Как защитить данные, если ваши сотрудники работают удалённо

Подписывайте разумный NDA

Начните с работы «вбелую». Это фундамент, на котором стоит безопасность любой компании. Если вдруг сотрудник украдёт и передаст любую конфиденциальную информацию, то без ранее подписанных документов его будет практически невозможно привлечь к ответственности.

Увы, стандартный трудовой договор обычно содержит довольно общие формулировки в части неразглашения конфиденциальной информации. Но его можно дополнить грамотным NDA. Этих двух документов достаточно, но важно прописывать в них всё максимально подробно, так как даже в Гражданском кодексе не найти чётких формулировок о том, что считается конфиденциальной информацией.

Допустим, мы не хотим, чтобы информация о зарплатах или ценах проектов была известна вне компании. Пишем об этом так: «Я обязуюсь не раскрывать никакую информацию о проектах CSSSR, в том числе информацию о бюджетах проектов, сведения о зарплатах сотрудников, а также любую другую информацию о заказчиках и сотрудниках CSSSR».

Последствия мы тоже прописываем отдельно. Например, указываем, что в случае разглашения или утраты конфиденциальной информации сотрудник обязуется возместить убытки компании в течение десяти рабочих дней после того, как этого потребовали. Убытки бизнеса — это документально подтверждённый урон, который нанёс сотрудник, разгласив определённую информацию. Размер компенсации определяет суд. Например, вы работаете с оператором X, который делает акцию к 8 Марта, — предлагает бонусы всем женщинам за переход от другого оператора. Ваш разработчик разглашает эту информацию оператору Y, который в итоге делает аналогичную акцию, но раньше. В таком случае убытки можно посчитать и задокументировать — оператор X смотрит на отток от себя к оператору Y и просит суд это компенсировать.

Мы отказались от идеи фиксированных штрафов, потому что это отпугивает новых сотрудников. Все понимают, что при желании работодатель может повесить на сотрудника крупный штраф при разглашении чего угодно. У нас был опыт с клиентами, которые разрабатывали ПО для промышленных предприятий и предлагали подписать договор с миллионными штрафами за каждое нарушение. А они могут звучать как «разглашение используемых технологий» — такие фразы запрещают даже назвать вслух язык программирования, который используется на проекте.

Заключать отдельные NDA с сотрудниками под каждого клиента нет смысла — нужен универсальный текст, который подходит для всех. Мы написали свою версию простым человеческим языком, чтобы сотрудникам легко было понять, что от них требуется. Мы не скрываем текст нашего NDA, скачивайте и пользуйтесь на здоровье.

Статья Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)

Статья Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)

1. Объектом административного правонарушения, предусмотренного в ст. , являются отношения в области связи и информации. При этом виновный нарушает положения не только Федерального закона от N 152-ФЗ «О персональных данных», Закона об информации, но и ряда других законов (например, ГК, Закон об ОРД, НК, Воздушного кодекса, Таможенного кодекса, Трудового кодекса).

2. Объективная сторона анализируемого деяния состоит в том, что виновный нарушает установленный законом порядок:

2) распространения персональных данных. Речь идет не только о сборе (путем инкоптирования, письменных и иных запросов во всевозможные организации, подслушивания, подсматривания, слежки и т.п. мероприятий), но и о хранении (в папках, сейфах, в памяти ЭВМ), использовании (например, в целях шантажа, запугивания, вымогательства имущества граждан) либо распространении (путем опубликования, передачи в эфир, по кабельным сетям, во время устного выступления, за плату, бесплатно и т.п. случаи придания оснастке персональных данных). С другой стороны, нужно учесть, что в соответствии с указанными выше законами граждане и организации имеют право на доступ к документированной информации о них, на уточнение этой информации в целях обеспечения ее полноты и достоверности, имеют право знать, кто и в каких целях использует или использовал эту информацию. Ограничение доступа граждан и организаций к информации о них допустимо лишь на основаниях, предусмотренных федеральными законами. Владелец документированной информации о гражданах обязан предоставить информацию бесплатно по требованию тех лиц, которых она касается. Ограничения возможны лишь в случаях, предусмотренных законодательством.

Оконченным деяние считается с момента нарушения. Оно совершается либо в форме действий, либо путем бездействия (например, если виновный не принимает мер к надлежащей охране персональных данных). Объективной стороной анализируемое правонарушение отличается от уголовного преступления, предусмотренного в ст. 137 УК «Нарушение неприкосновенности частной жизни» (предусматривающей уголовную ответственность за незаконное собирание или распространение сведений о частной жизни гражданина, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или СМИ, если эти деяния совершены из корыстной или иной личной заинтересованности и причинили вред правам и законным интересам граждан).

3. Субъектами данного правонарушения являются:

1) граждане (например, работники медицинского учреждения), см. коммент. к ст. 2.3, 2.8;

2) должностные лица (например, дознаватель, налоговый инспектор), см. коммент. к ст. 2.4, 2.5;

3) юридические лица (например, банки, страховые компании, лечебные учреждения, военкоматы), см. коммент. к ст. 2.1,

4. Субъективная сторона административного правонарушения, предусмотренного в ст. , характеризуется либо прямым, либо косвенным умыслом (см. коммент. к ст. 2.2).

5. Анализ мер административной ответственности, предусмотренных в ст. , показывает, что:

1) виновному может быть назначено или предупреждение, или административный штраф;

2) и административный штраф, и предупреждение назначается судьей (см. коммент. к ст. 3.4, 3.5, 23.1).

Практика применения нормы о сохранности коммерческой тайны

Обязательства о неразглашении иногда применяются не только в трудовых, но и в гражданско-правовых отношениях. В России существует практика, когда сотрудники, фактически состоящие с организацией в трудовых отношениях, заключают с ней гражданско-правовые договоры на подряд или оказание услуг. Это дает возможность компании сэкономить на налогах и заключать фактически срочные трудовые договоры в тех ситуациях, когда закон этого не позволяет. Несмотря на то, что ФНС преследует эту практику, признавая такие договоры фактическими трудовыми отношениями и доначисляя налоги, в региональной практике они продолжают встречаться. В такие договоры также иногда вносится норма о неразглашении коммерческой тайны в течение определенного времени после истечения срока их действия.

В судебной практике встречаются дела, когда работники, сотрудничающие с компанией на таких условиях, после завершения срока действия гражданско-правового соглашения передавали данные, относящиеся к конфиденциальной информации, третьим лицам и привлекались к ответственности. Так, конфиденциальные данные компании МТС были похищены бывшим сотрудником, которому действующий работник сообщил свой логин и пароль для входа в информационную сеть филиала. Действующий сотрудник ответственности не понес. Лицо, похитившее информацию, было приговорено к лишению свободы условно.

В судебной практике встречаются дела, когда работники после увольнения не только разглашали коммерческую тайну, ставшую известной в результате выполнения трудовых функций, но и, используя сохраненные служебные логин и пароль и удаленно подключаясь к корпоративной сети, похищали информацию для продажи в даркнете. Такие преступления обычно преследуются по совокупности статей о разглашении коммерческой тайны и неправомерном доступе к компьютерной информации.

Информация, относящаяся к действительной коммерческой тайне – бизнес-планы, результаты НИОКР, – крайне редко бывает предметом судебных разбирательств. Подавляющее большинство дел связано с хищением и неправомерным распространением уволенными сотрудниками персональных данных клиентов, клиентских баз данных и других сведений, предназначенных для перепродажи и имеющих интерес для неограниченного круга лиц. Ответственность по таким преступлениям, связанными с разглашением коммерческой тайны или персональных данных, обычно ограничивается условной, в возмещении ущерба компаниям отказывают, так как действительную ценность похищенных данных доказать крайне сложно.

Как оспорить

Попробовать оспорить решение об увольнении в суде можно, если:

• Договор о неразглашении коммерческой тайны был составлен неправильно или имеет расхождения с другими документами;
• Если факт передачи данных третьему лицу установлен не был (запись той же информации на флэш-носитель не является фактом разглашения);
• Если процесс шел по инициативе работодателя, а работник находился в отпуске или на больничном.

Также не подлежат увольнению беременные женщины, несовершеннолетние лица и инвалиды.

Это видео расскажет про последствия разглашения охраняемой законом тайны:

Обязательство о неразглашении коммерческой тайны

   Обязательство о неразглашении коммерческой тайны – это важный кадровый документ, подписавшись под которым сотрудники обязаны помалкивать, если разговор касается секретов фирмы. На сегодня в сфере конкуренции используется множество методов добычи секретной информации.

Но даже в свете того, что коммерческие секреты защищены законом, не всегда удаётся привлечь к ответственности болтуна. Более того, вы даже не сможете уволить виновника за длинный язык, если документы оформлены не правильно.

Поэтому давайте раскроем здесь «секретные материалы»

Что такое коммерческая тайна

В 2004 году вышел в свет закон о коммерческой тайне №98-ФЗ. И в первой же его статье сказано, что если обладает фирма какой-то ценной информацией, которую нужно уберечь от посторонних ушей, то должен быть установлен специальный режим.

Сам же термин «коммерческая тайна» раскрывается так: это такой режим, который позволяет фирме увеличивать доходы, сокращать расходы или получать другую выгоду. И вся информация о режиме – секретная. Для любой компании конфиденциальная информация, то есть сведения, составляющие коммерческую тайну, такие:

Не подлежит разглашению информация

• о ценовой политике;
• о планах в финансовой и административной деятельности;
• о подписанных и планируемых контрактах;
• о незапатентованных пока изобретениях.

Разглашение коммерческой тайны – это передача секретной информации посторонним.

А вот какая информация не может быть секретной по закону:

• данные о госрегистрации фирмы (регистрационные номера, реквизиты свидетельств, уставная информация);
• о составе имущества МУП или ГУП;
• о состоянии безопасности: противопожарной, экологической, радиационной, санитарной;
• о штатной расстановке в компании;
• об условиях труда и системе оплаты;
• о наличии вакансий;
• о долгах по зарплате и взносам в бюджет;
• о предписаниях и штрафах за нарушение законов.

Обязанности в режиме секретности

11-я статья 98-го ФЗ наделила обязанностями и начальника, и сотрудников. Чтобы тайну сохранить, директор фирмы обязан:

• под роспись ознакомить работников, допущенных к секретам, со списком информации, которая является секретной;
• их же ознакомить с введённым режимом секретности и с ответственностью за его нарушение;
• создать условия секретности.

При этом допускать сотрудника к секретам организации можно только с его добровольного согласия.

Сотрудники, которых допустили к тайне, в свою очередь обязаны:

• выполнять режим секретности;
• никому постороннему не раскрывать секреты без согласия директора (до момента снятия режима, даже если работник уже уволен);
• возмещать ущерб фирме, нанесённый вследствие разглашения тайны;
• при увольнении вернуть по описи носители тайной информации (бумажные документы, диски, флешки, дискеты и т.п.).

Наказание за разглашение коммерческой тайны

Человек по своей натуре слаб, и может случиться, что хруст зелёных денег затмит рассудок работника, допущенного к секретам организации и он выложит тайные сведения конкурентам. Если преступление раскроется, такого горе-сотрудника можно наказать:

• уволить по п. «в» ч.6 ТК;
• взыскать ущерб в гражданском процессе;
• оштрафовать по статье КоАП на 5 тысяч рублей;
• даже привлечь к уголовной ответственности (по 183 ст. УК за разглашение грозит штраф до миллиона рублей, обязательные работы или лишение свободы до 3 лет; а если секрет продан за взятку – штраф до полутора миллионов или лишение свободы до 5 лет).

Естественно наказывать можно только в случае, когда преступление доказано и у вас на руках есть постановление или приговор суда.

Внимание!

Важно:если работодатель не создал условий, при которых тайну можно сохранить, наказывать работников нельзя. Например, если секретная информация хранится в незапароленном компьютере или на диске, к которому имеют доступ посторонние, нарушение условий сохранности информации – налицо.

К тому же из закона мы видим, что работники должны поставить автограф под условиями режима коммерческой тайны и под перечнем секретной информации. Всю эту информацию нужно закрепить в ЛНА, например, в специальном Положении.

Лна о секретном режиме

Внимание!

Внутренним законом фирмы, который бы описывал весь порядок режима тайны, может быть положение о коммерческой тайне.

Естественно, он обязательно заносится в номенклатуру дел и утверждается приказом директора. В положение нужно внести:

• реквизиты приказа и гриф утверждения;
• кто является обладателем тайной информации (ваша фирма);
• полный список сведений, которые относятся к тайне;
• срок действия режима;
• права и обязанности директора и сотрудников;
• порядок подписки о неразглашении коммерческой тайны.

Для основы готовы вам предложить актуальное положение о коммерческой тайне 2016, образец которого можно скачать здесь. Имейте в виду, что образец типовой и многие его статьи могут не подойти по профилю вашей организации. Поэтому адаптируйте его под себя.

Подписка работника

Ознакомить сотрудника с положением – дело одно, но надо ещё заводить и отдельный документ, индивидуальный. В документе чётко должно прослеживаться обязательство о неразглашении коммерческой тайны, образец которого можно взять здесь.

Бланк такой подписки лучше утвердить вместе с Положением и прикрепить её в качестве приложения.

В подписке в обязательном порядке указывается:

• ФИО и должность работника;
• его согласие на работу с секретной информацией;
• период действия подписки.

Обязательства о неразглашении коммерческой тайны нужно хранить в делах отдела кадров, их срок хранения привязан к периоду действия Положения. Как только режим секретности будет прекращён, надобность в этих бумагах отпадёт.

Но до того момента документы храните, это основания для компенсации ущерба! 

Ответственность за разглашение персональных данных гражданина, виды и размеры наказаний

Лица, разгласившие ПД, могут быть подвергнуты только одному из наказаний, перечисленных в ст. 137 УК РФ, и только в указанных там пределах. Выбор конкретного вида и размера наказания осуществляется судом с учетом степени и характера опасности совершенного деяния, смягчающих и отягчающих обстоятельств, личности виновного и т. д. (ч. 3 ст. 60 УК РФ).

Для примера рассмотрим наказания, которые могут быть назначены за разглашение ПД с использованием служебного положения по ч. 2 ст. 137 УК РФ. Суд вправе назначить:

При этом срок дополнительного наказания в 3-м и 5-м случаях начинает течь только после отбытия основного (ч. 4 ст. 47 УК РФ).

Поскольку рассматриваемым преступлением нарушаются личные неимущественные права, потерпевший имеет полное право на предъявление требования о возмещении морального вреда (ст. 151 ГК РФ).

СОГЛАШЕНИЕ О НЕРАЗГЛАШЕНИИ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ

Открытое акционерное общество «Российские железные дороги» в лице начальника Красноярской дирекции материально-технического обеспечения – обособленного структурного подразделения Росжелдорснаба – филиала ОАО «РЖД» Штатолкина Александра ***ича, действующего на основании доверенности № 869-Д от г., с одной стороны, и Общество с ограниченной ответственностью «ЗЭТА», в лице генерального директора Краюшкина Виктора Степановича, действующего на основании Устава предприятия, с другой стороны, далее по тексту именуемые «Стороны», заключили настоящее соглашение, далее по тексту «Соглашение», о нижеследующем:

исходя из того, что Стороны выражают намерение осуществлять обмен информацией, в том числе с использованием информационных технологий, касающейся их дальнейшего сотрудничества при поставках товаров, выполнении работ или оказании услуг (далее по тексту Соглашения — «Договоры»);

принимая во внимание, что при реализации Договоров для одной из Сторон (далее — «Раскрывающая Сторона») возникает необходимость предоставить другой Стороне (далее — «Принимающая Сторона») закрытую от свободного доступа третьих лиц информацию делового, технического или любого иного характера, которая может быть отнесена в совокупности или частично к коммерческой или иной тайне одной из Сторон или контрагентов одной из Сторон (за исключением государственной тайны), а для Принимающей Стороны возникает необходимость работать с указанной информацией, а также основанными на ней анализом, выводами и иными материалами, включая устные сообщения, записи, документацию либо переписку в любой форме представления (далее — «Конфиденциальная информация»);

Стороны договорились о нижеследующем: