Бывшие сотрудники и слив базы: как привлекать к ответственности
NDA, режим коммерческой тайны, доказательства слива клиентов и ноу-хау - что реально работает в спорах с бывшими сотрудниками.
Коммерческий директор уволился, через два месяца открыл собственное ООО, через четыре - забрал к себе восемь крупных клиентов. Компания обнаружила, начала собирать доказательства. Выяснилось: NDA подписан, но без указания, какая именно информация конфиденциальна. Режим коммерческой тайны в компании не введён. Логи доступа в CRM не велись. Шанс взыскать ущерб упал с реалистичных к нулевым. Эта история не уникальна - это правило для бизнеса, который вспоминает про защиту информации после первого инцидента.
Что на самом деле даёт NDA без подготовки
NDA сам по себе - бумажка. Чтобы стать инструментом, он должен опираться на три уровня:
- материальные нормы (закон о коммерческой тайне, режим конфиденциальной информации);
- внутренние документы компании (положение о коммерческой тайне, перечень сведений, регламент доступа);
- технические меры (контроль доступа, логирование, маркировка).
Без этого NDA - декларация о намерениях, которую сложно превратить в денежную ответственность.
Режим коммерческой тайны
ФЗ-98 «О коммерческой тайне» вводит чёткие требования. Чтобы информация имела статус коммерческой тайны (и охранялась как таковая), нужно:
- определить перечень сведений, составляющих тайну (отдельным приказом);
- ограничить доступ к этим сведениям;
- учесть лиц, получивших доступ;
- регулировать использование сведений работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых;
- нанести гриф «коммерческая тайна» с указанием правообладателя.
Без хотя бы части этих мер режим коммерческой тайны не считается установленным. Соответственно - и нарушения нет. Это не формальность. Это вопрос наличия или отсутствия правовой защиты.
Что считать сливом и как доказывать
Слив - не только «вынес базу на флешке». Это копирование клиентских данных и прайсов, перенос писем с корпоративной почты, сохранение коммерческих условий и скидок, передача третьим лицам ноу-хау, использование уведённых клиентов на новом месте. Все эти действия подпадают под нарушение только при установленном режиме коммерческой тайны и фиксации доступа сотрудника.
Доказательственная база собирается заранее: логи CRM/ERP, журналы выгрузки, история отправок корпоративной почты, DLP-системы, видеонаблюдение в чувствительных зонах, журналы выдачи носителей. После обнаружения - внутренний аудит активности бывшего сотрудника за 3-6 месяцев, сопоставление списков клиентов, объяснения перешедших клиентов, нотариальный осмотр сайтов и каналов, адвокатские запросы, параллельное заявление в полицию по ст. 183 УК.
Юридические инструменты
Гражданский иск о возмещении убытков - сложно доказывать размер, помогают расчёт упущенной выгоды по конкретным клиентам и экспертная оценка ноу-хау. Иск о пресечении - запрет использования, удаление копий. Уголовное преследование по ст. 183 УК - часто эффективнее гражданского из-за процессуальных возможностей следствия. Дисциплинарные меры в отношении других замешанных сотрудников. Претензии к новому работодателю, если он использует слитые сведения.
Технические и регламентные меры
Меры защиты совпадают с принципами конфиденциальности переписки, только применяются компанией к собственной информации: разграничение прав по минимальной необходимости, блокировка пересылки чувствительных файлов, мониторинг больших выгрузок, блокировка USB и неавторизованных облаков, ревизия прав при смене позиций. Регламент по УКЭП руководителя и подписям сотрудников снижает вероятность массового канала утечки.
При уходе сотрудника: немедленно отозвать доступ, провести внутренний аудит активности за 3-6 месяцев, подписать акт сдачи материалов, напомнить под подпись о действующих обязательствах конфиденциальности, провести exit interview. После - заблокировать аккаунты, изъять оборудование, поменять общие пароли, уведомить контрагентов.
После обнаружения слива - зафиксировать факт (скриншоты, нотариальный осмотр), претензия, иск (в арбитраж или районный суд в зависимости от статуса ответчика), ходатайство об обеспечительных мерах. Не работают: «non-compete» в чистом виде (в трудовом законодательстве не предусмотрен), штрафы «за разглашение» в трудовом договоре, NDA с физлицом без режима коммерческой тайны.
Практический вывод
Слив базы и ноу-хау через бывших сотрудников - это в первую очередь проблема компании, которая не защищалась заранее. Бумажный NDA без режима коммерческой тайны, без технических мер и логирования - это иллюзия защиты. Реально работает связка: положение о коммерческой тайне с перечнем сведений, технические меры доступа и контроля, регламент работы с уходящими сотрудниками, готовая инфраструктура для сбора доказательств. Тогда NDA становится не декларацией, а рабочим инструментом.