Когда информация относится к коммерческой тайне
Законодательством установлены критерии, по которым информация может быть отнесена к КТ. В частности, защищаемые сведения должны одновременно соответствовать следующим требованиям:
— не являться общеизвестными или легкодоступными третьим лицам в тех кругах, которые обычно имеют дело с подобного рода сведениями;
— иметь коммерческую ценность для их обладателя в силу неизвестности третьим лицам;
— не являться объектами исключительных прав на результаты интеллектуальной деятельности;
— не относиться в установленном законодательством порядке к государственным секретам.
Рассмотрим основные инструменты, которые используются на практике для защиты КТ.
Положение о коммерческой тайне
Положение о КТ составляется самой организацией и утверждается приказом. В положении целесообразно отразить:
• перечень сведений, составляющих КТ;
• перечень лиц, получивших доступ к КТ;
• обязательство о неразглашении;
• соглашение о конфиденциальности;
• лист ознакомления с положением и приложениями к нему;
• порядок отнесения информации к КТ;
• предоставление работникам доступа к данным сведениям;
• контроль за соблюдением порядка обращения с носителями КТ;
• ответственность за разглашение.
Также целесообразно включить следующие приложения: общие положения и термины, порядок предоставления доступа к сведениям, их составляющих, оборот носителей КТ.
Работники
В трудовом договоре (контракте) рекомендуем указывать общие положения о КТ, установленные у нанимателя.
С работниками, которые получают доступ к КТ, следует дополнительно заключить обязательство о неразглашении тайны, в котором урегулировать:
• права и обязанности сторон;
• порядок обращения со сведениями и носителями КТ;
• ответственность сторон;
• срок действия такого обязательства;
• ответственность нанимателя за ненадлежащее выполнение обязанности по уведомлению об отмене режима КТ.
Электронная защита
Основными мерами защиты внесенной информации являются:
• системы шифрования информации;
• системы учета доступа к выдаваемой информации;
• DLP-системы.
Справочно.
DLP-системы — это программные средства защиты конфиденциальной информации, используемые для предотвращения ее утечек из информационной системы организации.
Для внедрения такого рода мер в компании рекомендуется предпринять следующие действия:
— ввести правила допустимого использования информационной системы и сервисов, Интернета и корпоративной почты, запретив использовать их, а также служебные компьютеры и телефоны для отправки сообщений личного плана;
— уведомить работников под роспись о том, что в компании в целях осуществления контроля за информационной безопасностью, соблюдением режима КТ, порядком использования предоставленных нанимателем оборудования и информационных ресурсов используются DLP-системы. Отметим, что наиболее распространенными целями, которые преследуют наниматели при установке DLP-системы, являются:
• контроль использования рабочего времени и рабочих ресурсов сотрудниками;
• контроль правомерности действий сотрудников (предотвращение печати поддельных документов и пр.);
• выявление сотрудников, рассылающих резюме, для оперативного поиска специалистов на освободившуюся должность;
— получить письменное согласие работника на доступ и ознакомление нанимателя с личными данными и сообщениями, перепиской работника, полученными в ходе осуществления указанного выше контроля;
— установить локальными актами регламент порядка использования DLP.
Здесь также поясним что речь идет лишь о той, информации, которая проходит через корпоративные устройства сотрудника – выдаваемые компанией с установленным софтом для сбора информации. Таким образом, сотрудника также стоит уведомить об этом – ведь на практике строго разделить корпоративные и личные переписки и звонки работника с одного устройства не представляется возможным, особенно в глазах системы сбора информации.
Как включать новую информацию?
Включение новой информации в режим КТ должно сопровождаться внесением изменений в перечень информации, для которой установлен режим КТ, и уведомлением об этом работников под роспись. Данное действие оформляется приказом нанимателя о внесении изменений в положение о КТ.
При включении информации в электронном виде в режим КТ необходимо указывать местонахождение данной информации – это позволит в случае нарушения со стороны работника установить его вину. Так, в случае нахождения информации на сервере компании разумным будет указать название файла, описать суть содержащейся в нем информации (например, «План развития на 2020–2025 годы», «Стратегия экспансии на новые рынки»), путь к каждому файлу. В случае, если информация в режиме КТ хранится в облаке (Google Drive, Яндекс.Диск), целесообразно также указать ссылку на данный диск в соответствующем приложении к положению о КТ.
Также на документах в электронном виде возможно проставление грифа «Коммерческая тайна», однако целесообразность таких действий зависит от специфики компании. С одной стороны, такое обозначение позволит сотруднику определить содержание документа, не открывая его. С другой стороны, оно может привлечь излишнее внимание сотрудников.
