Как защитить информацию компаниям, пока айтишники на удалёнке
Как минимум 200 белорусских ИТ-компаний частично или полностью работают на удалёнке из-за коронавируса. Юристы REVERA Екатерина Ероховец и Ксения Ерофеева считают, что такой формат связан с риском утечки коммерчески ценной информации. Они объясняют, как ввести режим коммерческой тайны в компании и адаптировать его под удаленную работу.
Чтобы защитить в Беларуси коммерчески ценную информацию, компании необходимо ввести режим коммерческой тайны. Для этого нужно:
определить информацию, конфиденциальность которой охраняется;
принять организационно-правовые и технические меры для обеспечения такой конфиденциальности.
Организационно-правовые меры
Ограничение доступа к информации. Безопаснее всего давать конфиденциальную информацию по принципу «as-needed basis», то есть по мере необходимости и в том объеме, который требуется для выполнения обязанностей конкретным работником.
Учет лиц, которые получили доступ к конфиденциальной информации. Законодательных требований к форме такого учета нет. Исторически он ведется в бумажном формате — в соответствующих журналах с проставлением подписей. Это старомодно и неудобно. Можно вести учет в электронном формате, но есть риски того, что в суде не удастся доказать, что конкретное лицо получило доступ к конфиденциальной информации.
Регулирование отношений, связанных с доступом к конфиденциальной информации, с работниками и контрагентами. Основные инструменты: обязательство о неразглашении и соглашение о неразглашении (NDA).
Назначение отвтетственных. Конфиденциальностью в компании может заниматься не только руководитель, но и другие работники. Например, юристы и технические специалисты.
Как правило, все перечисленные выше меры вводят положением о коммерческой тайне. В него включают информацию об охраняемых сведениях, порядке предоставления доступа к ним и обращении с носителями конфиденциальной информации, ответственных лицах, способах контроля за соблюдением режима конфиденциальности, а также об ответственности за его нарушение.
Основное правило: то, что предусмотрено в положении о коммерческой тайне должно быть не просто закреплено на бумаге, а применяться в действительности. Условно: нельзя привлечь к ответственности работника за нарушение установленного положением запрета на доступ к конфиденциальной информации с личного компьютера, если компания-наниматель фактически не обеспечила сотрудника рабочим компьютером, с помощью которого он смог бы выполнять свои обязанности.
Технические меры
Закон «О коммерческой тайне» не устанавливает специальных правил для технических средств и методов обеспечения конфиденциальности. Но при удалённой работе им следует уделить особое внимание. Технические меры можно разделить на два типа:
Охранные меры, которые возлагают обязанности по большей части на работника. Например, устанавливать пароли определенного уровня сложности, переводить устройства в режим блокировки при отсутствии на рабочем месте в течение определенного времени, не использовать личную почту и компьютер в служебных целях. Все это должно быть полно описано в положении. Рекомендуем закрепить эти меры в обязательстве о неразглашении.
Меры контроля. Они касаются в основном нанимателя. Например, устанавливать программы по чтению переписки корпоративной электронной почты и кейлогеры, делать скриншоты и видеозаписи экранов рабочих устройств сотрудников.
Меры контроля могут затрагивать право работника на неприкосновенность частной жизни. Поэтому необходимо:
Предварительно уведомить сотрудника об используемых методах контроля и сообщить ему о способах контроля (программы чтения писем, видеосъемка рабочего стола) и степени контроля (отслеживание всей переписки работника или только ее части, беспрерывный или периодический мониторинг рабочего стола и др.).
Обосновать необходимость контроля. Например, если разглашение информации может повлечь серьезные последствия, установка программы, которая следит за тем, чтобы не копировали информацию на внешние носители, — вполне оправданная мера.
Не допускать безосновательного вмешательства в личную жизнь сотрудника. Например, если при удалёнке работник трудится из дома, крайне сложно обосновать использование тотальной прослушки и видеонаблюдения, так как вы вмешиваетесь в личную жизнь человека.
Получить письменное согласие на использование таких мер.
Что делать сразу после того, как ввели режим коммерческой тайны
Доведите до сведения работников эту информацию, сообщите об изменениях. На удалёнке письменно это сделать сложно (так требует Трудовой кодекс). При надлежащем оформлении перевода на дистанционную работу можно ознакомить по электронной почте, но получить подпись сотрудника всё равно надо. Вышлите копию документа почтой на домашний адрес, приложите лист ознакомления. Сотрудник должен вернуть его с подписью.
Проведите инструктаж по режиму конфиденциальности и принятым изменениям. Подойдет формат видеосвязи, презентаций и памяток.
Пересмотрите соглашения о неконкуренции (при их наличии). Иногда при удаленной работе снижается контроль не только за конфиденциальностью, но и за использованием сотрудниками рабочего времени.
5 советов по конфиденциальности при «удалёнке»
Введите или адаптируйте под условия удаленной работы режим конфиденциальности.
Примите во внимание «домашние» условия работы. Дом — личное пространство, безосновательное вторжение в него недопустимо. Поэтому разумно подойдите к выбору мер, особенно тех, которые могут затронуть право на неприкосновенность частной жизни.
Ограничьте доступ к конфиденциальной информации — предоставляйте его по необходимости для выполнения обязанностей сотрудника.
Написанное на бумаге должно соответствовать действительности. Избегайте в документах положений, которые не будут выполняться из-за очевидной сложности, отсутствия инфраструктуры и т. д.
Обеспечьте удаленную работу сотрудников всей нужной техникой, корпоративной почтой и др.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.