Режим защиты коммерческой тайны. Инструкция для компании
Компании не принимают комплексных мер для защиты коммерческой информации. Они надеются на общие положения законодательства, которые охраняют коммерческую тайну и позволяют взыскать убытки при ее неправомерном разглашении. При таком подходе высок риск отказа суда в связи с ненадлежащим режимом конфиденциальной информации. Рассмотрим пошаговый алгоритм мер, который поможет компании избежать такой ситуации в суде и защитить ценную информацию.
Принять меры для введения режима коммерческой тайны
Информация не будет считаться коммерческой тайной, если компания не ввела для нее соответствующий режим. Чтобы установить режим коммерческой тайны, необходимо:
- определить перечень информации, составляющей коммерческую тайну;
- ограничить доступ к такой информации, установив порядок обращения с ней и контроль за соблюдением такого порядка;
- произвести учет лиц, получивших доступ к такой информации, и (или) лиц, которым такая информация была предоставлена;
- урегулировать отношения по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;
- нанести на материальные носители и документы, содержащие такую информацию, гриф «Коммерческая тайна» с указанием обладателя информации1.
1 ч. 1 ст. 10 Федерального закона от 29.07.2004 № 98-ФЗ «О коммерческой тайне» (далее — Закон о коммерческой тайне)
Создать условия для соблюдения режима коммерческой тайны
Чтобы установить режим коммерческой тайны, нужно исключить доступ к информации любых лиц без согласия ее обладателя и обеспечить возможность использования информации работниками и передачи ее контрагентам без нарушения режима коммерческой тайны2. В противном случае есть риск, что суд признает режим коммерческой тайны неустановленным.
2 ч. 5 ст. 10 Закона о коммерческой тайне
Пример из практики. Суд отказал в удовлетворении требований, поскольку истец не создал необходимые условия для соблюдения режима коммерческой тайны. Отсутствовал перечень соответствующей информации, расписки об ознакомлении ответчика с этим перечнем. Не произведен учет лиц, получивших доступ к такой информации. Не установлен порядок обращения с информацией и контроль за соблюдением такого порядка3.
Исключить из-под действия режима коммерческой тайны предусмотренную законом информацию
Режим коммерческой тайны нельзя установить в отношении сведений:
4 п. 1, 2, 10 ст. 5 Закона о коммерческой тайне
5 п. 3–9 ст. 5 Закона о коммерческой тайне
6 п. 11 ст. 5 Закона о коммерческой тайне
- необходимых для осуществления предпринимательской деятельности и взаимодействия с другими участниками рынка4. Эти сведения содержатся в учредительных документах, лицензиях, предоставляются в открытом доступе;
- имеющих общественную значимость5. Сокрытие такой информации противоречит общественным интересам и может стать способом сокрытия факта нарушения прав и свобод граждан;
- обязательность раскрытия которых или недопустимость ограничения доступа к которым установлена федеральными законами6.
Примеры из практики.
1. Суд обязал ответчика предоставить документы, касающиеся деятельности общества, поскольку в отношении бухгалтерской отчетности режим коммерческой тайны установить нельзя7.
2. Суд отклонил довод общества о том, что проектная документация относится к сведениям, составляющим коммерческую тайну, и не может являться предметом общественной экологической экспертизы. По закону режим коммерческой тайны нельзя установить в отношении сведений о загрязнении окружающей среды и других факторах, которые негативно влияют на безопасное функционирование производственных объектов и безопасность населения8.
8 п. 4 ст. 5 Закона о коммерческой тайне;
определение ВС от 22.04.2019 по делу № А41-14618/2018
3. Суд указал, что сведения о размере вознаграждения единоличного исполнительного органа нельзя отнести к коммерческой тайне. Обязанность раскрыть эту информацию вытекает из ст. 92 Федерального закона от 26.12.1995 № 208-ФЗ «Об акционерных обществах» и приказа ФСФР от 10.10.2006 № 06–117/пз-н9.
9 п. 11 ст. 5 Закона о коммерческой тайне;
постановление ФАС ВСО от 09.10.2013 по делу № А74-6004/2012
Использовать нормы ГК для защиты информации
Законодательство предусматривает ряд норм, которые дают возможность защитить конфиденциальную информацию без установления режима коммерческой тайны. К ним относятся следующие.
- Корпоративный договор — если иное не установлено законом, информация о содержании корпоративного договора между участниками непубличного общества является конфиденциальной10.
10 п. 4 ст. 67.2 ГК
- Переговоры — если в ходе переговоров сторона получает информацию, которую другая сторона передает в качестве конфиденциальной, то эта сторона обязана не раскрывать такую информацию и не использовать ее ненадлежащим образом для своих целей, независимо от того, будет ли заключен договор11.
11 п. 4 ст. 434.1 ГК
- Договор подряда — если сторона получила от другой стороны информацию о новых решениях и технических знаниях, в том числе не защищаемых законом, то она не вправе сообщать эту информацию третьим лицам без согласия другой стороны12.
12 ст. 727 ГК
13 ч. 1 ст. 771 ГК;
постановление 9ААС от 21.08.2008 по делу № А40-12705/08-104-80 - Договор на выполнение НИОКР — если иное не предусмотрено договорами на выполнение научно-исследовательских, опытно-конструкторских и технологических работ, стороны обязаны обеспечить конфиденциальность сведений, касающихся предмета договора, хода его исполнения и полученных результатов13.
Принять необходимые локальные акты
14 постановления АС Дальневосточного округа от 20.05.2020 по делу № А73-12878/2019,
20ААС от 09.11.2016 по делу № А68-2206/2016
Наличие режима коммерческой тайны подтверждают локальные нормативные акты, документы, регулирующие правоотношения владельца информации с третьими лицами, а также иные документы, содержащие требования к охране коммерческой тайны14. К локальным актам, которые регламентируют порядок защиты конфиденциальной информации внутри компании, относят следующие.
- Соглашение о конфиденциальности с работниками. Такое соглашение подчиняется нормам трудового законодательства. Условие о неразглашении охраняемой законом тайны может предусматриваться непосредственно в трудовом договоре15. При этом такое условие не может ухудшать положение работника по сравнению с трудовым законодательством16. Кроме того, соглашение о конфиденциальности можно оформить отдельным документом в качестве приложения к трудовому договору.
- Положение о коммерческой тайне. Такой документ также целесообразно ввести в компании, закрепив в нем подробное регулирование режима коммерческой тайны.
- Правила внутреннего распорядка компании. Этот документ может содержать определенные положения, направленные на предотвращение разглашения информации, обладающей коммерческой ценностью: ответственность за разглашение конфиденциальных данных, порядок обращения с такими данными и т. п.
- Электронный/письменный журнал, где фиксируется доступ конкретных сотрудников к коммерческой тайне.
Обеспечить исполнение сотрудниками локальных актов
- Ознакомить с локальными актами под подпись всех сотрудников, а также разъяснить, какие меры ответственности предусмотрены за нарушение режима коммерческой тайны.
- Создать сотрудникам необходимые условия для соблюдения режима коммерческой тайны. Например, установить сейф, выделить специальное архивное помещение, установить соответствующие программные средства защиты информации.
- На регулярной основе проводить проверки соблюдения коммерческой тайны. Например, проверять соблюдение режима хранения информации, относящейся к коммерческой тайне, и порядка визирования документов, содержащих такие сведения.
- Обучать сотрудников порядку работы с конфиденциальной информацией, проводить постоянные проверки их знаний в этой области, поднимать уровень корпоративной культуры, повышать заинтересованность сотрудников в соблюдении интересов работодателя.
Отправка сотрудником рабочих документов на личную почту считается разглашением коммерческой тайны
Принять технические меры для защиты информации
Нарушения режима коммерческой тайны все чаще совершаются с использованием различных технических устройств, электронной почты, мессенджеров. Конституционный суд признал разглашением коммерческой тайны отправление рабочих документов сотрудником себе на личную почту. КС пояснил, что в этом случае сотрудник создает условия для неконтролируемого использования соответствующей информации. Если работник нарушил локальные акты организации, исключающие отправку конфиденциальной информации на личную почту, его можно привлечь к дисциплинарной ответственности. Причем вне зависимости от того, было ли установлено ее разглашение третьему лицу17.
К подобным нарушениям также можно отнести копирование сотрудниками конфиденциальных данных на флеш-карту, диск, отправку фотографий документов на личное техническое устройство или третьим лицам, оставление покидающим рабочее место сотрудником открытыми всех окон на экране служебного компьютера или ноутбука и т. д.
В связи с этим для поддержания режима коммерческой тайны важно принять технические меры защиты информации.
- Обеспечить контроль уполномоченными сотрудниками за отсутствием утечки информации с использованием технических устройств, а также предупреждение хакерских взломов и вирусных атак.
- Применять меры защиты от копирования информации, составляющей коммерческую тайну (например, блокировка USB-разъемов), установить особый режим пользования телекоммуникационным оборудованием, копировальными устройствами, внешней электронной почтой, интернетом.
- Использовать программы, позволяющие максимально защитить конфиденциальную информацию от утечек, несанкционированного копирования или передачи. К таким средствам относятся DLP-системы и SIEM-системы. Системы класса DLP настраивают таким образом, чтобы максимально исключить хищение информации внутренними пользователями. Системы класса SIEM выявляют угрозы и идентифицируют различные инциденты информационной безопасности. Они позволяют осуществлять полный риск-менеджмент и обеспечивать защиту от проникновений через внешний периметр защиты информации.
- Применять различные способы кодирования и шифрования данных, установить запрет на копирование, контролировать совершаемые сотрудниками действия с использованием рабочих компьютеров, телефонов и других устройств, мониторить учетные записи.
Заключить соглашение о конфиденциальности с контрагентами
Основным способом защиты коммерческой информации при взаимодействии с контрагентами является соглашение о конфиденциальности. Такое соглашение может представлять собой раздел в договоре или отдельный документ. Соглашение о конфиденциальности является непоименованным договором, к нему применяются общие нормы о договоре18. При этом такое соглашение будет в полной мере работать только при соблюдении предусмотренных законом положений, устанавливающих режим коммерческой тайны.
18 ч. 2 ст. 421 ГК
Перед тем как заключать с контрагентом соглашение о неразглашении информации, необходимо объявить соответствующие сведения коммерческой тайной внутри компании. Это позволит наиболее эффективно защитить информацию. Хотя встречаются ситуации, когда суд привлекает контрагента к ответственности за разглашение коммерческой тайны и в отсутствие таких действий19.
Чтобы соглашение о конфиденциальности работало на практике, необходимо сделать следующее.
- Определить подробный перечень информации, которая признается конфиденциальной.
В противном случае у суда могут возникнуть сомнения относительно режима той или иной информации и он откажется привлечь контрагента к ответственности за разглашение коммерческой тайны20. - Четко определить права и обязанности сторон.
- Закрепить ответственность сторон за разглашение коммерческой тайны.
- Четко определить срок действия соглашения, включая срок после прекращения отношений между сторонами.
- Закрепить перечень технических мер, обеспечивающих конфиденциальность сведений, и раздел, регулирующий порядок обращения с конфиденциальными данными.
Соглашение о конфиденциальности рекомендуется заключить еще на стадии переговоров с контрагентом, поскольку уже на данном этапе может потребоваться передать другой стороне какую-либо информацию, имеющую коммерческую ценность.
Кроме того, необходимо тщательно фиксировать факты передачи конфиденциальной информации при взаимодействии с контрагентами. Все документы, содержащие конфиденциальную информацию, нужно передавать по акту приема-передачи, а если такой возможности нет — направлять ценным или заказным письмом с описью вложения. Как в акте, так и в описи нужно указывать все реквизиты передаваемых документов: номера, даты и пр.