Коммерческая тайна — это не просто пометка «конфиденциально» в договоре и не общий запрет работникам «ничего не разглашать».

Чтобы информация реально получила защиту, компания должна ввести и поддерживать режим коммерческой тайны. Без этого взыскать убытки, применить ответственность к работнику или предъявить претензии контрагенту будет сложно.

На практике многие компании вспоминают о коммерческой тайне уже после утечки: клиентская база ушла конкуренту, менеджер передал цены и условия поставки, подрядчик использовал техническую документацию в другом проекте, бывший сотрудник забрал шаблоны, чертежи, методики или коммерческие предложения.

Проблема в том, что после утечки поздно создавать режим защиты. Его нужно вводить заранее.

Что может быть коммерческой тайной?

Коммерческой тайной могут быть сведения, которые имеют коммерческую ценность именно потому, что они неизвестны третьим лицам и к ним нет свободного доступа.

Например:

  • клиентская база;
  • условия работы с поставщиками;
  • цены, скидки и коммерческие предложения;
  • производственные технологии;
  • рецептуры и методики;
  • техническая документация;
  • бизнес-процессы;
  • маркетинговые стратегии;
  • финансовые модели;
  • внутренние регламенты;
  • сведения о переговорах и сделках.

Если речь идёт о технических, производственных, экономических или организационных сведениях, они также могут охраняться как секрет производства — ноу-хау. По ГК РФ ноу-хау признаются сведения, имеющие действительную или потенциальную коммерческую ценность вследствие неизвестности третьим лицам, при отсутствии свободного доступа и принятии разумных мер по сохранению конфиденциальности.

Но не всё можно закрыть режимом коммерческой тайны. Закон прямо устанавливает перечень сведений, которые не могут составлять коммерческую тайну. Например, нельзя засекретить информацию, обязательность раскрытия которой установлена законом, а также экологическую информацию.

Почему NDA недостаточно?

Распространённая ошибка — считать, что подписанный NDA сам по себе решает проблему.

Нет.

Соглашение о конфиденциальности важно, но оно работает только в связке с внутренним режимом защиты. Если компания не определила перечень секретной информации, не ограничила доступ, не ведёт учёт лиц, получивших такую информацию, и не маркирует документы, ответчик в споре может заявить: никакой коммерческой тайны не было.

И это сильный довод.

Суд будет смотреть не на название документа, а на фактическое поведение компании: действительно ли она охраняла информацию или только постфактум назвала её секретной.

Какие меры обязательны?

Закон о коммерческой тайне устанавливает минимальный набор мер, которые должна принять компания.

Нужно:

  1. определить перечень информации, составляющей коммерческую тайну;
  2. ограничить доступ к такой информации и установить порядок обращения с ней;
  3. вести учёт лиц, получивших доступ к информации;
  4. урегулировать отношения с работниками и контрагентами;
  5. наносить на материальные носители или включать в реквизиты документов гриф «Коммерческая тайна» с указанием обладателя информации.

Если этих мер нет, компания сама ослабляет свою позицию. В споре о разглашении недостаточно сказать: «это была важная информация». Нужно доказать, что она была включена в режим коммерческой тайны и реально охранялась.

Блок 1. Внутренние документы компании

Первый шаг — создать документальную базу.

Компании нужно подготовить:

  • положение о коммерческой тайне;
  • перечень сведений, составляющих коммерческую тайну;
  • приказ о введении режима коммерческой тайны;
  • перечень должностей или лиц, имеющих доступ к такой информации;
  • порядок хранения, передачи и уничтожения конфиденциальных документов;
  • форму грифа «Коммерческая тайна»;
  • журнал или электронный реестр доступа;
  • порядок работы с электронными файлами и корпоративными системами.

Важно не просто утвердить документы, а ознакомить с ними работников под подпись. Иначе работник сможет заявить, что не знал, какие именно сведения относятся к коммерческой тайне и какие правила обращения с ними действуют.

Блок 2. Техническая защита

Документы без технических мер часто не работают.

Если у всех сотрудников есть полный доступ ко всем файлам, документы свободно пересылаются на личную почту, файлы лежат в открытых папках, а клиентскую базу можно скачать за минуту, ссылаться на серьёзный режим коммерческой тайны будет трудно.

Технические меры могут включать:

  • разграничение прав доступа;
  • запрет скачивания и копирования отдельных файлов;
  • двухфакторную аутентификацию;
  • контроль выгрузки клиентских баз;
  • запрет пересылки документов на внешние адреса;
  • журналирование действий пользователей;
  • ограничение доступа к облачным хранилищам;
  • DLP-системы;
  • антивирусную защиту;
  • отдельные режимы доступа для проектных команд;
  • запрет фотографирования и копирования документов;
  • контроль доступа в помещения, где хранятся документы.

Задача не в том, чтобы создать «режим спецслужб». Задача — показать, что компания реально ограничивает доступ к ценной информации и контролирует её движение.

Блок 3. Работники

С работниками нужно работать отдельно.

Недостаточно включить одну строку в трудовой договор: «работник обязуется соблюдать коммерческую тайну».

Нужно:

  • ознакомить работника с положением о коммерческой тайне;
  • указать, к какой информации он получает доступ;
  • закрепить обязанность не разглашать сведения;
  • установить порядок работы с документами и файлами;
  • определить правила использования личной почты, мессенджеров и внешних носителей;
  • оформить обязательство о неразглашении;
  • зафиксировать возврат документов и носителей при увольнении.

При этом штрафы для работников лучше не включать. Трудовой кодекс предусматривает ограниченный перечень дисциплинарных взысканий: замечание, выговор и увольнение по соответствующим основаниям. Штраф как дисциплинарная санкция для работника не предусмотрен.

Если работник разгласил коммерческую тайну, возможны дисциплинарная ответственность, увольнение при соблюдении условий закона, взыскание прямого действительного ущерба, а в отдельных случаях — административная или уголовная ответственность. Но работодатель должен доказать не только факт разглашения, но и то, что информация действительно охранялась как коммерческая тайна.

Блок 4. Контрагенты

С контрагентами нельзя ограничиваться общей фразой в договоре: «стороны обязуются соблюдать конфиденциальность».

Хорошее соглашение о конфиденциальности должно отвечать на конкретные вопросы:

  • какая информация передаётся;
  • в какой форме она может передаваться;
  • кто имеет доступ к информации у контрагента;
  • можно ли передавать её работникам, подрядчикам и аффилированным лицам;
  • какие меры защиты обязан обеспечить контрагент;
  • как долго действует обязанность конфиденциальности;
  • что делать при утечке;
  • какой штраф или убытки взыскиваются за нарушение;
  • как доказывается факт передачи информации;
  • что происходит с документами после завершения договора.

Особенно важно предусмотреть ответственность контрагента за действия его работников, подрядчиков и иных привлечённых лиц. Иначе он может занять позицию: информацию разгласил не сам контрагент, а третье лицо, и он за него не отвечает.

Также стоит закрепить, что уровень защиты информации у контрагента должен быть не ниже уровня защиты, который применяется в вашей компании. Это можно оформить как заверение об обстоятельствах и как самостоятельную договорную обязанность.

Блок 5. РИД, ноу-хау и служебные результаты

Если коммерческая тайна связана с техническими решениями, чертежами, программным кодом, методиками, дизайном, производственными процессами или другими результатами интеллектуальной деятельности, одного NDA мало.

Нужно отдельно проверить, кому принадлежат права на результат.

Если результат создают работники, нужны трудовые договоры, должностные инструкции, служебные задания, акты передачи, порядок выплаты авторского вознаграждения и режим конфиденциальности.

Если результат создаёт подрядчик, в договоре нужно прямо закрепить, кому принадлежат исключительные права, кто вправе использовать результат, можно ли передавать его третьим лицам и какие материалы остаются конфиденциальными.

Иначе возможна неприятная ситуация: компания защищает информацию как коммерческую тайну, но исключительные права на сам результат принадлежат не ей.

Типичные ошибки компаний

Чаще всего компании проигрывают споры о коммерческой тайне не потому, что информация была неценной, а потому что режим был оформлен формально.

Типовые ошибки:

  • нет утверждённого перечня коммерческой тайны;
  • работники не ознакомлены с локальными актами;
  • нет учёта лиц, получивших доступ;
  • документы не маркируются грифом;
  • доступ к файлам не ограничен;
  • NDA не конкретизирует, какая информация передана;
  • отсутствуют доказательства передачи информации контрагенту;
  • штрафы с работниками включены в трудовой договор;
  • после увольнения работника не фиксируется возврат документов и носителей;
  • контрагентам передаются чертежи, базы и методики без ограничений;
  • компания пытается засекретить сведения, которые по закону не могут составлять коммерческую тайну.

Главная ошибка — относиться к коммерческой тайне как к тексту, а не как к режиму.

Что делать при утечке?

Если утечка уже произошла, нужно действовать быстро.

Первое — зафиксировать факт доступа или передачи информации: логи, переписку, выгрузки, письма, документы, скриншоты, акты внутренней проверки.

Второе — определить круг лиц, имевших доступ.

Третье — проверить, была ли информация включена в перечень коммерческой тайны и были ли лица ознакомлены с режимом.

Четвёртое — направить претензию нарушителю и потребовать прекратить использование информации.

Пятое — оценить размер убытков или договорного штрафа.

Шестое — при наличии признаков состава правонарушения рассмотреть обращение в правоохранительные органы.

Но если до утечки режим коммерческой тайны не был введён, возможности защиты будут резко ограничены.

Вывод

Коммерческая тайна защищает бизнес только тогда, когда она оформлена как реальный режим, а не как декларация в договоре.

NDA, положение, гриф, перечень сведений, ограничение доступа, учёт лиц, технические меры и работа с сотрудниками должны быть связаны в единую систему.

Если компания заранее не определила, какая информация является коммерческой тайной, кто имеет к ней доступ и как она охраняется, после утечки будет сложно взыскать убытки или штраф.

Главный практический вывод простой: защищает не слово “конфиденциально”, а доказуемая система мер: документы, доступы, учёт, маркировка, договоры и контроль движения информации.