Сотрудник украл клиентскую базу: можно ли его наказать?

Главная / Советы / Сотрудник уволился и забрал базу клиентов компании. Что делать?

И можно ли наказать вора

Вчера из компании ушел менеджер по продажам Воровайкин, а сегодня сделки одна за другой срываются. Оказалось, что Воровайкин унес с собой базу клиентов, которым сейчас продает товар дешевле. Объясняем, можно ли с этим что-то сделать.

Эксперты — Сергей Линник, юрист Московской коллегии адвокатов «Шурпик и партнеры», и Ирина Кириллова, генеральный директор ООО «Элмаф», компании по производству авторского оборудования для благоустройства дворовых и общественных пространств. Записалa Юлия Корнева.

Что предпринять, если сотрудник украл данные компании

Что забирают сотрудники при увольнении

Восемь из десяти увольняющихся сотрудников в России пытаются вынести с собой конфиденциальную информацию компании-работодателя. Чаще всего забирают:

базы клиентов и партнеров — в 38% случаев увольнений;
интеллектуальную собственность — в 22% случаев;
планы развития, маркетинга, продаж — в 18% случаев;
нормативные документы и локальные акты — в 14% случаев.

Получается, что от кражи данных уволенными не застрахован ни один бизнес. Вот что стоит делать, если это уже произошло.

Ограничьте доступ к клиентской базе, чтобы предотвратить дальнейшую утечку. Проверьте, у кого сейчас есть доступ, и оставьте его только для самых надежных и проверенных сотрудников.

Ст. 183 УК РФ — незаконное получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну

Обратитесь в полицию. Напишите заявление в полицию по месту нахождения ИП или организации. В нем попросите возбудить уголовное дело по ст. 183 Уголовного кодека. По ней предусмотрено наказание до 5 лет лишения свободы.

Приложите имеющиеся доказательства кражи:

видеозаписи;
копии документов;
доказательства копирования информации.

По закону о персональных данных нужно сообщить об утечке в Роскомнадзор в течение 24 часов, в течение 72 часов предоставить результаты внутреннего расследования, а также уведомить тех, чьи данные похитили, и принять меры, чтобы подобное не повторялось.

За нарушения, связанные с утечкой данных, предусмотрены штрафы:

за неуведомление об утечке — от 1 до 3 млн руб.;
за утечку по вине компании — от 3 до 15 млн руб. в зависимости от масштаба;
за утечку биометрических данных — от 15 до 20 млн руб.

Проведите беседу с коллективом. Расскажите, какие данные забрал сотрудник, что сейчас происходит, что вы предприняли. Объясните, почему действия бывшего коллеги вредят компании и каждому из сотрудников, ведь в том числе они привели этих клиентов в компанию. Чтобы сохранить старых клиентов, поговорите с ними, предложите специальные условия: удержание существующего клиента всегда дешевле, чем привлечение нового.

Опыт предпринимателя

Ирина Кириллова, генеральный директор ООО «Элмаф»:

«Наша компания производит авторское детское игровое оборудование и малые архитектурные формы для благоустройства территорий. Я слышала от наших партнеров о случаях, когда сотрудники крали конструкторскую документацию, но не верила, что подобное может произойти с нами.

Обнаружить утечку удалось после тревожного сигнала системных администраторов о большом объеме скачанной информации. Ранее мы подстраховались и установили специальное программное обеспечение для отслеживания того, какое количество информации скачано, из каких папок что именно загружено и на какой носитель.

С сотрудницей мы поговорили и записали разговор на камеру, спросили, с какой целью она скачала информацию, куда ее передала. Она не отрицала факт скачивания, но сказала, что информация была нужна ей для удаленной работы, хотя у нее был удаленный доступ к рабочему компьютеру.

У нас было соглашение о неразглашении коммерческой тайны, но сотрудница имела доступ к документу и, когда все вскрылась, унесла его. Мы лишили ее премии, и больше она у нас не работает».

Как наказать сотрудника, укравшего данные

Получится ли наказать сотрудника, укравшего данные, зависит от объема собранных доказательств. Кражу клиентской базы достаточно сложно доказать.

Федеральный закон от 29.07.2004 г. № 98-ФЗ «О коммерческой тайне»

Шансов больше, если сотрудник подписал соглашение о неразглашении коммерческой тайны третьим лицам. Тогда организация может не только обратиться в полицию, но и подать гражданский иск о взыскании убытков. В зависимости от значимости утекшей информации и причиненного ущерба размер взысканных с виновного убытков может измеряться миллионами рублей.

Пример из судебной практики

Нанятый директор уволился, скопировал базу клиентов, открыл конкурирующую фирму и переманил клиентов. Бывший работодатель обратился в суд и потребовал 3 млн руб. за разглашение коммерческой тайны. Суд признал нарушение обязательств и ущерб для компании, удовлетворил исковые требования и постановил взыскать с бывшего директора 3 млн руб.

Но не всегда суд встает на сторону истца в подобных делах. Важно, чтобы работодатель четко указывал в договоре, что относится к конфиденциальной информации, и сам тоже принимал меры для ее защиты.

Пример из судебной практики

При увольнении сотрудник забрал с собой базу клиентов и начал работать на фирму-конкурента. Тогда бывший работодатель обратился в суд. Суд признал, что компания действительно пострадала от действий бывшего сотрудника, но сама не предприняла достаточных мер, чтобы защитить информацию. Одного упоминания о коммерческой тайне в трудовом договоре недостаточно. Даже если в договоре прописана обязанность сотрудника сохранять конфиденциальность, это не освобождает работодателя от ответственности за организацию и обеспечение режима коммерческой тайны.

В определении суда сказано, что режим коммерческой тайны считается установленным в отношении некоторого вида сведений только после того, как были приняты меры по их защите: например, когда исключается доступ к информации, составляющей коммерческую тайну, любых лиц без согласия ее обладателя.

Как защититься от кражи информации

Не храните данные в общих базах и файлах, которые работники могут скачать или распечатать и забрать. Организуйте хранение информации так, чтобы похитить ее было сложно.

Легче всего скачиваются и распечатываются таблицы Google, базы в Excel, PDF в открытом доступе в «Битрикс24» и прочие подобные документы — в общем, все, что легко переслать себе на почту или вовсе скачать одним файлом и отправить на рабочий принтер перед уходом.

Вот основные правила:

Соберите данные клиентов в CRM-системе.
Настройте права доступа. Пусть каждый менеджер видит только своих клиентов.
Назначьте ответственного за базу клиентов, чтобы он отслеживал входы, просмотр и выгрузку данных.
Закрывайте доступ к базе в последний рабочий день увольняющегося сотрудника.
Подготовьте регламент по работе с клиентской базой, где перечислите основные пункты.

Включите эти правила в должностные инструкции и внутренние регламенты, которые сотрудники читают и подписывают.

Также можно установить видеонаблюдение за сотрудниками. По закону для этого нужно разработать положение о видеоконтроле, указать в нем, как будут храниться и уничтожаться записи, и назначить ответственных, а на территории повесить таблички «Ведется видеонаблюдение».

Как составить NDA

Чтобы защитить информацию, подпишите с сотрудниками NDA — соглашение о неразглашении. Чаще всего NDA — это несимметричный договор: одна сторона передает информацию, а другая принимает. Соглашение фиксирует обязательства сторон по защите информации. Еще есть понятие коммерческой тайны — это законодательный режим, требующий специальных мер: утверждения перечня секретных данных, ограничения доступа и маркировки документов грифом «Коммерческая тайна». NDA может защищать любую конфиденциальную информацию, даже если она не отнесена к коммерческой тайне. Оптимально использовать оба механизма: ввести режим коммерческой тайны и подписать NDA с четким описанием охраняемых сведений.

В NDA важно указать корректный предмет соглашения — например, такой: «Работодатель намеревается передать Работнику конфиденциальную информацию, а Работник обязуется принять конфиденциальную информацию, обеспечить сохранность, неразглашение конфиденциальной информации и использовать ее исключительно в целях реализации сторонами взаимных прав и обязанностей в рамках достигнутых соглашений».

Также напишите, какая ответственность есть за нарушение условий договора: например, это может быть взыскание штрафа в сумме десятикратного размера минимальной месячной оплаты труда. Если разглашение конфиденциальной информации стало причиной убытков, то работодатель имеет право взыскать их полностью сверх суммы штрафа.

К соглашению понадобится приложение, где будет опубликован перечень конфиденциальной информации. В документе нужно подробно описать, какая информация считается конфиденциальной — например, это могут быть данные в CRM-системе. Чем конкретнее указаны данные, тем проще потом привлечь сотрудника к ответственности в случае нарушения.

Короче

Если уволенный сотрудник похитил клиентскую базу, ограничьте доступ к данным, чтобы остановить утечку. Напишите заявление в полицию и сообщите об утечке данных в Роскомнадзор, а также расскажите о случившемся сотрудникам.
На виновника можно подать в суд. В зависимости от значимости утекшей информации и ущерба размер взысканных с виновного убытков может измеряться миллионами рублей. Шансы, что иск удовлетворят, выше, если с сотрудником был подписан договор о неразглашении конфиденциальной информации.
Организуйте хранение информации так, чтобы похитить ее было сложно. Настройте права доступа к базе данных, назначьте ответственного, который будет отслеживать вход в систему и скачивание данных.
Подпишите с сотрудниками NDA — соглашение о неразглашении. Укажите в нем, какая ответственность есть за нарушение условий договора — например, взыскание штрафа в размере десятикратной минимальной месячной оплаты труда.

Законы

Советы

Законы