Аудит режима коммерческой тайны в IT-компании: кейс IT-холдинга с оборотом 3 млрд ₽

Как мы пересобрали систему защиты конфиденциальной информации и сделали её доказуемой в суде

О проекте

К нам обратился крупный IT-холдинг:

• оборот — более 3 млрд ₽;
• штат — 400+ сотрудников;
• распределённая структура группы компаний.

В компании уже существовал режим коммерческой тайны и был подготовлен пакет документов: положение о коммерческой тайне, NDA и регламенты информационной безопасности.

Однако руководство понимало ключевой риск.

Формально режим коммерческой тайны был введён, но было неясно, выдержит ли он судебный спор.

Основная задача проекта — провести аудит режима коммерческой тайны и выстроить систему защиты конфиденциальной информации, которая:

• соответствует 98-ФЗ «О коммерческой тайне»;
• учитывает требования 152-ФЗ о персональных данных;
• работает в реальных бизнес-процессах;
• позволяет защитить компанию в случае судебного спора.

Почему формальный режим коммерческой тайны не защищает бизнес

Многие IT-компании считают, что режим коммерческой тайны введён, если:

• существует положение о коммерческой тайне;
• сотрудники подписали NDA;
• в документах есть формулировка о конфиденциальности.

Судебная практика подтверждает, что этого не достаточно.

Судебная практика: когда компания не смогла защитить коммерческую тайну

Показательный пример — дело о споре между компанией и бывшим сотрудником, который после увольнения создал конкурентный бизнес.

Работодатель утверждал, что сотрудник использовал конфиденциальную информацию и переманил клиентов компании.

Однако суд отказал во взыскании убытков.

Суть спора

(см. подробнее Апелляционное определение Московского городского суда от 18.02.2025 N 33-3480/2025 по делу N 2-4990/2024 (УИД 77RS0029-02-2024-007163-58))

Компания ООО «ЭЛИАС-Новосибирск» обратилась в суд с требованием взыскать убытки с бывшего сотрудника.

По мнению работодателя:

• сотрудник имел доступ к конфиденциальной информации компании;
• после увольнения создал новую компанию, оказывающую аналогичные услуги;
• использовал информацию о клиентах работодателя;
• в результате часть клиентов перешла к новой компании.

В трудовом договоре сотрудника были предусмотрены положения о конфиденциальности:

• обязанность сохранять коммерческую тайну работодателя и его клиентов;
• запрет заключать договоры с клиентами работодателя;
• ответственность за разглашение конфиденциальной информации.

Компания также ссылалась на то, что бывший сотрудник нарушил эти условия и причинил ей убытки.

Почему суд отказал работодателю

Суды первой, апелляционной и кассационной инстанций отказали в удовлетворении требований.

Ключевая причина — компания не смогла доказать существование режима коммерческой тайны.

Суд указал, что работодатель не представил доказательств:

• принятия предусмотренных законом мер по установлению режима коммерческой тайны;
• ограничения доступа к конфиденциальной информации;
• ознакомления сотрудника с перечнем сведений, составляющих коммерческую тайну;
• наличия маркировки «Коммерческая тайна» на документах.

Фактически суд пришёл к выводу, что режим коммерческой тайны не был установлен надлежащим образом.

Что ещё указал суд

Суд также отметил, что истец не доказал:

• факт разглашения конфиденциальной информации;
• причинно-следственную связь между действиями сотрудника и убытками;
• размер причинённого ущерба.

Отдельно было указано, что по трудовому законодательству с работника может быть взыскан только прямой действительный ущерб.

Упущенная выгода взысканию с работника не подлежит.

Почему этот кейс важен для бизнеса

Это дело показывает важную проблему.

Даже если:

• сотрудники подписали NDA;
• в трудовом договоре есть положения о конфиденциальности;
• работодатель считает информацию коммерческой тайной

— этого недостаточно для защиты бизнеса.

Для того чтобы суд признал информацию коммерческой тайной, компания должна доказать, что она:

1. определила перечень сведений, составляющих коммерческую тайну;
2. ограничила доступ к такой информации;
3. ведёт учёт лиц, имеющих доступ к данным;
4. установила порядок обращения с информацией;
5. маркирует документы грифом «Коммерческая тайна»;
6. ознакомила сотрудников с режимом под расписку.

Если этих мер нет, суд может признать, что режим коммерческой тайны фактически не установлен.

Если режим коммерческой тайны введён формально, суд может признать его недействительным, а информация перестаёт считаться коммерческой тайной.

Типичные причины:

• отсутствие маркировки документов;
• отсутствие контроля доступа;
• отсутствие системы учёта информации;
• отсутствие процедуры рассекречивания;
• несоблюдение режима сотрудниками.

Именно такую ситуацию мы увидели в этом проекте.

Что показал аудит режима коммерческой тайны

Мы провели комплексный аудит системы защиты конфиденциальной информации.

Он включал три ключевых блока.

1. Юридический аудит локальных актов

На первом этапе мы проанализировали документацию компании:

• положение о коммерческой тайне;
• NDA и соглашения о конфиденциальности;
• регламенты информационной безопасности;
• порядок маркировки информации.

Мы оценивали не только формальное соответствие законодательству, но и устойчивость режима в судебном споре.

Проверялись:

• соответствие требованиям 98-ФЗ;
• конфликт с 152-ФЗ о персональных данных;
• конституционные ограничения (например, тайна переписки);
• юридическая устойчивость бессрочных обязательств NDA.

Главный вопрос был простым:

сможет ли компания доказать существование режима коммерческой тайны в суде.

2. Анализ фактических процессов

Следующий этап — анализ того, как система работает в реальности.

Мы провели интервью с:

• отделом информационной безопасности;
• юридической службой;
• отделом документооборота.

Это позволило увидеть реальные процессы работы с конфиденциальной информацией.

Были выявлены типичные для IT-компаний риски:

• отсутствие маркировки носителей информации;
• отсутствие процедуры рассекречивания;
• использование общих учетных записей;
• хранение данных на локальных устройствах сотрудников;
• отсутствие регламентов работы с SaaS-сервисами.

По сути режим коммерческой тайны существовал только на уровне документов, но не был встроен в реальные бизнес-процессы.

3. Картирование потоков конфиденциальной информации

Ключевой частью проекта стало картирование потоков информации.

Мы построили карту движения конфиденциальных данных:

1. создание информации;
2. владение;
3. передача;
4. хранение;
5. уничтожение.

Такая карта позволила выявить:

• реальные точки утечки информации;
• сотрудников, имеющих доступ к данным;
• зоны правовой уязвимости.

На практике именно этот этап позволяет увидеть реальную архитектуру информации в компании, а не формальную модель, закреплённую в документах.

Результат проекта

По итогам аудита и внедрения изменений компания получила устойчивую систему защиты коммерческой тайны.

Были реализованы следующие решения:

• переработано положение о коммерческой тайне;
• устранены юридические уязвимости режима;
• синхронизированы требования 98-ФЗ и 152-ФЗ;
• легализована модель BYOD с MDM-контролем;
• внедрён регламент работы с SaaS-сервисами;
• разработан план реагирования на инциденты;
• формализована роль владельца информации.

В результате режим коммерческой тайны стал:

• доказуемым в судебных спорах;
• соответствующим законодательству;
• встроенным в бизнес-процессы;
• применимым на практике.

5 признаков того, что режим коммерческой тайны в компании не работает

По нашему опыту аудитов IT-компаний система защиты информации не работает, если:

1. документы о коммерческой тайне существуют только формально;
2. сотрудники используют общие аккаунты;
3. данные хранятся на личных устройствах;
4. отсутствует контроль SaaS-сервисов;
5. нет системы учёта конфиденциальной информации.

В таких условиях доказать существование режима коммерческой тайны в суде практически невозможно.

Когда IT-компании нужен аудит коммерческой тайны

Аудит системы защиты информации особенно актуален, если:

• компания быстро масштабируется;
• более 50 сотрудников имеют доступ к конфиденциальной информации;
• используется удалённая или гибридная работа;
• планируется инвестиционная сделка;
• проводится due diligence;
• существуют риски ухода ключевых сотрудников.

Управленческий вывод

Защита коммерческой тайны — это не документ.

Это:

• доказательная база;
• архитектура ответственности;
• система управления рисками;
• устойчивость бизнеса к судебным спорам.

Формально введённый режим не защищает компанию.

Защищает система защиты информации, встроенная в бизнес-процессы компании.

Аудит режима коммерческой тайны

Юристы Зарцын и партнеры помогают IT-компаниям выстроить юридически устойчивую систему защиты конфиденциальной информации.

В рамках аудита мы:

• анализируем юридическую модель защиты информации;
• проверяем NDA и внутренние регламенты;
• оцениваем устойчивость режима коммерческой тайны в судебном споре;
• выстраиваем архитектуру защиты конфиденциальных данных.

Это позволяет снизить риск утечки информации и подготовить компанию к инвестиционным сделкам, проверкам и судебным спорам.

Заявка на аудит

Частые вопросы о режиме коммерческой тайны

Что считается коммерческой тайной в IT-компании?

Коммерческой тайной может быть любая информация, имеющая коммерческую ценность: исходный код, алгоритмы, клиентские базы, бизнес-процессы, финансовые показатели.

Достаточно ли NDA для защиты информации?

Нет. NDA — лишь один элемент системы. Для защиты информации необходим полноценный режим коммерческой тайны: маркировка данных, контроль доступа, регламенты обработки информации.

Когда режим коммерческой тайны может быть признан недействительным?

Если компания не может доказать наличие системы защиты информации: перечня сведений, маркировки документов, контроля доступа и соблюдения режима сотрудниками.