Как часто вам предлагают заткнуть пальцем пробоину в борту судна? Нам — постоянно!
Вот обычная заявка: составьте нам NDA с работником, чтобы защититься от разглашения конфиденциальной информации.
Почему-то многие в ИТ уверены, что для защиты конфиденциальной информации компании необходимо и достаточно подписать с работником NDA. Однако NDA с сотрудником — это совсем не тот документ, который необходимо использовать для защиты конфиденциальной информации в трудовых отношениях.
В результате требования к режиму коммерческой тайны грубо нарушены. Архитектура ПО, алгоритмы, расчеты, и иные ноу-хау, используемые в разработках, остаются без охраны.
Разберемся, что здесь не так. Начнем с терминологии. Non‑disclosure Agreement (NDA) – это договор гражданско-правового характера между двумя независимыми субъектами по поводу использования конфиденциальной информации сторон такого договора. В трудовых отношениях работник находится в подчиненном к работодателю положении.
Поэтому защита конфиденциальной информации, включая коммерческую тайну, обеспечивается внутренними (локальными) актами компании (ИП). Одним из таких документов является Обязательство о неразглашении, которое работник дает после ознакомления с Положением о коммерческой тайне организации.
Помимо этого работник должен быть ознакомлен под роспись с перечнем конфиденциальной информации, утвержденным приказом по организации.
И в завершение, условия об обеспечении конфиденциальности (защите коммерческой тайны) включаются в условия трудового договора с работником для обеспечения его ответственности за разглашение.
Именно так — путем принятия и ознакомления работника с целым комплексом внутренней документации — обеспечивается юридическая защита информации, составляющей коммерческую тайну компании.
Дополним, что введение в организации режима коммерческой тайны требует помимо выполнения юридических мероприятий, которые мы обсудили выше, также обеспечение фактической охраны конфиденциальной информации от раскрытия путем принятия организационных и технических мер защиты.
Например, если документы с конфиденциальной информацией не обособлены от документов с обычным уровнем доступа, нарушены требования к обеспечению сохранности такой информации в тайне. Следовательно, любое лицо, получившее случайный доступ к такой информации, не будет нести ответственность за ее разглашение.
Таким образом, подписание с сотрудником NDA не решает задачу охраны конфиденциальной информации компании даже в первом приближении. Информационная безопасность требует комплексного решения.
Вот 5 простых шагов по обеспечению коммерческой тайны:
- Введите режим коммерческой тайны в организации. Для этого издайте приказ об утверждении Положения о коммерческой тайне, перечня конфиденциальной информации, и назначении лица, отвечающего за соблюдение режима.
- Ознакомьте сотрудников под роспись с Положением о коммерческой тайне и перечнем конфиденциальной информации.
- Возьмите у работников Обязательство о неразглашении информации в письменном виде. Для упрощения задачи возмещения убытков при раскрытии конфиденциальной информации включите в Обязательство конкретную сумму штрафа за разглашение.
- Определите какие документы содержат конфиденциальную информацию из утвержденного перечня. Промаркируйте их пометкой «Коммерческая тайна» и обособьте от документов, которые не содержат такую информацию.
- Ограничьте фактический доступ к документам, содержащим коммерческую тайну. Документы в печатной форме как минимум необходимо хранить в сейфе и выдавать под роспись с отметкой в журнале движения документов. Защита электронных документов должна обеспечиваться настройкой прав доступа пользователей информационной системы.
Используйте эти простые советы для защиты своего бизнеса.