Нет NDA — нет ответственности: как защитить корпоративные интересы
Иногда вы хантите сотрудника, а он приносит в компанию приданое: сведения из компании, откуда только что ушел. Естественно, несут то, что нельзя добыть честно: базы клиентов, внутренние документы, разработанные регламенты. Особо наглый вор может принести пакет юридических документов, в том числе — и договор NDA, который сам когда-то подписал и теперь нарушает.
Некрасиво, да? А еще за это можно наказать по закону — если вы подписываете договор NDA с каждым сотрудником.
***
Когда мне было 5 лет, я жила в доме рядом с радиозаводом — самым загадочным местом нашего района. В кустах под стеной завода мы иногда находили спичечные коробки, набитые тяжелыми металлическими «квадратиками». Штуки были таинственные, но бесполезные, поэтому мы ими недолго любовались, а потом отдавали старшим ребятам в обмен на мороженое. Один коробок я все-таки унесла домой, и зря — его увидел отец и долго меня ругал. Оказывается, конденсаторы КМ (так назывались эти блестящие квадратики) — это детали для радиоаппаратуры, рабочие с завода их как-то утаивают, складывают в коробок и перекидывают через забор. А потом продают — в их составе есть очень ценные металлы (платина и палладий, как я узнала потом). Конечно, выносить конденсаторы с предприятия нельзя — за это могут посадить в тюрьму. Да и подбирать нежелательно — мало ли что…
Прошло 25 лет, заводы закрылись и перестроились, но кражи корпоративного имущества никуда не делись. Только наибольший ущерб наносят не похищения скрепок и степлеров — самым важным активом стала информация. Крадут и клиентские базы, и финансовую документацию, и информацию о планах компании или ее кадровой структуре. И пользуются тем же не сильно изменившимся методом — «пакуют» данные в файл и перекидывают через стены. Только через виртуальные — барьеры защиты информации. Удивительно, но не все понимают, что похищение корпоративных данных наказывается не только символическим штрафом.
В 2015 году бывший сотрудник Яндекса скопировал с сервера корпорации часть исходного кода и попытался продать его за 25 000 долларов. За это его осудили на 2 года условно по ч. 3 ст. 183 УК РФ — за незаконное получение и разглашение сведений, составляющих коммерческую тайну. Но если вам до Яндекса еще расти и расти — это не значит, что можно расслабиться и дать сотрудникам доступ к любым данным.
Где проходит грань между запрещенным и допустимым? Как объяснить сотрудникам, что «вынос» корпоративной информации — это правонарушение? Что поможет удержать их от соблазна? Мы поговорили об этом со специалистом по корпоративному и хозяйственному праву — управляющим партнером адвокатского бюро «Боровцов и Салей БИС», Максимом Знаком.
- Есть ли какой-то универсальный способ защитить корпоративную информацию от «несунов» (в советское время так называли тех, кто похищал имущество предприятий)? Что эффективнее всего с точки зрения юриста?
Наиболее эффективная защита от посягательств на любую информацию — создание NDA (Non-disclosure agreement — соглашение о конфиденциальности информации). Что обязательно должно быть в таком документе? Условия защиты информации и четко определенная мера ответственности за разглашение корпоративных данных. В идеале при попытке экспорта данных это соглашение должно отображаться на экране злоумышленника. Кроме того, в NDA имеет смысл сделать пункт, в соответствии с которым сотрудник может лишиться работы за разглашение данных.
- Какую ответственность обычно несут нарушители NDA-соглашения?
Чаще всего это увольнение. Предусмотрена также финансовая ответственность за нарушение условий NDA, обычно это штраф (в пользу компании). За нарушение NDA иностранных компаний работники несут ответственность в рамках норм законодательства тех стран, резидентами которых они являются. Если незаконно использованы объекты авторского права, нарушитель заплатит штраф или, в случае повторного нарушения, будет привлечен к уголовной ответственности (ст. 7.12. КОАП РФ, ст. 1245 ГК РФ, п. 3 ст. 1263 ГК РФ, ст. 1326 ГК РФ, статья 146 УК РФ).
- А какие корпоративные данные могут быть объектом авторского права?
Это касается только компьютерных баз данных (имеется в виду сама структура базы — интеллектуальная собственность компании), компьютерных программ, а также дизайн-макетов, фотографий и иллюстраций — всех материалов, где присутствует «искра творчества».
Информация из CRM в большинстве случаев не является объектом авторского права — это данные о клиентах, телефоны, e-mail адреса, комментарии типа: «Главбух Валя из компании ОАО «Молоко+» очень любит розы и шоколадные конфеты», текущие планы сотрудников, сведения о предстоящих сделках.
Авторские права также не распространяются на идеи, концепции, принципы, методы, процессы, системы, способы решения технических, организационных или иных задач, на открытия, факты, языки программирования (ст. 1259 ГК РФ).
Но это не значит, что данные нельзя защитить с помощью соглашения об NDA. Просто в случае нарушения авторских прав суд будет руководствоваться другими статьями.
- Можно ли заменить NDA «краткой версией», например, запретить разглашение сведений при составлении трудового договора?
Практика показывает, что без NDA компаниям сложнее решать вопросы с утечкой и разглашением конфиденциальной информации. Нередко считается, что соответствующий пункт «о неразглашении» в типовом трудовом договоре или контракте — равнозначен NDA как таковому. На практике привлечь работника к ответственности на основании этого пункта договора крайне сложно. А вот в случаях с NDA — достаточно доказанного факта разглашения.
- Как поступить, если коммерческую тайну выдал сотрудник, работающий без договора?
Если сотрудник не подписывал никаких договоров и соглашений, привлечь его к ответственности за разглашение коммерческой тайны практически невозможно. Аналогичная ситуация возникает, когда трудовой договор, контракт или NDA составлены неверно и не имеют юридической силы.
- Некоторые компании при нарушении коммерческой тайны подают иск об упущенной выгоде, учитывая ценность данных, которые были разглашены нарушителем. Имеет ли это смысл?
Чтобы доказать упущенную выгоду в подобных случаях, нужно представить доказательства того, что следствием передачи данных стал факт срыва сделки, неполучения заказа или прибыли и т.п. Неопровержимые (которые нельзя поставить под сомнение). Учитывая специфику подобных споров, полагаю — удовлетворение подобного иска маловероятно. Самым эффективным инструментом возмещения материального ущерба от разглашения информации будут штрафные санкции в NDA.
- Может ли помочь NDA, если открылась не одна «случайная» кража части данных, а целенаправленный промышленный шпионаж?
Да, когда данные разглашались умышленно ради получения материальной выгоды — это классифицируется как коммерческий шпионаж. В России за коммерческий шпионаж можно сесть в тюрьму на 5-7 лет (см.ст. 183 УК РФ). В подобных случаях нужны прямые доказательства, что преступник получил материальную выгоду от разглашения информации. Но факт шпионажа достаточно сложно доказать.Поэтому и здесь лучшей защитой является правильно составленное соглашение NDA — оно дает основу для доказательства.
- Существует ли хороший ресурс, где можно взять примеры NDA?
Лучше всего разрабатывать NDA с юристом. Дать универсальный шаблон невозможно, так как для разных компаний соглашения составляются индивидуально. Нет «типового платья на типовую девушку».
Если у вас есть корпоративный портал — ваши данные уже защищены, осталось сделать еще несколько шагов
В 2015 году на всю Россию прославились «несуны», похитившие чертежи с завода КАМАЗ и пытавшиеся их продать. Ущерб составил более 150 млн рублей. В роли покупателей выступили оперативники ФСБ и МВД. Вы же не хотите сравниться с «КАМАЗом» по масштабам известности?
«Закрыть» все корпоративные данные от любопытных глаз — проще и быстрее, чем скитаться потом по судам, потрясая нарушенным NDA. О том, как разложить все по полочкам внутри корпоративного портала, рассказывает продукт-менеджер Битрикс24 Екатерина Шеленкова:
— Если в вашей корпоративной системе и CRM правильно настроены права доступа, шансы, что информация уйдет к конкурентам, значительно снижаются. В Битрикс24 можно гибко разграничить права доступа внутри компании.
У каждого сотрудника есть свой личный Битрикс.Диск: закрытое пространство, на котором он может хранить свои документы. Другие сотрудники не видят их, только если сам пользователь не разрешил доступ кому-то еще. Доступ ко всем документам имеет только администратор Битрикс24 портала.
Общий Битрикс.Диск компании позволяет совместно работать с документами, но при этом также разграничить права. Можно организовать общие папки для проектов, отделов или просто группы лиц. Чтобы избежать передачи информации, можно разрешить только просмотр и запретить право на редактирование, скачивание и т.д.
Для ведения каждого проекта Битрикс24 автоматически создает свой диск, доступ к которому имеют только участники проекта (и администратор, конечно). Но даже в рамках одного проекта можно распределить права на отдельные папки или файлы.
Если важно обезопасить данные о сделках, можно разграничить права доступа к документам CRM. По умолчанию в системе уже существует понятие прав, и они настроены для небольших компаний, где менеджеры работают сообща и имеют общую базу клиентов (контактов и компаний). Видимость данных можно жестко ограничить: разрешить каждому менеджеру видеть только свои документы, либо свои и своего отдела, например.
Для документов, которые имеют статусы, можно ограничить права в зависимости от этапа работы. Например, пока сделка не обработана, только поступила в работу, с ней работает менеджер по продажам Иванов. И только он видит данные по ней, может редактировать их и т.д. Как только сделка переходит в следующую стадию, работа передается на следующий уровень, например, аккаунт-менеджеру Петрову. И теперь Иванов может только следить за ходом сделки, но не редактировать ее.
Чем лучше проработаны и настроены права доступа — тем ниже риск, что ваши коммерческие тайны окажутся в чужих руках.
Три шага к безопасности
Система контроля доступа к информации стоит на трех китах — то есть трех принципах безопасности:
- Конфиденциальность информации: нужно организовать защищенное хранение данных.
Если у вас все данные (файлы, проекты, сообщения) перемещаются внутри одной системы, то они уже защищены от доступа извне. Конечно, тут может повлиять человеческий фактор: если вы будете добавлять в систему случайных людей и не следить за тем, чтобы закрывать доступ уволенных сотрудникам, надежность защиты постепенно снизится до критического минимума.
Но еще хуже — если важные документы пересылаются разными каналами и хранятся в разных местах. Так вы буквально даете злоумышленникам в руки «ключ от квартиры, где деньги лежат».
К слову сказать, в узкой сфере, где директора компаний знакомы между собой, воровство данных может и не прокатить. Бывало уже не раз, что директор, которому пытались продать похищенные сведения, звонил конкуренту и рассказывал, что уволенный сотрудник пытается «купить» новое место работы за счет ворованных сведений. А это готовая «черная метка» для хитреца — теперь его на работу никто не возьмет.
- Доступ к данным: все объекты должны быть промаркированы так, чтобы доступ к ним получали лишь те авторизованные пользователи, которые имеют на это право.
Организация доступов — это постоянная забота менеджера проекта или того, кто отвечает за данные в системе. При создании нового проекта, новой ветки обсуждений, новой задачи нужно сразу определять круг доступа. Кто может прослушать запись звонка, у кого есть доступ к данным по лиду, кто увидит финальную версию документа — все это нужно сразу задавать в системе.
- Организационная защита: нужно разработать договор NDA — его должны подписать все сотрудники, а в дальнейшем — подписывать его при приеме на работу.
Это забота HR-службы. Договор NDA должен быть разработан и при его подписании следует рассказать работникам о том, что такое конфиденциальная информация, как происходит разглашение, какие меры предосторожности надо предпринимать и какая наступит ответственность. Очень важно, чтобы работник понимал, что все серьезно. Лучшее соглашение NDA — то, которое никогда не придется нести в суд для взыскания штрафов.