О коммерческой тайне: как компании защитить доступ к клиентской базе

HR-cайты пестрят объявлениями: «Примем на работу менеджера со своей клиентской базой». А кому, собственно, эта клиентская база принадлежит? Менеджеру по продажам, собирающему информацию по крупицам, обзванивая и обхаживая клиентов, тщательно фиксируя их контактные данные? Работодателю – владельцу бизнеса, создающему условия, в которых менеджер трудится, повышая свой профессиональный уровень?

Для владельцев бизнеса, работающих с физическими лицами, где конкуренция весьма высока, клиентская база данных становится главным коммерческим секретом. Они вправе выбирать защищать или не защищать его. Также есть выбор: защищать в своих личных интересах или для возможного отстаивания своих прав в судебном порядке.

Что и как нужно предпринять владельцу бизнеса, обладателю коммерчески ценной информации, если он планирует обращаться в суд для отстаивания своих прав в случае их нарушения?

Судебная практика

---

ООО «ЛюксуРита» обратилось в арбитражный суд Саратовской области с иском к своему бывшему работнику о неправомочном использовании персональных данных своих клиентов.

Одним из видов деятельности общества является торговля товарами по каталогам в соответствии с соглашением с OTTO Premium Partner, которая осуществляется следующим образом: покупатели выбирают товары по каталогам, находящимся в офисе предприятия, менеджер принимает заказы и оформляет необходимые документы; заказ поступает в OTTO Premium Partner, где формируются все заказы, затем выбранные товары высылаются в г. Саратов, где принимаются сотрудниками предприятия, покупатели оплачивают и получают заказанные товары.

Юшкова Юлия Владимировна работала в ООО «ЛюксуРита» в должности менеджера, в обязанности которой входило принятие и обработка заказов от покупателей.

Общество, полагая, что Юшкова Ю.В. в период своей работы в должности менеджера в ООО «ЛюксуРита», имея доступ к компьютеру, подключенному по сети Интернет к центру заказов, принадлежащий обществу, скопировала персональные данные 155 клиентов и использовала сведения, составляющих коммерческую тайну истца, в результате чего общество понесло убытки в виде потери контрагентов.

Суд отказал в удовлетворении исковых требований, исходя из того, что истцом не доказано введение ООО «ЛюксуРита» режима коммерческой тайны в отношении своей клиентской базы, а также наличие предупреждения Юшковой Ю.В. о конфиденциальности имеющейся информации.

Такую же позицию заняла апелляционная инстанция, куда общество обратилось с кассационной жалобой.

Комментирует ситуацию Олег Ступин, специалист по информационной безопасности компании «Инфосистемы Джет»:

Защита информации, составляющей коммерческую тайну, регулируется Федеральным законом от 29.07.2004 № 98-ФЗ "О коммерческой тайне".

В данной ситуации организацией были допущены серьезные ошибки при работе с информацией, составляющей коммерческую тайну.

Пункт 1 статьи 10 ФЗ-98 определяет необходимые организационные меры по охране конфиденциальности информации (должен быть установлен перечень информации, составляющей коммерческую тайну, приняты меры по ограничению доступа к этой информации, необходимо вести учет допущенных к информации лиц, отношения по использованию информации работниками должны регулироваться на основании их трудовых договоров).

Статья 11 регламентирует обязанности работника и работодателя по охране конфиденциальности информации в рамках трудовых отношений. Пункт 1 предписывает ознакомление работника под расписку с утвержденным перечнем информации, относящейся к коммерческой тайне, режимом, а также с мерами ответственности за его нарушение. В данном случае не был составлен перечень информации, составляющей коммерческую тайну организации, работник не был ознакомлен под подписку с приказами о режиме коммерческой тайны в организации, ее перечнем, а также с мерами ответственности за нарушение режима.

В результате сложилась ситуация, фактически полностью исключающая удовлетворение иска.

По имеющейся информации были «скопированы данные 155 клиентов». В постановлении не указывается, какие именно данные были скопированы и каков был их реальный объем. Есть два основных сценария:

1) объем информации был не велик (например, контактная информация); 

2) объем был большим (полная история заказов с артикулами, сроками поставок и т.п.). 

Рассмотрим первый случай. Если мы предположим, что были скопированы только контактные данные (телефон и имя контактного лица), то едва ли можно бы было обеспечить их надежную защиту, даже при условии, если бы применялся полный комплекс организационных и технических мер (работа с данными в специально оборудованном помещении оснащенном камерами видеонаблюдения для исключения записи информации на бумагу при помощи, скажем, обычной авторучки, записи на диктофон или фотографирования их на камеру мобильного телефона).

Таким образом, если нарушитель имел доступ к данным на протяжении хоть сколько-нибудь длительного времени, то он мог просто запоминать их и спокойно записывать уже после выхода с работы. Едва ли в этом случае можно будет доказать, что эти данные были взяты именно из этого источника (базы клиентов организации), за исключением ситуаций, когда данные действительно уникальные и не могли быть добыты где-либо еще (но контрагентов можно взять даже из телефонного справочника, не говоря уже об Интернете или более узких источниках информации).

С другой стороны, если события развивались по второму сценарию, объем данных был значительным и требовал переноса информации на физических носителях, таких как флеш-карта, печати на принтере или передачи по общественным каналам связи (например, пересылке по электронной почте или через интернет), то технические меры могли быть очень эффективны.

Как защитить базу клиентов с помощью компьютера

---

Комплекс мер обуславливается способом хранения конфиденциальной информации на компьютере. С одной стороны, если информация хранится в базе данных, доступ к которой осуществляется при помощи специализированной информационной системы (программы, запускаемой пользователем на компьютере). В этом случае сама система может обеспечивать необходимый уровень доступа к информации для зарегистрированных пользователей и автоматически вести запись истории изменений с указанием того, кто, когда и какую информацию просматривал, выгружал или изменял, т.е. журналировать (вести логи) действия пользователя. 

Например, система может позволять выгружать (сохранять данные в файл на диске) и/или печатать информацию одним пользователям и запрещать эти действия другим. Скажем, оператор имеет право вводить информацию о товаре, но не может просматривать контрагентов и не может сохранить полный перечень товаров в файл на диске, менеджер может видеть и редактировать информацию только о своих клиентах, но система не позволит ему увидеть информацию о заказчиках его коллег, а директор имеет право просматривать всю информацию, содержащуюся в системе и строить графики, но не может вносить изменения. Примером такой информационной системы являются продукты компании 1С («Товары и склад», «Бухгалтерия» и т.д.).

При наличии подобной информационной системы можно было бы провести внутреннее расследование и предоставить необходимые доказательства суду (таким образом, доказав, как минимум, что данные были украдены).

При отсутствии достаточного функционала в составе используемого комплекса программ (например, используемая система не умеет вести подробную запись действий пользователей или не позволяет ограничить их права), либо отсутствии информационной системы как таковой (например, все данные индивидуального предпринимателя могут храниться в файлах электронных таблиц, как это позволяет сделать программа Excel, входящая в состав пакета программ Microsoft Office), можно было бы воспользоваться специализированным программным обеспечением, позволяющим блокировать перемещение информации с компьютера на съемные носители информации (запись на флеш-диски, дискеты, CD\DVD диски), например, Zecurion Zlock, который позволяет блокировать подключение к компьютеру внешних устройств.

Помимо всего прочего, существует также программное обеспечение, позволяющее контролировать, а в ряде случаев и предотвращать умышленную, либо случайную утечку конфиденциальной информации не только через диски, флеш-карты и дискеты, контролировать печать, но и отслеживать передачу данных по сети (сетевые диски, электронная почта, интернет, различные мессенджеры: Skype, ICQ и т.п.). Такой функционал предоставляют системы предотвращения утечек конфиденциальной информации (в английской терминологии - DLP, Data Leak Protection). 

Эти программы не только блокируют передачу по каналам утечек конфиденциальных данных, но также в ряде случаев и определяют категорию информации, с которой работает пользователь и принимать решение о том, разрешено ли пользователю данное конкретное действие или нет. И если разрешено, то система просто отправит уведомление администратору безопасности, что, скажем, файл был скопирован с жесткого диска на флешку. 

Если система при копировании обнаружит, что файл содержит конфиденциальную информацию и его копирование запрещено, то она не позволит пользователю скопировать такой файл. К сожалению, системы DLP требуют квалифицированной настройки для каждого конкретного внедрения и поэтому применяются пока только в достаточно крупных компаниях. Примером одной из таких систем может служить Symantec DLP.

Дополнительно можно установить видеонаблюдение, что позволит дополнительно контролировать сотрудника, работающего в системе.