Перечень сведений, относящихся к коммерческой тайне

Введение режима коммерческой тайны — залог конкурентоспособности организации. В этой статье мы рассмотрим, что такое коммерческая тайна, как ее ввести на предприятии и какие меры необходимо предпринять для обеспечения ее сохранности.

Понятие коммерческой тайны

Любые правовые отношения, связанные с установлением режима коммерческой тайны, его изменением или прекращением, регулируются Федеральным законом от 29.07.2004 98-ФЗ «О коммерческой тайне».

Коммерческая тайна (далее КТ) — режим конфиденциальности информации, позволяющий ее обладателю увеличивать доходы, минимизировать расходы, сохранять или укреплять положение на рынке или получать иные выгоды или конкурентные преимущества. Под режимом конфиденциальности понимается внедрение технических, программных и иных средств по защите информации.

К информации, составляющей КТ, относят производственные, технические, экономические, организационные и иные сведения, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам.

Отнести ценные для предприятия сведения к разряду коммерческой тайны может ее обладатель, т. е. лицо, которое на законных основаниях владеет ими.

В случае, если руководство предприятия сочло целесообразным введение режима КТ, необходимо выявить и оценить все информационные активы, категорировать их по степени чувствительности и критичности потери. Если режим КТ уже введен, следует провести аудит охраняемых данных и при необходимости актуализировать их перечень.

Рассмотрим подробнее, какие сведения можно отнести к разряду коммерческой тайны.

Перечень информации, в отношении которой должен быть установлен режим коммерческой тайны

Согласно п. 2 ст. 3 Закона № 98-ФЗ, сведениями, составляющими коммерческую тайну, можно считать любую информацию, которая имеет действительную или потенциальную стоимость в силу неизвестности ее третьим лицам и утечка которой несет финансовые, материальные и репутационные риски для организации.

Среди прочих можно выделить следующие группы сведений, которые могут составлять КТ предприятия.

Корпоративные сведения	- Любая информация об учредителях, если данные сведения уже не являются открытыми. - Сведения о дочерних компаниях, участии в уставных капиталах иных юрлиц, структуре группы компаний и проч. - Перечень можно расширить при необходимости.
Финансовые сведения, учет, отчеты о проведенных аудитах	- Внутренняя отчетность предприятия, бухгалтерский учет, сведения о текущем балансе, отчеты о прибыли и убытках до момента их согласования и передачи уполномоченным органам. - Ценовая политика предприятия. - Текущий бюджет. - Информация о заключенных сделках. - Регистры бухгалтерского учета. - Принципы работы программных и аппаратных средств бухгалтерского учета. - Перечень можно расширить при необходимости.
Маркетинговая информация	- Стратегия по продвижению предприятия, планы по развитию новых направлений в маркетинге. - Информация о новых продуктах/услугах до момента их официального представления на рынке. - Результаты маркетинговых, социологических исследований, проводимых с целью развития предприятия. -  Любая информация о запланированных рекламных кампаниях. - Любая информация о переговорах с контрагентами. - Любая информация об условиях договоров с контрагентами, в том числе предоставляемые условия, скидки и проч. - Любая информация, конфиденциальность которой закреплена в гражданско-правовых договорах, соглашениях и контактах. - Базы данных контрагентов, клиентов, поставщиков, заказчиков, покупателей, посредников и проч. - Перечень можно расширить при необходимости.
Технологии и производственная деятельность	- Любая информация о разрабатываемых технологиях и специфике их применения. - Секреты производства, ноу-хау. - Любая информация о разрабатываемом ПО, включая исходный код. - Оригинальные методики и разработки. - Любая информация, обрабатываемая техническими и программными средствами предприятия. - Любые сведения об архитектуре информационной системы предприятия. - Перечень можно расширить при необходимости.
Безопасность	- Данные о состоянии системы охраны предприятия. - Данные о системах, обеспечивающих информационную безопасность предприятия и его программных и аппаратных средств. - Информация о средствах и методах, с помощью которых организована системы защиты охраняемых сведений. - Перечень можно расширить при необходимости.
Прочая информация	- Персональные данные клиентов предприятия, пользователей интернет-сайтов, а также любая информация об активности на ресурсах предприятия. - Неразглашенные статистические данные, результаты исследований, аудитов. - Информация о конфликтных ситуациях с участием предприятия, судебных разбирательствах, жалобах, если таковые не являются общедоступными. - Итоги проведения организационных мероприятий. - Перечень можно расширить при необходимости.

В зависимости от сферы деятельности предприятий перечень таких сведений может различаться.

Данные, которые не могут составлять коммерческую тайну

Согласно ст. 5 ФЗ-98, режим КТ не может установлен в отношении следующей информации:

• опубликованной в учредительных документах юрлиц, а также документах, подтверждающих внесение данных о юрлицах и об ИП в госреестры;
• подтверждающей право на ведение предпринимательской деятельности;
• об имуществе государственных или муниципальных унитарных предприятий, а также об использовании ими средств соответствующих бюджетов;
• об ухудшении экологической ситуации, о состоятельности системы противопожарной охраны, безопасности продуктов питания, санитарно-эпидемиологической и радиационной обстановке, а также о безопасности населения в целом и каждого гражданина в отдельности;
• о численности штата, его составе, об условиях труда и его оплате;
• о задолженности работодателя по выплатам заработной платы, социальным выплатам;
• о показателях производственного травматизма, профзаболеваниях;
• о наличии вакансий;
• о фактах совершения преступлений, а также о привлечении к ответственности за совершение этих преступлений;
• об условиях конкурсов и аукционов по приватизации объектов государственной или муниципальной собственности;
• о доходности некоммерческих организаций, а также о составе их имущества, расходах, численности штата и проч.;
• об использовании безвозмездного труда граждан в деятельности некоммерческой организации.

Помимо этого, к разряду коммерческой тайны нельзя отнести сведения, обязательность раскрытия которых или запрет на ограничение доступа к которым регулируется законодательством.

Важно: сведения теряют статус коммерческой тайны, когда становятся общедоступными, например, при обнародовании, публикации в средствах массовой информации или в Сети.

Процесс утверждения Положения о коммерческой тайне

Помимо определения перечня информации, составляющей КТ, ст. 10 п. 1 ФЗ-98 предусматривает обязательное ограничение доступа к охраняемым сведениям, в том числе:

• установление порядка обращения с охраняемым сведениями и контролем за соблюдением такого порядка;
• внедрение системы контроля доступов к охраняемым данным, назначение ответственных лиц за каждый информационный актив;
• регулирование отношений по использованию сведений, составляющих КТ, с работниками и контрагентами в гражданско-правовых и трудовых договорах и соглашениях;
• учет сотрудников и иных лиц, имеющих доступ к охраняемым сведениям;
• нанесение метки «Коммерческая тайна» на носители охраняемых сведений.

Очевидна сложность внедрения мер по защите информации в организациях, имеющих доступ к сети интернет и к мессенджерам, электронной почте и иным внешним каналам коммуникации, а также широко использующим съемные носители.

Внедрение SecureTower целесообразно уже на этом этапе: функционал системы позволяет ускорить процесс инвентаризации информационных ресурсов, систематизировать сведения об используемых приложениях, каналах коммуникации и средствах хранения данных. Попробуйте 30-дневную версию DLP-системы бесплатно!

По мере внедрения мер по защите охраняемых данных можно инициировать процесс утверждения положения о коммерческой тайне.

Положение о КТ — это документ, регулирующий работу с охраняемыми сведениями организации.

Среди прочей в положении указывают следующую информацию:

• сведения, которые относятся к коммерческой тайне, а также порядок отнесения данных к КТ;
• перечень лиц, имеющих доступ к охраняемым сведениям;
• порядок обращения с охраняемыми данными;
• период времени после завершения трудовых отношений, в течение которого сотрудник не имеет права разглашать охраняемые данные;
• меры ответственности, которые будут наложены в случае разглашения охраняемой информации;
• иные сведения, регулирующие работу с охраняемыми данными организации.

Режим коммерческой тайны считается установленным после принятия мер по ограничению доступа к охраняемым данным и организации контроля за их использованием. Как правило, такие меры включают:

• запрет на копирование документов, в том числе на бумажные и неучтенные съемные носители;
• запрет на создание документов, в том числе электронных, на бумажных или неучтенных съемных носителях;
• контроль документов, отправляемых на печать;
• полный запрет на пересылку данных, составляющих коммерческую тайну, по открытым коммуникационным каналам.

Инвентаризация материальных носителей, содержащих информацию, отнесенную к КМ

Любые носители, на которых хранятся охраняемые сведения, должны быть маркированы грифом «Коммерческая тайна» с обязательным указанием владельца информации.

Важно: в соответствии с п. 5 ч. 1 ст. 10 ФЗ-98 юридические лица обязаны указывать полное наименование и юрадрес, индивидуальные предприниматели — ФИО и место жительства.

Под материальными носителями подразумевается:

Закон не регламентирует, как должен выглядеть гриф «Коммерческая тайна» — формат остается на усмотрение обладателя охраняемой информации. Как правило, это штамп или надпись, содержащие сведения, указанные выше.

Ограничение доступа к информации, отнесенной к коммерческой тайне

Для того чтобы утвердить режим КТ, необходимо определить круг лиц, имеющих доступ к охраняемым сведениям, а также уровни доступа к таким данным. Уровень доступа устанавливается в соответствии с потребностью в информации для выполнения рабочих задач.

Информацию, составляющую КТ, также можно категорировать следующим образом.

Применить средства и методы технической защиты информации

Для утверждения режима коммерческой тайны предприятие может использовать любые средства и методы защиты при условии, что они:

• ограничивают доступ к охраняемым сведениям третьим лицам;
• обеспечивают доступность информации для сотрудников, которым защищаемая информация нужна для выполнения должностных обязанностей;
• не нарушают действующее законодательство.

Подход к организации системы безопасности информации должен быть комплексным, включающим различные программные и аппаратные средства.  DLP-система SecureTower закрывает потребность предприятий в обеспечении защиты от утечек конфиденциальных данных вследствие человеческого фактора, а также позволяет контролировать активность сотрудников за рабочими станциями.

Охрана коммерческой тайны в рамках трудовых отношений

Меры по охране информации, составляющей КТ, подробно описаны в ст. 11 ФЗ-98. Данная статья регламентирует обязанности сотрудников и руководителя предприятия по обеспечению режима коммерческой тайны.

Обязанности работодателя

1. Провести ознакомление сотрудников с перечнем сведений, составляющих КТ. Ознакомление должно подтверждаться подписью сотрудника под перечнем.
2. Также необходимо ознакомить работников под подпись с установленным у работодателя режимом КТ и мерами ответственности за его нарушение.
3. Важно создать для работников условия, которые позволят им соблюдать установленный работодателем режим коммерческой тайны.

Важно: в случае, если должность сотрудника не предполагает систематическое использование охраняемых сведений, при этом для выполнения определенной задачи такая информация потребовалась, предоставить ему доступ можно только с его письменного согласия.

Если в трудовой договор не включили условие об обязанности соблюдать режим КТ, целесообразно предложить подписать Соглашение — самостоятельный документ о неразглашении охраняемой информации.

Обязанности работника

1. Необходимо соблюдать установленный работодателем режим КТ. Это означает, что работник не должен разглашать информацию, которая является коммерческой тайной работодателя и его контрагентов, а также использовать ее в личных целях.
2. Соблюдать требование в течение всего срока работы в компании и в течение закрепленного в договоре срока после увольнения. В противном случае работодатель может потребовать возмещения убытков даже после прекращения трудового договора. Однако есть исключения: если коммерческая тайна была разглашена по вине самого работодателя, третьих лиц или из-за обстоятельств непреодолимой силы (ч. 4 и ч. 5 ст. 11 Закона № 98-ФЗ).
3. Если работник виновен в разглашении коммерческой тайны, то он обязан возместить работодателю причиненный ущерб. При увольнении сотрудник должен передать материальные носители информации, содержащие коммерческую тайну.

Важно: разглашение информации, составляющей КТ, является поводом для принятия мер ответственности, вплоть до увольнения.

Обязанности руководителя по охране коммерческой тайны

В трудовом договоре с руководителем организации необходимо предусмотреть его обязанности по обеспечению сохранности и конфиденциальности информации, которая является коммерческой тайной для организации и ее контрагентов.

Также в договор следует включить положения об ответственности руководителя за сохранение конфиденциальности этой информации в соответствии с частью 6 статьи 11 Закона № 98-ФЗ.

В случае если действия руководителя привели к разглашению коммерческой тайны, он обязан возместить организации убытки, которые она понесла в связи с этим инцидентом. Размер убытков определяется в порядке, установленном в ст. 11 ФЗ-98.

Примерный план Положения о коммерческой тайне

С примерным планом положения о коммерческой тайне можно тут.

В заключение

Введение режима коммерческой тайны на предприятии — важный инструмент по обеспечению безопасности чувствительной информации. Для эффективности функционирования режима коммерческой тайны необходимо провести ряд подготовительных мероприятий: определить перечень сведений, составляющих коммерческую тайну, установить режим КТ и ознакомить с ним работников, создать условия для соблюдения этого режима. Также важно предусмотреть ответственность за разглашение охраняемых сведений.

Соблюдение всех этих мер позволит предприятию обеспечить защиту своих коммерческих интересов и сохранить конкурентоспособность на рынке.