Что включить в соглашение о конфиденциальности с сотрудником?

Сотрудник видит цены, клиентскую базу, условия сделок, чертежи, внутренние отчёты и переписку. Кажется, что достаточно выдать ему соглашение о конфиденциальности на двух страницах и запретить «рассказывать всё третьим лицам». В споре такой запрет часто оказывается слишком размытым. Работнику должно быть понятно, какие сведения он получил, что именно нельзя делать и какие правила действуют после увольнения.

Хорошее соглашение не заменяет порядок работы с информацией внутри компании. Оно связывает конкретного сотрудника с этим порядком: фиксирует круг сведений, способ доступа, допустимое использование, возврат материалов и последствия нарушения. Если в документе перечислены только громкие слова — «секреты», «ноу-хау», «любая информация работодателя» — доказать нарушение бывает заметно сложнее.

Главное. Сначала определите, что именно компания защищает и как сотрудник получает доступ. Затем согласуйте правила с трудовым договором, положением о коммерческой тайне и реальными рабочими процессами.

Соглашение с сотрудником Что защищаем конкретные сведения Кто имеет доступ и для какой работы Как пользоваться без передачи вовне Что вернуть при завершении работы Точные правила проще соблюдать

Чем NDA с работником отличается от обычной фразы в трудовом договоре

В трудовом договоре обычно достаточно закрепить обязанность не разглашать охраняемую законом тайну и соблюдать локальные акты работодателя. Но такая фраза не отвечает на практические вопросы: можно ли сохранять рабочий файл на личный телефон, кому разрешено переслать презентацию, как пользоваться доступом к CRM, что делать с распечатками и когда вернуть выданный ноутбук. Отдельное соглашение удобно именно для этих деталей.

При этом NDA не должно превращаться в документ, который запрещает сотруднику пользоваться профессиональными навыками или сообщать сведения государственным органам в случаях, предусмотренных законом. Защищается информация, а не сам факт опыта работы. После увольнения человек вправе работать по профессии и общаться с коллегами; нельзя под видом конфиденциальности вводить запрет на любую конкуренцию без самостоятельного правового основания.

Основой можно взять соглашение о конфиденциальности с сотрудником , а затем настроить его под должность и реальные источники данных. Для подрядчика или внешнего консультанта нужен иной круг обязанностей: в таком случае уместнее универсальный договор о неразглашении .

Какие сведения можно назвать конфиденциальными

Начните не с общего запрета, а с карты информации. Для отдела продаж это могут быть контакты клиентов, история переговоров, индивидуальные цены и планы закупок. Для разработчика — исходный код, архитектура, ключи доступа, технические задания и внутренние инструкции. Для бухгалтера — первичные документы, финансовые модели, условия финансирования и сведения о зарплатах в той части, в которой доступ действительно нужен для работы.

Лучше группировать сведения по понятным категориям и приводить примеры. Формула «любые сведения, ставшие известными работнику» слишком широка: она захватывает общедоступные факты и личные наблюдения. Формула «клиентская база, включая наименование, контакты, историю заказов и согласованные условия» уже позволяет установить, что именно передано и почему это имеет ценность для компании.

Не включайте в перечень информацию, которую работник может получить из открытого реестра, с сайта работодателя или из рекламной кампании. Если часть сведений уже раскрыта, защищать нужно не сам факт её существования, а непубличные детали: скидку, объём, сроки поставки, личный контакт ответственного лица, внутреннюю стратегию переговоров.

Коммерческая тайна и просто конфиденциальная информация — не одно и то же

Режим коммерческой тайны требует не только подписи работника. Правообладатель должен определить перечень охраняемых сведений, ограничить доступ, вести учёт лиц с доступом, урегулировать отношения с работниками и контрагентами, а также маркировать носители, когда это применимо. Эти меры следуют из Закона о коммерческой тайне.

Поэтому NDA не превращает автоматически любую внутреннюю информацию в коммерческую тайну. Оно может закрепить договорную обязанность не разглашать конфиденциальные данные, но для специального режима понадобятся организационные действия: положение, перечень, правила доступа, ознакомление работников и технические ограничения. В споре работодатель должен показать не только текст запрета, но и то, что сам обращался с информацией как с закрытой.

Если компания ещё не ввела режим коммерческой тайны, не стоит в соглашении уверенно называть все материалы коммерческой тайной. Честнее разделить две категории: сведения, в отношении которых режим уже введён, и иную внутреннюю конфиденциальную информацию. После внедрения порядка перечень можно уточнить отдельным локальным актом и ознакомить с ним работников под подпись.

Как связать соглашение с должностью и доступом

У одного сотрудника не должно быть обязанности отвечать за данные, которых он никогда не видел. В соглашении или приложении полезно указать роль: менеджер по продажам, кадровик, бухгалтер, разработчик, помощник руководителя. Затем перечислить системы и папки, доступ к которым выдан для выполнения трудовой функции. Это не бюрократия: при инциденте будет видно, мог ли конкретный человек получить спорный файл.

Если сотрудник переходит в другой отдел, получает дополнительный доступ или временно участвует в проекте, не обязательно подписывать новое соглашение целиком. Обычно достаточно дополнения, листа доступа или отметки в реестре. Но изменение должно быть документировано, а не оставлено в устной переписке. Иначе через год будет трудно установить, кто имел право видеть финмодель или базу клиентов.

Условия о доступе логично согласовать с трудовым договором и должностной инструкцией. Для удалённого сотрудника проверьте также дистанционный трудовой договор : в нём обычно фиксируют каналы связи, оборудование и порядок обмена документами.

Проверка каждого блока Не опубликовано? проверить источники Есть ценность? для компании Есть у работника? реальный доступ Есть правило? как хранить и передавать Три ответа «да» позволяют включить сведения

Какие действия нужно запретить прямо

Запрет на разглашение — это только один элемент. Отдельно перечислите действия, которые создают риск: копирование базы на личный носитель, пересылка файлов на личную почту, размещение в открытом облачном хранилище, передача экранов и паролей коллегам без допуска, фотографирование рабочих документов, использование внутренних материалов для собственных проектов. Не обязательно делать список бесконечным: он должен отражать реальные способы работы компании.

Одновременно укажите допустимые действия. Например, сотрудник вправе использовать сведения исключительно для выполнения трудовой функции, передавать их коллегам с нужным доступом по рабочим каналам и хранить в утверждённых системах. Такая оговорка защищает не хуже запрета: работник понимает безопасный маршрут и не пытается угадывать, можно ли отправить документ руководителю проекта.

Если в компании используют личные устройства, правило должно быть особенно ясным. Либо личное устройство допускается при выполнении конкретных требований — пароль, шифрование, запрет на передачу другим лицам, удаление данных по требованию, — либо оно не используется для закрытых данных. Формулировка «соблюдать информационную безопасность» без описания режима обычно ничего не меняет в ежедневном поведении.

Персональные данные клиентов и коллег

Клиентская база часто содержит персональные данные: имя, телефон, адрес электронной почты, сведения о заказах. В этом случае одного NDA недостаточно. Работник должен обрабатывать данные только в пределах порученной функции и по правилам оператора. Общие обязанности работодателя как оператора устанавливает Закон о персональных данных.

Не называйте все персональные данные коммерческой тайной. Это разные правовые режимы и разные основания защиты. В соглашении можно сказать, что персональные данные, к которым сотрудник получил доступ, не подлежат разглашению и используются только для работы. А порядок обработки, хранения, уведомлений и прав субъектов лучше закреплять в политике и внутренних инструкциях компании.

Сотрудник также вправе рассчитывать на защиту собственных кадровых данных. Работодатель обрабатывает их по правилам Трудового кодекса; в том числе действует статья 88 ТК РФ об ограничении передачи персональных данных работника. Не смешивайте этот вопрос с обязанностью самого сотрудника не разглашать данные клиентов.

Срок действия и обязанность после увольнения

В документе нужно разделить срок соглашения и срок обязанности хранить информацию. Подписать NDA можно одновременно с трудовым договором, позднее при выдаче доступа или при переходе на новую должность. Обязанность не разглашать закрытые сведения может сохраняться после прекращения работы, но её срок должен быть разумным и связанным с природой информации, а не превращаться в бессрочный запрет на профессию.

Для коммерческой тайны ориентиром служит сохранение режима: пока сведения действительно охраняются и не стали общедоступными, обязанность не раскрывать их имеет смысл. Для проектных материалов можно установить конкретный период после завершения проекта. Для паролей и ключей важнее немедленно отозвать доступ и заменить их, чем рассчитывать только на обещание бывшего сотрудника ничего не использовать.

Не пишите, что после увольнения работник обязан «не использовать любые знания и навыки». Такое условие невозможно честно отделить от профессионального опыта. Защищайте документы, базы, коды, непубличные условия и иные идентифицируемые сведения. Этого достаточно, чтобы правило было понятным и не выглядело попыткой ограничить право на труд.

Возврат документов, техники и доступов

Самый полезный раздел NDA — не про штраф, а про завершение доступа. Укажите, что при увольнении или по требованию работодателя сотрудник возвращает бумажные документы, рабочую технику, пропуска, носители, ключи, токены и иные материальные носители. Для цифровых материалов добавьте обязанность удалить рабочие копии с личных устройств и хранилищ, если их использование было разрешено.

Одного пункта в соглашении мало: нужен реальный процесс. Руководитель сообщает в ИТ-службу о дате ухода, доступы закрываются, техника принимается по акту, корпоративные пароли меняются, а необходимые документы передаются преемнику. Для материальных вещей удобно использовать шаблоны актов и кадровых документов , а не подтверждать передачу устным сообщением.

Если сотрудник работал удалённо, заранее определите адрес и способ возврата имущества. Включите срок, порядок пересылки, кто оплачивает доставку и как фиксируется комплектность. Это защищает обе стороны: работник знает, как закрыть обязательство, а компания не остаётся без доказательств, что ноутбук, бумаги или ключи были возвращены.

Когда сотрудник уходит Закрыть доступы почта и системы Принять имущество техника и документы Передать дела без личных копий Зафиксировать итог акт и отметка в реестре Доступ закрывают в день завершения работы

Ответственность: почему не стоит начинать со штрафа

Крупный штраф, напечатанный жирным шрифтом, сам по себе не доказывает ущерб и не делает условие применимым. В трудовых отношениях материальная ответственность работника регулируется Трудовым кодексом; заранее установленная санкция требует особенно аккуратной оценки. Работодателю важнее иметь доказательства: что сведения были закрыты, работник был ознакомлен с правилами, получил доступ, нарушил конкретную обязанность и это привело к ущербу.

Вместо абстрактной фразы «несёт ответственность по закону» можно указать, что нарушение влечёт дисциплинарные меры и обязанность возместить ущерб в случаях и пределах, установленных законом. Разглашение охраняемой законом тайны, ставшей известной в связи с работой, может быть основанием для прекращения трудового договора по статье 81 ТК РФ, но каждую ситуацию нужно оценивать по её фактам и доказательствам.

Суд будет смотреть не на громкость формулировки, а на цепочку событий: что именно было конфиденциальным, как это передали, кто имел доступ, в чём выразилось раскрытие и какие последствия наступили. Официальные материалы и позиции по трудовым спорам публикует Верховный Суд Российской Федерации; при подготовке к спору полезно искать акты по сходным обстоятельствам, а не по одному слову «NDA».

Как доказать, что сотрудник был ознакомлен с правилами

Подпись под соглашением — основной вариант, но не единственный документ в цепочке. Сохраните лист ознакомления с положением о коммерческой тайне, приказ о введении режима, перечень сведений, журнал выдачи доступа, подтверждение передачи техники и запись о закрытии учётной записи. Эти документы не нужно вручать работнику пачкой без объяснений: лучше выдать только относящееся к его функции и дать время ознакомиться.

Если документы подписывают электронно, заранее установите способ подтверждения личности и сохранения файла. Скриншот из мессенджера с фразой «прочитал» редко заменяет документ, особенно если нельзя установить, кто именно отправил сообщение. Технический маршрут важен не меньше текста: подпись должна быть привязана к финальной версии соглашения, а не к черновику без приложений.

Для нового сотрудника включите NDA в понятный маршрут онбординга: трудовой договор, должностная инструкция, правила доступа, выдача оборудования, обучение. Тогда соглашение воспринимается не как внезапная угроза, а как часть безопасной работы с данными. Руководитель получает шанс сразу объяснить, какие папки нельзя копировать и к кому обращаться при сомнении.

Три рабочие формулировки

О предмете. «Работник обязуется не раскрывать и не использовать вне исполнения трудовых обязанностей сведения, отнесённые Работодателем к конфиденциальной информации и предоставленные Работнику в связи с работой, в том числе сведения, указанные в приложении к настоящему соглашению».

О допустимом использовании. «Работник использует конфиденциальную информацию только в объёме, необходимом для выполнения порученной трудовой функции, и передаёт её исключительно лицам, которым Работодатель предоставил соответствующий доступ».

О завершении доступа. «При прекращении трудового договора либо по требованию Работодателя Работник возвращает материальные носители и имущество, а также прекращает использование и хранение рабочих копий информации на личных устройствах в порядке, установленном Работодателем».

Формулировки — основа, а не готовый ответ на все случаи. Перед включением проверьте, существует ли приложение с перечнем данных, действительно ли сотрудник работает с ними и как компания контролирует доступ. Иначе красивый пункт останется отдельно от ежедневной практики.

Частые ошибки работодателя

Первая ошибка — требовать подпись уже после конфликта и задним числом. Вторая — выдавать одинаковый текст директору, кадровику, курьеру и внешнему исполнителю. Третья — перечислять закрытые сведения, но не ограничивать доступ к ним в системах. Четвёртая — хранить единственный экземпляр соглашения в личной папке руководителя без приложений и доказательств ознакомления.

Не менее рискованна попытка заменить NDA обещанием работника «не портить репутацию компании». Конфиденциальность и отзывы о работодателе — разные вопросы. Соглашение не должно запрещать работнику защищать свои права, обращаться в инспекцию, суд или правоохранительные органы. Чем точнее отделены защищаемые документы от законных действий человека, тем жизнеспособнее условие.

Наконец, не стоит забывать о руководителях и совместителях. У директора может быть самый широкий доступ, но применяются иные корпоративные документы; у совместителя — несколько работодателей и повышенный риск случайного смешения файлов. Используйте соответствующие условия в трудовом договоре с директором или договоре с совместителем .

Перед подписанием Есть перечень? не общий запрет Есть доступ? по должности Есть порядок? хранение и передача Есть возврат? доступов и материалов Если нет — сначала настройте процесс

Короткий порядок действий

Соберите руководителей направлений и составьте перечень не общих «секретов», а конкретных категорий данных. Сопоставьте их с должностями и системами доступа. Проверьте, введён ли режим коммерческой тайны и какие локальные акты уже действуют. Затем подготовьте соглашение, приложение с перечнем и маршрут ознакомления.

После подписания не оставляйте документ без движения. Ограничьте технический доступ, ведите учёт выданных прав, обучите сотрудника безопасным каналам передачи и продумайте процедуру увольнения. Если процесс существует только в тексте NDA, он не защитит компанию в момент, когда понадобится быстро отозвать доступ или подтвердить нарушение.

Нужно ли включать в соглашение сведения о зарплате

Вопрос о зарплате часто формулируют слишком широко: «работнику запрещается обсуждать размер оплаты с кем бы то ни было». Такой запрет не решает задачу работодателя и легко создаёт конфликт. Для бизнеса могут быть чувствительными внутренняя система премирования, бюджеты на персонал, финансовые показатели подразделения и условия конкретных переговоров. Но эти сведения следует описывать точно, а не превращать NDA в запрет на любые разговоры сотрудников о работе.

Разумный подход — отделить данные, которые сотрудник видит в связи с кадровой или финансовой функцией, от сведений о собственной оплате и законных способах защиты трудовых прав. Кадровик, который обрабатывает персональные данные коллег, действительно обязан не передавать их без основания. Менеджер, которому известен только его личный оклад, находится в другой ситуации. Универсальная оговорка без учёта роли принесёт больше вреда, чем пользы.

Если компания хочет защитить схему бонусов, закрепите условия доступа: кто получает расчёты, где они хранятся, кому их можно передавать и какие документы подлежат возврату. Такой режим выглядит естественно и для работников, и для суда. Он защищает рабочие материалы, не создавая впечатления, что работодатель запрещает людям обсуждать собственные права.

Как работать с подрядчиками и сотрудниками в одном проекте

В одном проекте нередко участвуют штатные работники, самозанятые специалисты, агентства и фрилансеры. Не подписывайте со всеми один и тот же файл только ради удобства. У работника есть трудовая функция, внутренние правила и трудовое законодательство. У внешнего исполнителя — гражданско-правовой договор, результат работы и отдельный порядок передачи материалов. Обязанность о конфиденциальности должна учитывать эту разницу.

Полезно строить единый стандарт из двух уровней. Первый — перечень данных и правила информационной безопасности, одинаковые для всех допущенных лиц. Второй — договорное оформление: для сотрудника это соглашение и локальные акты, для подрядчика — пункт в договоре услуг или отдельный NDA. Тогда компания не теряет единый режим, но не переносит трудовые конструкции на человека, который не состоит в штате.

Перед открытием доступа внешнему лицу проверьте, действительно ли ему нужны все данные. Дизайнеру может быть достаточно обезличенного технического задания, а бухгалтеру подрядчика — итоговых цифр без клиентской базы. Принцип минимального доступа уменьшает риск ещё до подписания документов. Чем меньше закрытых материалов передано без необходимости, тем проще контролировать их судьбу.

Нужны ли отдельные правила для мессенджеров и облачных папок

Да, если сотрудники используют их в работе. Само NDA не сможет определить, какая папка является рабочей, кто администрирует ссылку и что делать, когда уволился владелец учётной записи. В соглашении можно установить общую обязанность использовать одобренные работодателем каналы. А конкретные сервисы, настройки доступа, резервные копии и сроки хранения лучше описывать в короткой инструкции, которую проще обновить при изменении процессов.

Не стоит требовать абсолютного запрета на любой обмен файлами вне офиса, если компания сама организует удалённую работу. Вместо этого определите безопасный минимум: рабочая учётная запись, двухфакторная защита, отсутствие общего пароля, запрет на публичные ссылки и немедленное сообщение при потере устройства. Сотруднику легче выполнить понятное правило, чем угадывать, что именно руководитель считает нарушением.

Для особенно чувствительных данных полезно установить разные уровни доступа. Обычные коммерческие предложения можно передавать внутри проекта, финансовую модель — только ограниченному кругу, а ключи доступа — через специальный менеджер секретов. Эти уровни нужно отражать не только в инструкции, но и в технических правах. Иначе документ требует осторожности, а система одновременно раздаёт доступ всем сотрудникам отдела.

Что делать при подозрении на утечку

Не начинайте с обвинения сотрудника. Сначала сохраните следы: журналы доступа, копии файлов, служебную переписку, сведения о выданной технике и даты отзыва прав. Остановите дальнейшее распространение: закройте ссылку, смените пароль, отзовите токен, предупредите администратора системы. Это практическая защита бизнеса, а не наказание. Чем быстрее ограничен доступ, тем меньше возможный ущерб.

Далее определите, какие именно сведения ушли, кому могли стать доступны и есть ли среди них персональные данные. Не отправляйте всем сотрудникам письмо с подробностями инцидента: оно само может расширить круг осведомлённых. Создайте небольшую рабочую группу, зафиксируйте действия и проверьте, какие обязанности по уведомлению и защите данных возникают в конкретной ситуации.

Беседу с работником лучше проводить после того, как собраны базовые факты. Дайте ему возможность объяснить обстоятельства: иногда файл был направлен клиенту в рамках обычной работы, ссылка создана автоматически, а личное устройство использовалось с разрешения руководителя. Справедливое расследование помогает отличить ошибку процесса от умышленного раскрытия и выбрать соразмерные дальнейшие действия.

Когда соглашение стоит обновить

Пересмотрите NDA при внедрении новой CRM, переходе на удалённый формат, запуске нового продукта, появлении доступа к исходному коду, покупке бизнеса или реорганизации отдела. Старый документ может оставаться действующим, но не охватывать новую категорию данных или новый способ их передачи. Обновление не означает, что нужно каждый год переподписывать одинаковый текст: достаточно изменить приложение, положение или правила доступа, если это предусмотрено структурой документов.

Хороший повод для проверки — ситуация, когда руководитель не может быстро ответить на три вопроса: какие данные доступны работнику, где зафиксирован доступ и как он будет закрыт. Если ответ ищут по личным чатам и разрозненным таблицам, проблема не в качестве подписи, а в самом процессе. NDA должен быть его понятной частью, а не единственным документом, на который надеются после инцидента.

Наконец, обновление полезно проводить без конфликта и аврала. Объясните сотрудникам, что меняется: новый инструмент, новый перечень клиентов, новый порядок использования личных устройств. В такой атмосфере вопросы задают до нарушения, а не после него. Это обычно ценнее для компании, чем самый строгий пункт об ответственности.

Источники

Федеральный закон «О коммерческой тайне».

Федеральный закон «О персональных данных».

Трудовой кодекс Российской Федерации: статьи 81 и 88.

Верховный Суд Российской Федерации — официальный сайт и поиск судебных материалов.

Суханов Е. А. Гражданское право: в 4 т. Том 3. Обязательственное право. М.: Волтерс Клувер, 2005.

Алиса Киселёва, юрист

Автор статьи, юрист (г. Казань)

Содержание статьи

Пожалуйста, подождите…