Для конкурентного рынка ретейла опасения промышленного шпионажа – не паранойя. Если конкурент зашлет к вам «казачка» или бывший сотрудник устроится к нему «с приданым» из ваших секретов, у вас может возникнуть необходимость защитить свои интересы в суде. Но подобные споры часто не доходят до разбирательства или разваливаются в зале заседаний по вине самих компаний – из-за того, что они неправильно оформили режим коммерческой тайны.

Что такое коммерческая тайна
Закон «О коммерческой тайне» обещает защиту любых сведений – производственного, технического, экономического, организационного характера и т.п. – которые реально или потенциально имеют коммерческую ценность. По закону нельзя прятать под гриф конфиденциальности кадровую информацию (количество работников, систему оплаты и условия труда) или сведения, которые влияют на безопасность людей (например, о токсичности производства или реализуемой продукции). В отношении других данных решает компания. Главный признак коммерчески значимой информации такой: если она случайно попадет не в те руки, законный обладатель понесет реальный ущерб.

Чтобы ценные данные стали «тайной», придется произвести формальные действия.
Необходимо составить подробный перечень конфиденциальной информации с максимально конкретными сведениями о типах, форматах таких данных и их отличительных признаках: от названий конкретных документов до целых категорий, например, «базы 1С» или «приказы за подписью директора».

Как бы ни хотелось сделать тайной все, отбирайте только самую важную информацию. На все материальные носители, на которых она находится, должен быть нанесен соответствующий гриф с указанием обладателя такой информации. Для юридических лиц это полное наименование и местонахождение, для индивидуальных предпринимателей – ФИО и местожительство. Формально это значит, что помечать нужно не только все бумаги, но и каждую флешку или даже сервера (системы хранения данных) с такими данными. Пометка на оборудовании к реальной защите данных не ведет, но таково требование закона. Чтобы не только соблюсти формальность, но и получить реальную пользу, «зашивайте» гриф прямо в электронные документы, содержащие тайну – в колонтитулы или с помощью специальных цифровых меток. А чтобы метки не исчезли (например, если сотрудники их случайно или намеренно удалят), можно использовать специальные программы, которые контролируют их наличие и все операции с размеченными файлами.

Дальше – издаем положение о режиме коммерческой тайны и знакомим с ним сотрудников. Желательно под роспись. Иначе в случае утечки в суде не доказать, что человек знал, что сведениями нельзя делиться.

Кому доверить коммерческую тайну
Сотрудники должны дать согласие на работу с коммерческой тайной (если только это не их прямая обязанность). Поэтому необходимо подготовить документы о порядке использования информации работником – должностную инструкцию с подробным описанием его прав и обязанностей при взаимодействии с конфиденциальной информацией.

Круг сотрудников, которым будет доступна тайна, нужно четко закрепить в документах с указанием имен, должностей, личных и обязательно учетных данных в корпоративных системах. Последнее нужно, чтобы при необходимости суд мог достоверно установить виновника утечки.



Следующий шаг – заключить со всеми сотрудниками, имеющими доступ к коммерческой тайне, соглашение о ее неразглашении. NDA можно сразу включить в трудовые договоры с вновь набираемым персоналом, или оформить в виде допсоглашений с действующими сотрудниками. Полезно включать пункт о неразглашении и в договоры с контрагентами.

Как хранить информацию, которая отнесена к коммерческой тайне
С основными документами разобрались. Теперь предстоит сделать так, чтобы доступ к коммерческой тайне действительно получали только доверенные лица. Без этого все, что вы предприняли раньше, останется «бумажками» и не обеспечит вам ни юридической, ни фактической защиты от инсайдеров.

Мы встречали случаи, когда суды разворачивали иски работодателей к инсайдерам из-за отсутствия реальных мер по разграничению доступов к информации, составляющей тайну – то есть когда «секретный» документ мог прочитать кто угодно. Поэтому нужно внедрять практические меры контроля:

• Хранить документы, содержащие конфиденциальные сведения, в защищенных хранилищах (например, сейфах или отдельных помещениях), а выдавать только при предъявлении документов, подтверждающих уровень доступа.

• В электронных хранилищах настроить и строго контролировать права доступа для сотрудников к коммерческой тайне. У сотрудников без права работать с ней не должно быть возможности зайти на серверы, сетевые папки и на отдельные ПК, где лежит такая информация, открыть, прочитать, скопировать или удалить ее. С задачей цифрового разграничения доступов обычно справляются встроенные средства операционных систем (например, Active Directory для корпоративных версий Windows), а также соответствующие настройки в отдельных сервисах вроде CRM. Чтобы удостовериться, что настройки заданы правильно, есть специальные инструменты: они проводят аудит прав доступа и операций с конфиденциальными файлами.

• Следить за соблюдением ограничений и выявлять нарушения. Например, закон разрешает использовать видеонаблюдение и системы контроля доступа в помещениях, где хранятся конфиденциальные бумаги, чтобы фиксировать факты доступа к ним. Можно по старинке ввести контрольно-пропускной режим. Это относится к физическому контролю. Если же комтайна хранится в «цифре» и сотрудники работают с ней за ПК, полезны DLP-системы – они контролируют перемещения конфиденциальных файлов внутри компании и за ее пределы, фиксируют попытки слить данные «на сторону» и блокируют реальные утечки.
Плюс дополнительных систем контроля – суды принимают в качестве доказательства материалы, собранные с их помощью, если они прямо указывают на нарушение или нарушителя. Но иногда могут потребоваться разъяснения, как именно работает система и какую функцию выполняет. Например, что Active Directory действительно разграничивает права пользователей и пользователи просто не видят – или не могут открыть – папку с конфиденциальными сведениями, если не имеют права с ними работать.

Это нужно, чтобы доказать, что собранным в системе сведениям можно доверять. Наши клиенты несколько раз обращались к нам с такими просьбами в ходе разбирательств с инсайдерами – и мы как разработчик описывали, как именно наше ПО защищает данные. Думаю, и другие вендоры не откажут в такой справке при необходимости.


Придется соблюсти формальности и в случае, если слив или попытка все-таки произошли. Чтобы наказать виновника в суде, потребуется правильно оформить служебное расследование, впрочем, это тема для другого разговора. При этом сама защита формальностью становиться не должна, кроме «бумажек» нужны реальные действия. И первое из них – открытый разговор с коллективом: люди должны знать, что есть тайна и правила работы с ней, а компания контролирует их выполнение. Это их как минимум дисциплинирует.