В российском законодательстве есть законы, охраняющие право на информацию, но люди не хотят их знать и принимать меры, чтобы сохранить свои же секреты. Итог такой халатности — утечка данных и соответствующие убытки.
В Великобритании ученые подсчитали, что экономические потери от одного случая утечки информации составляют в среднем 10–12 тысяч фунтов. По России таких данных нет, но можно предположить, что показатели сопоставимы. Сумма, конечно, зависит, от содержания информации: это может быть и клиентская база, и последние еще не запатентованные разработки.
Причины утечки информации можно разделить на внутренние, то есть связанные с действиями персонала, и внешние — когда происходит непосредственное вторжение в информационную систему. Если внешним агрессорам нужно устанавливать «жучки» и взламывать чужие системы безопасности, то сотруднику достаточно просто вынести флешку или пару чертежей. Информационные носители с каждым днем уменьшаются в размерах, а значит, заимствовать информацию становится все проще.
Если в результате недосмотра руководства из компании утекли сведения, вред может быть причинен не только самой компании, но и третьим лицам. Чаще всего это ваши клиенты и партнеры, а значит, под угрозу в первую очередь попадает репутация компании. Необходимо опасаться неправомерного раскрытия персональных данных, чужой коммерческой тайны, содержания чужих изобретений и ноу-хау. Если информация была доверена компании, то и спрос будет с компании, а не с конкретного сотрудника, допустившего утечку.
Таким образом, сохранение своих секретов — это право, а чужих — обязанность. За несоблюдение этой обязанности предусмотрена ответственность вплоть до уголовной.
Способы передачи и получения информации меняются, но безопасность, как и прежде, основана на трех аспектах:
- лояльность сотрудников;
- контроль входящих лиц (соискателей на работу и контрагентов);
- правовое обеспечение конфиденциальности информации.
Если в результате собеседования или работы над проектом кто-то может узнать ваши или чужие тайны, нужно заранее подписать с ними соглашение о неразглашении информации.
В судебных разбирательствах, связанных с незаконным получением и использованием конфиденциальной информации, основная проблема — это доказательства. В первую очередь нужно доказать, что информация и вправду конфиденциальная. Для этого необходимо провести ряд обязательных процедур и придать информации статус конфиденциальной.
Во-вторых, нужно предоставить доказательства того, что информация была получена и передана незаконно. Если порядок работы с конфиденциальной информацией с правовой точки зрения оформлен неверно — даже самые очевидные доказательства кражи сведений могут быть отклонены судом как недостаточное обоснование того, что нарушение имело место. Проще говоря, вы пытаетесь доказать, что у вас украли тайну, а в суде вам говорят, что никакой тайны и не было.
Основные меры обеспечения защиты информации можно разделить на технические, организационные и правовые. На технических мы не будем останавливаться, так как это не юридический вопрос, и поговорим об остальных двух видах.
Организационные меры — это, например, установка в офисе видеокамер или создание входа в систему по отпечатку пальца. Данные меры нужно применять законно. Недопустимо использовать для контроля за сотрудниками нелицензионное программное обеспечение: в суде это сочтут недопустимым доказательством, да еще можно получить штраф за нарушение чужих прав на интеллектуальную собственность.
Некоторые организационные меры можно принять только с письменного согласия сотрудников — это сбор биометрических персональных данных (отпечатков пальцев) и видеонаблюдение. При этом ссылки на соответствующее положение в трудовом договоре будет недостаточно — понадобится подпись сотрудника, подтверждающая его согласие. Если согласие получено не было, то и возможность использования видеозаписи в суде оказывается под большим вопросом.
Итак, поговорим о правовых мерах. Если вы хотите оставить информацию в пределах своего офиса, необходимо предпринять следующие действия:
- Определить перечень информации, составляющей коммерческую тайну.
- Установить порядок обращения с ней.
- Организовать учет лиц, получивших доступ к коммерческой тайне.
- Внести изменения в трудовые договоры и договоры с контрагентами.
- Нанести на материальные носители, содержащие коммерческую тайну, гриф «Коммерческая тайна». Под грифом должны быть указаны наименование и адрес владельца информации.
Перечислим обязательные правовые документы по установлению режима конфиденциальности в организации:
- Приказ об установлении режима коммерческой тайны.
- Перечень информации, относящейся к коммерческой тайне.
- Положение о коммерческой тайне.
- Положение о порядке работы с коммерческой тайной (соглашение о неразглашении).
- Трудовой договор с сотрудниками, которые работают с информацией, содержащей коммерческую тайну.
- Положение об электронном документообороте.
Большая часть компаний использует электронный документооборот для обмена информацией между сотрудниками. При этом интернет — это море, из которого выуживают информацию недобросовестные участники рынка. Почтовые ящики, размещенные на серверах Mail.Ru и «Яндекса», взламывают чаще, чем корпоративные, поэтому многие компании создают свою корпоративную почту, за безопасностью которой следят квалифицированные сотрудники.
Однако, если у вас есть корпоративная почта, но нигде не указано, что сотрудники могут пользоваться только ей, — вы ни с кого не сможете спросить, если утечка произойдет из-за использования альтернативных почтовых ящиков.
На что можно рассчитывать, если утечка информации все же произошла?
Для работников предусмотрена дисциплинарная, административная, гражданско-правовая и уголовная ответственность. И если штраф в 5000 рублей за болтливость мало кого напугает, то перспектива сесть в тюрьму на семь лет заставит призадуматься любого.
Исследования американских ученых показали, что только 15% людей ни в коем случае не сделают того, что может повредить их деловой репутации. 10% — это злостные нарушители, которые нарушают правила при любой возможности, таких лучше просто не брать на работу. А вот большинство людей, 75% — это те, кто может нарушить закон или правила фирмы, если будут знать, что останутся безнаказанными.
Можно предположить, что в России злостных нарушителей больше, но средняя прослойка — те, кто не будет нарушать из-за страха наказания, — явно не меньше 50%. Если создать четкую систему защиты информации, разработать необходимые правовые документы и ознакомить с ними сотрудников, а главное, щепетильно выполнять то, что там написано, — можно снизить риск утечки информации из офиса на 50–75%.
Примите положение о коммерческой тайне, повесьте видеокамеры, предупредите сотрудников об ответственности за разглашение информации — и вы уже во многом себя обезопасите.
С кражей информации третьими лицами также можно бороться. Административный штраф за незаконное использование чужой коммерческой тайны доходит до 500 тысяч рублей, и ФАС активно привлекает к ответственности по статье 19.5 Кодекса об административных правонарушениях РФ. Привлечение к ответственности по уголовной статье также возможно, но только если на предприятии введен режим коммерческой тайны, если информация охраняется самим ее владельцем.
В России часто крадут информацию именно потому, что люди не боятся ответственности: статья есть, а ответственности нет. Невозможность привлечения к ответственности с правовой стороны в 90% случаев вызвана безалаберностью самих владельцев информации.
В дополнение к данной теме хочу рассказать про одну бюджетную «фишку». В результате утечки информации часто возникают споры о первенстве создания того или иного изобретения, произведения науки или искусства. Патентование в Роспатенте и заверение авторства в Российском авторском обществе стоит немало — именно это часто останавливает правообладателей от оформления своих прав на результат интеллектуальной деятельности.
Но есть простой и дешевый способ сделать это по-другому. Необходимо документально оформить свое изобретение или произведение — распечатать описание, формулы, программный код или текст песни, а затем положить все это в конверт и отправить самому себе по почте заказным письмом. Вскрывать конверт после получения нельзя. На конверте будет указана дата отправки — ее можно считать датой создания изобретения или произведения.
В случае возникновения спора в суде конверт может быть вскрыт под протокол — и у вас будет супердешевое и неоспоримое доказательство вашего авторства.
Письма самому себе - довольно архаичный способ. Сейчас существует более удобный путь - депонировать произведение в депозитории Российской государственной библиотеки без публикации (http://www.rsl.ru/ru/s4/s47542). Депонирование результатов интеллектуальной деятельности не влияет на возникновение, осуществление и охрану авторских прав, однако свидетельство о депонировании может быть использовано (в том числе, в суде) в качестве доказательства существования необнародованного результата интеллектуальной деятельности и указания авторства лица, его создавшего.
Депонирование в Российской государственной библиотеке также возможно, как и депонирование в юридических фирмах, у нотариусов и в РАО, но необходимо учитывать, что они депонируют не всё. Не принимаются к депонированию научные работы по культуре и искусству, программы для ЭВМ, базы данных, изобретения, фонограммы, аудиовизуальные произведения, хореографические произведения и пантомимы, произведения изобразительного искусства.
Стоимость депонирования 8 рублей/страница, конечно, не высокая, но если исходить из того, что произведение может составлять 300-400 страниц, все-таки ощутимая. Поэтому мы бы все-таки не сбрасывали со счетов старый дедовский способ.
В любом случае, спасибо, что дополнили информацию!
Очень интересно.
Надоело уже шутить про паяльник.
Но в целом хорошая статья.
А как в России обстоят дела с судебной практикой по данной тематике? Сколько работодателей смогли отстоять в суде свои интересы?
Роман, точно статистики по этим делам нет, но подобных судебных разбирательств предостаточно, например см. Определение Московского городского суда от 08.09.2015 N 4г/8-8666/2015. И если доказательства по делу собраны нормально, то суд встает на сторону работодателя.
А я советую вместо письма самому себе делать "нотариальное удостоверение времени предъявления документа". Удобней :)