Коммерческая тайна в компании работает только тогда, когда она оформлена документально и реально соблюдается. Недостаточно написать в трудовом договоре «работник обязан хранить тайну». Нужно определить перечень секретных сведений, ограничить доступ, установить порядок работы с такими данными, вести учет лиц с доступом, ознакомить сотрудников под подпись и обозначать документы грифом «Коммерческая тайна». Закон прямо перечисляет эти меры как обязательные для охраны конфиденциальности информации.
Если компания этого не сделала, потом будет сложно наказать сотрудника или взыскать ущерб. Суд может спросить простую вещь: откуда работник должен был понять, что именно является коммерческой тайной, кто имел доступ, где он расписывался, какие правила нарушил и как работодатель сам защищал информацию.
Что считается коммерческой тайной
Коммерческая тайна - это не любой неудобный для компании факт. Это режим конфиденциальности информации, который помогает обладателю увеличить доходы, избежать лишних расходов, сохранить положение на рынке или получить другую коммерческую выгоду. Важное условие: к такой информации нет свободного доступа, и в отношении нее введен режим коммерческой тайны.
Обычно к коммерческой тайне относят клиентские базы, условия договоров с ключевыми контрагентами, цены закупки, внутренние финансовые отчеты, технологии, рецептуры, маркетинговые планы, скрипты продаж, данные о маржинальности, планы запуска продукта, техническую документацию, закрытую аналитику.
Но нельзя просто написать «вся информация компании является тайной». Закон ограничивает, какие сведения можно засекретить. Например, режим коммерческой тайны нельзя устанавливать в отношении сведений, которые прямо перечислены в статье 5 закона № 98-ФЗ, включая отдельные сведения из учредительных документов, данные о загрязнении окружающей среды, численности и составе работников, системе оплаты труда, условиях труда, задолженности по зарплате и нарушениях закона.
Какие документы нужны компании
Минимальный комплект обычно такой: приказ о введении режима, положение о коммерческой тайне, перечень сведений, список должностей или работников с доступом, соглашение о неразглашении, листы ознакомления, правила работы с документами и электронными системами.
Главный документ - положение о коммерческой тайне. В нем прописывают, какие сведения защищаются, кто отвечает за режим, кто имеет доступ, как маркируются документы, как передаются файлы, можно ли копировать, фотографировать, пересылать, хранить на личной почте или флешке, что делать при утечке и какая ответственность наступает.
Чтобы положение начало работать, его нужно утвердить приказом. На BazaNPA можно использовать готовый распорядительный документ и адаптировать его под свою компанию, должности и перечень секретных сведений.
Важно! Этот документ можно скачать в КонсультантПлюс
Скачать в КонсультантПлюсБесплатный доступ к документуЕсли компания вводит общий режим защиты не только коммерческой тайны, но и другой конфиденциальной информации, можно дополнительно посмотреть приказ об обеспечении охраны коммерческой тайны и иной конфиденциальной информации. А если нужно оформить доступ конкретному сотруднику, пригодится приказ о доступе к коммерческой тайне.
Что написать в положении о коммерческой тайне
Положение не должно быть слишком общим. Если в нем написано только «работники обязаны не разглашать сведения», пользы мало. Документ должен помогать в реальной работе.
В положении стоит указать:
- какие сведения относятся к коммерческой тайне;
- какие сведения не могут быть коммерческой тайной;
- какие должности имеют доступ;
- как предоставляется и прекращается доступ;
- как маркируются документы и файлы;
- можно ли пересылать данные на личную почту и в мессенджеры;
- кто ведет учет лиц, получивших доступ;
- как возвращаются носители и документы при увольнении;
- что делать при подозрении на утечку;
- какая ответственность возможна.
Отдельно пропишите электронную часть: CRM, облачные диски, корпоративная почта, права доступа, пароли, выгрузки баз, запрет копирования на личные устройства, удаление доступа при увольнении. Сегодня большинство утечек происходит не через папку с грифом, а через выгрузку Excel, скриншот, пересылку в Telegram или личную почту.
NDA с сотрудником: зачем нужно и почему одного NDA мало
NDA с сотрудником лучше называть соглашением или обязательством о неразглашении коммерческой тайны. В нем работник подтверждает, что ознакомлен с режимом, понимает перечень секретных сведений, обязуется не разглашать их во время работы и после увольнения, соблюдать правила доступа и вернуть носители информации.
Но NDA не заменяет режим коммерческой тайны. Работодатель обязан ознакомить работника под расписку с перечнем информации, составляющей коммерческую тайну, установленным режимом и мерами ответственности, а также создать условия для соблюдения этого режима. Доступ работника к коммерческой тайне дается с его согласия, если это не предусмотрено трудовыми обязанностями.
Важный нюанс: с работником нельзя обращаться как с обычным контрагентом. В трудовых отношениях нельзя просто написать в NDA «за разглашение штраф 500 000 рублей» и потом удержать эти деньги из зарплаты. ТК РФ предусматривает дисциплинарные взыскания в виде замечания, выговора и увольнения, а также запрещает применять дисциплинарные взыскания, не предусмотренные законом.
Материальная ответственность работника тоже ограничена: работник возмещает прямой действительный ущерб, а неполученные доходы, то есть упущенная выгода, с него не взыскиваются. Поэтому для сотрудников важнее правильно оформить режим, обязанности, доступ и доказательства нарушения, а не придумывать огромный «штраф в NDA».
NDA с контрагентом
С подрядчиками, партнерами, инвесторами, маркетологами, разработчиками, франчайзи и консультантами NDA работает иначе. Это уже гражданско-правовой договор, поэтому в нем можно предусмотреть договорную неустойку, порядок возмещения убытков, запрет передачи информации третьим лицам, сроки хранения тайны, возврат или уничтожение документов.
ГК РФ позволяет устанавливать неустойку как денежную сумму, которую должник должен уплатить при неисполнении или ненадлежащем исполнении обязательства. По требованию о неустойке кредитор не обязан доказывать причинение убытков. Также можно требовать возмещения убытков, если право нарушено и есть доказательства ущерба.
Для контрагентов особенно важно писать не общую фразу «конфиденциальная информация», а конкретику: какие данные передаются, в каком проекте, кто имеет доступ со стороны партнера, можно ли привлекать субподрядчиков, как уничтожаются копии, что делать при запросе госоргана или суда.
Как оформить доступ сотрудников
Доступ должен быть не «у всех ко всему», а по принципу необходимости. Менеджеру по продажам не всегда нужны закупочные цены, бухгалтеру - маркетинговые гипотезы, а стажеру - вся клиентская база за пять лет.
Обычно порядок такой: руководитель подразделения обосновывает, зачем сотруднику нужен доступ, директор или уполномоченное лицо согласует, кадровик или ответственный за режим оформляет документы, IT выдает права в системе, сотрудник расписывается в ознакомлении. Для внутреннего запуска можно использовать служебную записку о допуске к коммерческой тайне.
При увольнении доступ нужно закрывать сразу: корпоративная почта, CRM, облака, мессенджеры, VPN, внутренние базы, пропуска, ключи, ноутбук, флешки, бумажные документы. В положении лучше прямо указать, кто и в какой срок отключает доступ. Если сотрудник ушел, а доступ к базе остался еще на месяц, компания сама создала риск утечки.
Как обозначать коммерческую тайну
Закон требует не только ограничить доступ, но и наносить на материальные носители гриф «Коммерческая тайна» с указанием обладателя информации. Для организации это полное наименование и место нахождения, для ИП - фамилия, имя, отчество и место жительства.
На бумажных документах это может быть штамп или надпись. Для электронных файлов - название файла, водяной знак, пометка в шапке документа, ограничение доступа в системе. Для баз данных - внутренний регламент, уровни прав и журнал доступа.
Если документ никак не обозначен, лежит в общей папке и доступен всем сотрудникам, потом трудно доказывать, что работник должен был воспринимать его как секретный.
Ответственность за разглашение
Ответственность может быть дисциплинарной, материальной, гражданско-правовой, административной и уголовной. Все зависит от того, кто нарушил режим, какие сведения разгласили, был ли ущерб и как оформлены документы.
Работника можно привлечь к дисциплинарной ответственности. В тяжелом случае возможно увольнение за разглашение охраняемой законом тайны, в том числе коммерческой, если она стала известна работнику в связи с исполнением трудовых обязанностей. Такое основание есть в подпункте «в» пункта 6 части 1 статьи 81 ТК РФ.
Но увольнение за разглашение - рискованная процедура. До взыскания нужно запросить у работника письменное объяснение, а если он не дал его в течение двух рабочих дней, составить акт. Это общее требование статьи 193 ТК РФ. Если работодатель не докажет факт режима, ознакомление, доступ, само разглашение и вину работника, увольнение могут признать незаконным.
За разглашение информации с ограниченным доступом КоАП РФ предусматривает штраф: для граждан от 5 000 до 10 000 рублей, для должностных лиц от 40 000 до 50 000 рублей или дисквалификацию до 3 лет, для юридических лиц от 100 000 до 200 000 рублей.
В особо серьезных случаях может возникнуть уголовная ответственность по статье 183 УК РФ за незаконное получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну. Если деяние повлекло тяжкие последствия, наказание может доходить до лишения свободы на срок от 3 до 7 лет со штрафом от 1 млн до 5 млн рублей или без него.
Что делать при утечке
Если компания обнаружила утечку, сначала нужно не кричать в чате «кто слил базу», а зафиксировать факты. Сохраните логи, скриншоты, переписку, выгрузки, письма, записи доступа, документы с водяными знаками. Затем создайте комиссию или назначьте ответственного за служебную проверку.
На BazaNPA для такой ситуации есть приказ о создании комиссии по факту разглашения тайны и объяснительная по факту разглашения коммерческой тайны. Эти документы помогают оформить проверку, запросить объяснения и собрать доказательства до принятия решения.
Если утекла клиентская база с персональными данными, это уже не только коммерческая тайна, но и персональные данные. Тогда нужны отдельные действия по 152-ФЗ: оценка инцидента, уведомление Роскомнадзора при наличии оснований, проверка мер защиты и работа с последствиями.
Частые ошибки работодателей
Первая ошибка - скачать NDA и думать, что теперь все защищено. Без положения, перечня сведений, доступа, учета и ознакомления под подпись NDA будет слабым доказательством.
Вторая ошибка - объявить тайной вообще все. Если засекретить зарплаты, условия труда, сведения о нарушениях закона и другую информацию, которую нельзя относить к коммерческой тайне, такой режим не поможет.
Третья ошибка - дать доступ слишком широкому кругу лиц. Чем больше людей видит базу, тем труднее понять источник утечки и доказать вину конкретного работника.
Четвертая ошибка - писать штрафы для сотрудников как в гражданском договоре. В трудовых отношениях безопаснее работать через дисциплинарную ответственность, прямой ущерб, правильную процедуру и доказательства.
Пятая ошибка - забыть про увольнение. Работник ушел, ноутбук сдал, но доступ к CRM, почте или облаку остался. Для бизнеса это один из самых частых и самых опасных сценариев утечки.
FAQ
Достаточно ли подписать NDA с сотрудником?
Нет. NDA полезен, но сам по себе он не заменяет режим коммерческой тайны. Нужны положение, перечень сведений, ограничение доступа, учет лиц с доступом, ознакомление под подпись и реальные меры защиты.
Можно ли включить в коммерческую тайну всю информацию компании?
Нет. Нужно определить конкретный перечень сведений. Кроме того, закон прямо называет информацию, которую нельзя относить к коммерческой тайне, например отдельные сведения об условиях труда, численности работников, задолженности по зарплате и нарушениях закона.
Можно ли штрафовать работника по NDA?
В трудовых отношениях нельзя просто удержать с работника договорной штраф за разглашение. Работодатель может применить дисциплинарное взыскание, уволить при наличии оснований и процедуры, а также взыскать прямой действительный ущерб, если докажет его.
Можно ли уволить за разглашение коммерческой тайны?
Да, но только если режим коммерческой тайны был установлен, работник был ознакомлен, сведения стали известны ему по работе, факт разглашения доказан, а работодатель соблюдал процедуру дисциплинарного взыскания.
Нужен ли доступ к коммерческой тайне всем сотрудникам?
Нет. Доступ лучше давать только тем, кому он нужен для работы. Чем уже круг лиц и чем понятнее уровни доступа, тем проще защищать информацию и искать источник утечки.