Немедленные действия, если кража уже произошла
Первые часы после обнаружения хищения критически важны. Ваша цель — локализовать угрозу, собрать доказательства и начать юридическую защиту. Немедленно ограничьте доступ к базе данных и другим критически важным системам.В идеале оставить доступ только для топ-менеджмента или ИТ-безопасности на время расследования. Такая оперативная блокировка критически важна, если есть подозрение, что ваш недоброжелатель действовал не в одиночку, а с подельниками. Отсекая лишних от данных, вы рубите на корню возможность эффекта домино – когда одна кража тянет за собой новые сливы (ст. 10 Федерального закона от 27.07.2006 № 149-ФЗ (ред. от 24.06.2025) "Об информации, информационных технологиях и о защите информации").
Обращение в органы правопорядка — ключевой шаг.
Подавайте заявление о краже (ст. 158 УК РФ) или, что более релевантно, о незаконном получении и разглашении сведений, составляющих коммерческую тайну (ст. 183 (Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну) УК РФ).К заявлению приложите: документы, подтверждающие ценность базы и режим коммерческой тайны, трудовой договор с пунктом о КТ, соглашение о неразглашении (NDA) с подписью сотрудника. Также приложите технические доказательства: логи доступа, записи камер видеонаблюдения (если зафиксирован момент копирования), скриншоты активности сотрудника в базе.
Не забудьте добавить акт о нарушении. Его составляет комиссия по факту инцидента (Трудовой кодекс РФ, ст. 193 (Порядок применения дисциплинарных взысканий)).
Если в украденной базе содержались персональные данные клиентов (ФИО, телефоны, адреса и т.д.), вы обязаны уведомить Роскомнадзор в течение 24 часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента.
Необходимо также предоставить информацию о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных по вопросам, связанным с выявленным инцидентом. В течение 72 часов следует сообщить о результатах внутреннего расследования инцидента, а также, при наличии, предоставить сведения о лицах, чьи действия стали его причиной. (Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 28.02.2025) "О персональных данных", ст. 21).
В уведомлении укажите категории и объём похищенных данных, вероятные последствия утечки, меры, которые вы приняли для устранения последствий, а также результаты внутреннего расследования (их необходимо предоставить в РКН в течение 72 часов после уведомления).
Штрафы за нарушения в этой сфере после ужесточения законодательства значительны для компаний и ИП: от 1 до 3 млн руб. за сокрытие утечки (ч.11, ст.13.11 КоАП РФ); от 3 до 5 млн руб. за саму утечку по вине оператора (ч.12, ст.13.11 КоАП РФ.); от 15 до 20 млн руб. за утечку биометрии (ч.17. ст.13.11. КоАП РФ).
Наказание или увольнение сотрудника-вора
Важно!
Да, такого сотрудника можно наказать или уволить, но только при соблюдении ряда строгих условий — в противном случае суд, скорее всего, встанет на сторону работника. Ключевым фактором является наличие доказанного режима коммерческой тайны (КТ).
Под доказанным режимом коммерческой тайны понимается следующее. Недостаточно просто считать клиентскую базу конфиденциальной — ей должен быть официально присвоен статус охраняемой информации. В компании должно существовать действующее «Положение о коммерческой тайне», в котором прямо указано, что именно клиентские базы данных (или их важные элементы — например, контактная информация, история покупок, особые условия) отнесены к сведениям, составляющим КТ.
Сотрудник должен быть ознакомлен с этим положением и перечнем охраняемых сведений под подпись (ст. 11 Федеральный закон от 29.07.2004 № 98-ФЗ (ред. от 08.08.2024) "О коммерческой тайне"). Кроме того, в трудовом договоре должен содержаться пункт о неразглашении КТ и последствиях её нарушения (ТК РФ, ст. 57), а также должно быть подписано отдельное соглашение о неразглашении.
В компании также должны быть реально внедрены меры по ограничению доступа к соответствующим данным: использование паролей, разграничение прав доступа, запрет на копирование и т.д. (ст. 10 Федеральный закон от 29.07.2004 № 98-ФЗ (ред. от 08.08.2024) "О коммерческой тайне"). Без этого суд может признать, что работодатель сам не обеспечил надлежащую защиту данных.
Если работодателем был надлежащим образом установлен и соблюден режим коммерческой тайны, а вина сотрудника в краже клиентской базы доказана, к нему может быть применено несколько видов ответственности.Уголовная ответственность наступает по факту подачи заявления в полицию; при подтверждении факта преступления может быть возбуждено дело по статье 183 УК РФ (Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну). Максимальное наказание по этой статье предусматривает лишение свободы на срок до 5 лет.
Параллельно с уголовным преследованием (или вместо него, если дело не возбуждено) работодатель вправе применить трудовые санкции. При наличии документально подтвержденного факта разглашения сведений, составляющих коммерческую тайну (докладная записка, акт о нарушении, материалы служебного расследования, доказательства хищения), увольнение сотрудника (по пункту "в" части 6 статьи 81 ТК РФ) является законным и обоснованным. Оно прямо предусмотрено для случаев разглашения охраняемой законом тайны (включая коммерческую).
Сотрудник, причинивший ущерб своими действиями, несет материальную ответственность. (В соответствии со статьями 238 ТК РФ (Материальная ответственность работника за ущерб, причиненный работодателю) и 243 ТК РФ (Случаи полной материальной ответственности). Работник обязан возместить работодателю прямой действительный ущерб, возникший в результате хищения или разглашения клиентской базы. Размер компенсации определяется в судебном порядке путем подачи искового заявления к бывшему сотруднику.
Способы защиты бизнеса от кражи клиентской базы
Профилактика всегда дешевле и эффективнее борьбы с последствиями. Технические и организационные меры должны работать в комплексе.Юридический фундамент заключается в разработке и внедрении Положения о коммерческой тайне с чётким включением клиентских баз данных в перечень охраняемых сведений (Федеральный закон от 29.07.2004 № 98-ФЗ (ред. от 08.08.2024) "О коммерческой тайне"). Необходимо заключать соглашения о неразглашении со всеми сотрудниками, имеющими доступ к этим данным, а также включать обязательства о сохранении конфиденциальности в трудовые договоры (ст. 57 ТК РФ, ст. 11 Федеральный закон от 29.07.2004 № 98-ФЗ (ред. от 08.08.2024) "О коммерческой тайне"). Важно регулярно проводить инструктажи по вопросам информационной безопасности.
Техническая защита данных предполагает, что менеджеры работают только со своими сегментами базы. Эффективными являются запреты на копирование и экспорт данных. Системы (CRM, DLP) должны быть настроены таким образом, чтобы блокировать массовое копирование, выгрузку данных в Excel или на внешние носители.
Также необходимо вести мониторинг активности пользователей, включая логи доступа и действий в базе, а также применять системы предотвращения утечек (DLP) и блокировать нежелательные ресурсы.
Культура безопасности формируется через воспитание у сотрудников понимания ценности данных и последствий их хищения. Важно показывать, что обеспечение безопасности — это также забота об их собственных интересах, поскольку стабильность компании напрямую связана со стабильностью рабочих мест.
Вывод:
Подведём итоги. Даже если вина сотрудника говорит сама за себя, суд может молчать. Потому что ключ к победе лежит не в самом факте кражи, а в том, какой фундамент защиты вы заложили. Обязательно защищайте базы. Это ваш шанс снизить риск хищения данных.
