Алгоритм расследования инцидентов, связанных с разглашением коммерческой тайны, в общем виде можно представить следующим образом.
1. Выявление случая разглашения информации
Ситуации могут быть разные. Например, выявить случай разглашения информации можно при аудите служебных электронных почт работников либо по сообщению конкурентных компаний или самих работников. Также информация, составляющая коммерческую тайну компании, может появиться в свободном доступе в сети Интернет.
2. Оценка масштабов распространения (насколько это возможно)
Например, при появлении информации в свободном доступе выявить определенное количество лиц, получивших к ней доступ, невозможно. Как вариант, можно определить промежуточные значения (от/до).
3. Предположение возможных последствий распространения и принятие мер к снижению риска
Здесь нужно определиться с реальными негативными последствиями для компании. Например, в числе таковых уменьшение объема продаж, увольнение ключевых сотрудников и т.п.
4. Отслеживание пути информации от ее размещения к источнику
Это делается для определения источника информации, из которого она была разглашена.
5. Определение сотрудника(ов), у которых был доступ к информации, их опрос
Определив, какая информация была разглашена, нужно установить должности лиц, которые имели доступ к данной информации. И далее выявить конкретных работников, имеющих доступ к такой информации. Получение объяснений поможет конкретизировать лицо, передавшее/использовавшее/разгласившее информацию.
6. Определение носителей информации, принятие мер к их охране
В качестве таковых выступают, как правило, флеш-носители, жесткие диски и т.п. Их лучше изъять и хранить непосредственно у нанимателя.
7. Определение механизма утечки, принятие мер к прекращению утечки информации
На данном этапе выстраивается полная схема движения информации непосредственно от работника компании, разгласившего/передавшего информацию, к конечному лицу, которое не имеет права на коммерческую тайну и получило к ней доступ.
8. Выявление виновных лиц, применение к ним дисциплинарных мер
Напомним, что за нарушение коммерческой тайны может быть применена дисциплинарная, материальная, административная или уголовная ответственность.
Рассмотрим такую меру, как увольнение работника за разглашение коммерческой тайны. Для увольнения по дискредитирующему основанию обязательно должен быть соблюден порядок увольнения – это составление докладной записки, в которой отражается информация о том, какие из разглашенных сведений относятся к коммерческой тайне, кто имеет к ней доступ, какая информация была разглашена. Также целесообразно кратко описать выявленную ситуацию. То есть указать дату, ФИО работника и краткое описание произошедшего.
Пример формулировки докладной записки:
«В ходе проведения планового аудита служебной электронной почты работников ООО «Маниплэй» 09.02.2021 были выявлены случаи неоднократной рассылки инженером-программистом Петровым И.П. на почтовые ящики представителей ООО «Лапландис» персональных данных работников ООО «Маниплэй», не относящихся к их служебной деятельности».
Помимо докладной записки необходимо:
1) создать комиссию для проведения служебного расследования (состав комиссии определяется в приказе о создании);
2) направить работнику предложение о даче объяснений;
3) получить объяснения от работника;
4) составить акт о результатах работы комиссии.
Акт должен содержать вывод о том, подпадают ли действия работника под разглашение коммерческой тайны, какие последствия повлекли действия работника и подлежит ли он увольнению по дискредитирующему обстоятельству. На основании выводов акта принимается решение об увольнении или неувольнении работника. В случае увольнения издается приказ и вносится запись в трудовую книжку работника.
Исходя из вышеизложенного, отметим, что при выявлении случаев нарушения коммерческой тайны компании действительно необходимо соблюдать выработанную схему расследования инцидентов. Это делается не только для устранения существующих неблагоприятных последствий, но и для предотвращения их в будущем.
