Недавно мне нужно было перевезти домашнюю мебель. Для этого я обратился в небольшую транспортную компанию. Менеджер предоставил мне договор на оказание услуг, который включал в себя условие о конфиденциальности данных, содержащихся в договоре. Думаю, никто в этой транспортной компании не смог бы объяснить практический смысл данного пункта, но подобные условия повсеместно используются в деловой среде, нередко по принципу «на всякий случай». Но всегда ли они обеспечивают защиту информации?
Не секрет, что коммерчески ценная информация, в том числе знания и опыт, является важным активом, который позволяет получить серьезные преимущества перед конкурентами. Поскольку информация может существовать на неограниченном количестве носителей одновременно или не иметь носителя вовсе (т.е. её просто держат в уме), контроль над этим активом значительно затрудняется. Основным субъектом риска являются сотрудники. Для того, чтобы их обязательство не разглашать конфиденциальную информацию имело юридическую силу, они должны понимать, какая информация является конфиденциальной, а также знать об условиях работы с ней и ответственности за нарушение данных условий.
На практике это выглядит следующим образом. В компании утверждается достаточно большой объем документов, среди них положение о коммерческой тайне и перечень конфиденциальной информации, работники в обязательном порядке должны быть с ними ознакомлены. Все носители информации (в том числе электронные) маркируются грифом «Коммерческая тайна». Учитывая, что бизнес не стоит на месте, количество конфиденциальной информации и ее носителей будет постоянно увеличиваться, для этого в компании должен быть ответственный сотрудник или сотрудники, которые станут контролировать соблюдение режима коммерческой тайны, расширение перечня информации, составляющей коммерческую тайну и процесс маркировки вновь возникающих носителей.
Довольно часто компании подходят к юридической стороне вопроса формально: внутри организации утверждается положение о коммерческой тайне, образец которого был найден где-нибудь в интернете, а перечень конфиденциальной информации ограничивается общими фразами, например, «стратегические планы компании». На этом действия по защите данных заканчиваются. Такой подход бесполезен, так как привлечь сотрудника за разглашение конфиденциальной информации в этом случае практически невозможно, а подписанные им документы обладают исключительно «устрашающим» эффектом. Чтобы предупредить утечку конфиденциальной информации и упростить процесс привлечения к ответственности виновных, если такая утечка все же произошла, следует начать с простых организационных и технических мер. Прежде всего, разграничить права доступа к конфиденциальной информации и документам для специалистов компании, разрешить использовать для служебной переписки только корпоративные электронные почтовые адреса, ограничив доступ к публичным серверам.
Кроме того, следует утвердить политику общения с контрагентами и партнерами, которая обяжет работников соблюдать простые правила, к примеру, передавать все документы по описи, не направлять на внешние электронные адреса сообщения, содержащие внутреннюю переписку. Нарушение данных правил работником является основанием для привлечения его к дисциплинарной ответственности, даже если не был установлен сам факт доступа третьего лица к конфиденциальной информации. Подобные меры вместе с реальным контролем над соблюдением режима коммерческой тайны и постоянным аудитом конфиденциальной информации позволят минимизировать риск ее разглашения.
Стоит отметить, что обязательства работника по соблюдению условий о конфиденциальности продолжают действовать и после расторжения трудового договора, фактически они остаются в силе, пока в компании действует режим коммерческой тайны. При этом коммерческая тайна не может ограничить право уволившегося сотрудника забрать с собой собственный профессиональный опыт, приобретенный им в ходе работы, но с учетом некоторых ограничений. К примеру, бизнес-тренер, работая в компании, придумал уникальную методику продаж, которая основана на использовании особого скрипта при общении с потенциальным покупателем. Эта комбинация приводит к успешной продаже с вероятностью в 99%. Данная методика подпадает под юридическое понятие «секрет производства», так как является производственным решением, которое представляет собой коммерческую ценность в силу неизвестности третьим лицам, и принадлежит компании, поскольку бизнес-тренер придумал ее в рамках исполнения своих должностных обязанностей. Фирма предприняла все необходимые меры, чтобы обеспечить конфиденциальность. Далее бизнес-тренер увольняется и уходит к конкуренту. Сотрудников конкурента данной методике он обучить не вправе. При этом обязательство о конфиденциальности не ограничивает его в разработке иных методик, которые потенциально могут быть схожи с принадлежащей его прошлому работодателю. На Западе в таких случаях порой прибегают к подписанию соглашения о неконкуренции, тем самым устанавливая запрет для увольняющегося сотрудника работать у конкурентов или заниматься определенным видом деятельности. Российское право не признает подобные соглашения, так как их предмет противоречит Конституции РФ и Трудовому кодексу РФ, ущемляя законные права и интересы работника.
Таким образом, формальные меры, направленные на защиту конфиденциальной информации, нецелесообразны, так как они не обеспечивают защиту, за исключением ситуаций, когда, к примеру, нужно просто спрятать текст многомиллиардного контракта по сбору платы за проезд грузовых автомобилей. При этом важно понимать, что полностью защитить данные и исключить их утечку невозможно, поскольку информация — эфемерное понятие, а следовательно, ей можно относительно легко оперировать и манипулировать. Для того, чтобы быть на шаг впереди конкурентов, следует делать ставку не только на организационные и правовые меры безопасности данных, но и на модификацию коммерчески ценной информации.