Как правильно внедрить режим коммерческой тайны

В 2024 году 48% российских компаний столкнулись с утечками информации по вине сотрудников. В случае утечки без правильно внедренного режима коммерческой тайны (КТ) компания не сможет отстоять свои интересы в суде. Узнайте, как грамотно внедрить режим КТ, чтобы минимизировать риск от действий инсайдеров.

В этой статье разберем

• Что такое режим коммерческой тайны (КТ) и что к нему относится;
• Как создать Положение о КТ;
• Как промаркировать конфиденциальные данные;
• Как ввести обязанность о неразглашении КТ;
• Как обеспечить и проконтролировать защиту КТ;
• Как правильно внедренный режим КТ помогает на практике.

Что такое режим коммерческой тайны и что к нему относится

Режим КТ — это особый режим конфиденциальности коммерческой информации. Он позволяет компании отстоять свои интересы, если произойдет утечка важных для нее данных. Например, потребовать компенсацию за нанесенный ущерб.

Вопросы, связанные с режимом КТ, регулирует № 98-ФЗ «О коммерческой тайне». Согласно закону, для внедрения режима КТ нужно определить сведения, к которым он будет применен. Обычно это любая производственная, техническая, экономическая, организационная и другая конфиденциальная информация, которую владелец защищает от несанкционированного доступа.

Например, ноу-хау, базы клиентов и партнеров, планы развития, внутренние отчеты, метод изготовления продукта, деловая корреспонденция, исходный код ПО, результаты переговоров и т.д.

Исследования показывают, что зачастую по вине сотрудников утекают именно эти данные. В 2024 году российские организации чаще всего сталкивались со сливами информации о клиентах и сделках (44%), персональных данных (36%), технической (32%) и финансовой документации (38%).

Под КТ не подпадают учредительные документы, данные о числе работников, системе оплаты труда, сведения об охране труда, производственной безопасности, потребительская информация о продуктах.

Как создать Положение о КТ

Далее нужно разработать и ввести в действие Положение о КТ. Это локальный акт, который регламентирует все, что связано с коммерческой тайной. В документе прописывается:

• порядок обращения и передачи конфиденциальных данных;
• методы контроля за выполнением этого порядка;
• перечень лиц, имеющих доступ к конфиденциальным данным, и пределы такого доступа;
• перечень мер защиты КТ;
• порядок отнесения информации к КТ;
• ответственность за нарушения.

Положение нужно ввести в действие приказом руководителя компании и ознакомить с документом всех сотрудников под подпись. В приложении к Положению должен быть перечень сведений, которые составляют КТ.

Как промаркировать конфиденциальные данные

Маркировка данных позволит разработать систему учета лиц, которым предоставлен доступ к КТ. Это одно из требований № 98-ФЗ.

Промаркировать нужно все документы в бумажном и электронном виде. Во втором случае маркируются также флешки, диски и другие носители информации. Конкретный способ маркировки в законе не указан. Это может быть штамп, наклейка, включение грифа в фирменный бланк и т. п. Главное требование: маркировка должна ясно указывать, что информация на носителе относится к КТ и принадлежит конкретному владельцу.

Разработанный порядок маркировки и образец грифа также должны быть включены в Положение о КТ.

Как ввести обязанность о неразглашении КТ

Следующее требование закона — регулировать использование КТ сотрудниками и контрагентами. Для этого нужно взять обязательство о неразглашении у сотрудников и заключить соглашение о неразглашении (NDA) с контрагентами.

Документы можно подписать отдельно, если речь идет о действующих сотрудниках и контрагентах. Для всех будущих трудовых отношений и сделок условия о неразглашении можно включить в договор.

В формулировке обязательства или NDA нужно указать, что сотрудники и контрагенты обязаны сохранять конфиденциальность и принимать меры к защите переданной им информации, а также что они несут ответственность за нарушение коммерческой тайны.

Как обеспечить и проконтролировать защиту КТ

Последнее требование — ограничить и проконтролировать доступ к конфиденциальной информации. Для этого нужно хранить бумажные документы с КТ в защищенных хранилищах: сейфах или отдельных помещениях. И выдавать только при наличии документов, которые подтверждают право доступа.

Если документы находятся в «цифре», нужно использовать технические средства защиты. Они позволят разграничить доступ к файлам, управлять правами пользователей, а также контролировать соблюдение правил оборота КТ. Право на их использование установлено в 98-ФЗ.

Пример таких средств — DCAP и DLP-системы. Первая поможет промаркировать цифровые файлы с КТ, пометив их соответствующим образом, организовать безопасное хранение таких данных, ограничить доступ к ним и задать правила обработки.

Вторая позволит контролировать, как соблюдаются регламенты работы с КТ, обнаружить попытки несанкционированного доступа к данным и защитить их от утечки по всем цифровым каналам: в почте, мессенджерах, звонках и т.д.

Как правильно внедренный режим КТ помогает на практике

В судебной практике есть множество дел в пользу организаций с правильно внедренным режимом КТ. Например, в 2023 году сотрудник конструкторского бюро переслал множество рабочих файлов в личный мессенджер. Это зафиксировали технические средства, компания провела проверку, по ее итогам сотрудник уволен за разглашение КТ. Провинившийся обратился в суд, чтобы оспорить увольнение. Суд установил, что режим КТ в компании подтвержден документами, а факт нарушения доказан и отклонил требования.

Есть и обратные случаи. Даже если средства защиты информации зафиксировали слив, то без корректно внедренного режима КТ сложно доказать ценность утекших сведений и вину сотрудника.

Например, в 2021 году бывший сотрудник IT-компании использовал базу данных клиентов работодателя в собственных целях. Руководители организации подали на инсайдера в суд и предоставили копии Положения о КТ и трудового договора. Из-за ошибки в документах установленный режим конфиденциальности не касался баз данных клиентов и потому суд отказал истцу.

Чек-лист «Как внедрить режим коммерческой тайны»:

1. Определите, какая информация является конфиденциальной.
2. Создайте Положение о коммерческой тайне.
3. Промаркируйте конфиденциальные данные грифом «КТ».
4. Возьмите обязательство о неразглашении у всех, кто имеет доступ к коммерческой тайне.
5. Обеспечьте контроль и защиту.

Вывод

Введение режима коммерческой тайны позволяет компании:

• определить, какая корпоративная информация является закрытой;
• требовать от персонала и контрагентов сохранять ее конфиденциальность;
• контролировать работу сотрудников с такой информацией;
• привлекать к ответственности виновных в утечке, уничтожении, порче информации;
• подтвердить позицию бизнеса в суде в случае инцидентов с конфиденциальной информацией.