. Ця Угода укладається на невизначений строк. Кожна Сторона дипломатичними каналами інформує іншу Сторону про виконання відповідних внутрішньодержавних процедур, необхідних для набрання Угодою чинності. Ця Угода набирає чинності в перший день другого місяця після отримання останнього повідомлення.

2. Щодо Королівства Нідерланди ця Угода застосовуватиметься до Європейської та Карибської частин Нідерландів (острови Бонайре, Сінт-Естатіус і Саба).

3. До цієї Угоди можуть бути внесені зміни за взаємною згодою Сторін. Кожна Сторона може запропонувати внести зміни до цієї Угоди у будь-який час дипломатичними каналами. Такі зміни набирають чинності відповідно до положень пункту 1 цієї статті, за виключенням внесення змін до додатка 1, які набирають чинності з дати, узгодженої Сторонами.

4. Будь-яка Сторона може у будь-який час припинити дію цієї Угоди у письмовій формі. У такому випадку Угода припиняє дію через шість місяців після одержання такого повідомлення.

5. Незалежно від припинення дії цієї Угоди вся інформація з обмеженим доступом, обмін якою здійснювався за цією Угодою, охороняється відповідно до цієї Угоди доти, доки вона залишається обмеженою у доступі.

На посвідчення цього, належним чином уповноважені представники Сторін підписали цю Угоду.

Вчинено у м. Києві 05 лютого 2024 року, двох примірниках, кожен українською, нідерландською та англійською мовами, при цьому усі тексти є рівно автентичними. У випадку виникнення розбіжностей у тлумаченні текст, викладений англійською мовою, має переважну силу.

1. Компетентним органом безпеки для України є:

Служба безпеки України.

2. Компетентним органом безпеки для Королівства Нідерланди є:

Служба загальної розвідки та безпеки Міністерства внутрішніх справ та справ Королівства.

Уповноваженим компетентним органом безпеки для Королівства Нідерланди у військовій сфері є:

Управління оборонної безпеки Генерального директорату політики Міністерства оборони.