Цей маленький гайд по інформаційній безпеці буде корисний, мабуть, кожній IT-компанії, оскільки ніхто зараз не може обійтися без сейлз-менеджера – людини, який буде приводити клієнтів. Але в той же час особливості роботи сейлза передбачають доступ до бази клієнтів, договорів, які потенційно можуть бути видалені, або завантажені для особистого користування, або передані конкурентам.
Ця стаття навіяна кейсом одного з наших клієнтів – аутсорсингової ІТ-компанії. До нас звернулися клієнти з такою проблемою: сейлз цієї ІТ-компанії крав ліди і передавав інформацію конкурентам прямо через корпоративну пошту! Але давайте по порядку.
Початок
В ІТ-компанію приходить новенький сейлз. Все б добре, та тільки продажі не ростуть, а на ті проекти, які знаходить сейлз, розробників чомусь не беруть. Все, звичайно, закінчилося звільненням через, здавалося б, банальну неефективность, але при проведенні внутрішнього аудиту з’ясувалися такі цікаві деталі.
- Сейлз створював фейкові вакансії або давав неправильні тексти вакансій, через що на проект замовника потрапляли підрядники конкурентів.
- Відмовляв замовників співпрацювати з ІТ-компанією нашого клієнта. Цитата одного з листів: «У мене є знайома команда, яка працює за тим принципом, що ви описали. Якщо цікаво, я можу вас познайомити. До речі, у них є погодинні ставки набагато нижчі, ніж у нас ».
- Не передав якісно Ліди (особисте знайомство, колл з лідом і так далі), замість чого тільки накидав посилань з LinkedIn, що може зробити, по суті, кожна людина і без сейлза.
- І врешті-решт перед звільненням почистив робочу пошту, видалив повідомлення, де відкрито переманював замовників компанії до конкурентів.
- Після розмови з СЕО за такими «неординарним» підсумками співпраці колишній сейлз переконував, що все компенсує, виходив на контакт. Відбулося навіть кілька очних переговорних сесій, де сейлз зображав бажання вирішити спір у досудовому порядку. Але потім, звичайно ж, пішов в впевнену відмову добровільно компенсувати збитки компанії.
Поки що каральна операція знаходиться в активній фазі, але вже зараз я можу розповісти вам, як уникнути подібної ситуації і як зібрати сильну доказову базу в такому випадку.
В IT-бізнесі, як і в будь-якому бізнесі, величезну роль грає не тільки технічна частина, а й комерція.
Одними з найбільш наближених до цієї сторони є сейлзи. У них є доступ до бази даних клієнтів, до комерційних пропозицій, до фінансової документації, та й взагалі до всієї внутрішньої кухні компанії. Як ви вже зрозуміли, при великому бажанні сейлз має на руках всі ресурси, щоб зробити вам боляче (як мінімум – не приводити клієнтів, як максимум – красти Ліди, продавати комерційну інформацію і так далі).
Як якісно організувати роботу сейлз-менеджера з юридичного боку?
Договір на надання послуг / виконання робіт
Зараз все ще можна зіткнуться з тим, що багато IT-компаній працюють або на довірі (з завданнями і звітами в СRMках, системах трекінгу завдань, але все ж без укладення нормального договору), або шаблонно укладають з усіма договори на розробку ПО.
Така ситуація склалася в першу чергу тому, що юридична безпека мало кого хвилює, адже можна ж працювати і так, по-старому. Так чи потрібен договір із сейлзом в принципі? Моя думка – обов’язково!
Якщо він може здатися непотрібним, то рівно до того моменту, поки щось не трапиться. Навіть не знаю, з чим порівняти ту біль, яку відчуває юрист, коли необхідно якось притягати до відповідальності недобросовісних підрядників / працівників, не маючи «сильних» документів за собою.
Намагатися вирішити ситуацію постфактум так само дорого, складно і болісно, як виправляти баги після релізу. Тому юридичне забезпечення вашої діяльності має завжди працювати на превенцію, щоб лише зрідка вже мати справу з наслідками.
Що повинно бути в договорі:
- Предмет. Описуємо максимально детально послуги, які вам буде надавати сейлз. Спочатку необхідно перерахувати їх за КВЕД (зазвичай це 62.02, 63.11, 63.99), далі – деталізувати. Тут діє правило: якщо не прописали в договорі, людина має повне право не робити цього для вас і не понесе ніякої відповідальності у разі порушення.
- Описати весь цикл роботи з лідамі і клієнтами і порядок належної передачі лідів в разі закінчення співпраці (бо ваш сейлз може засмітити вам пошту посиланнями з LinkedIn і сказати, що все передав належним чином, як в нашому випадку).
- Плани продажів і ціноутворення послуг сейлза.
- Перелік програмних сервісів, до яких надається доступ.
- Вказати, що для сейлза створюється аккаунт з доменом компанії. Аккаунт дається сейлзу в користування, але залишається у власності компанії і все що на ньому – власність компанії.
Non-disclosure agreement (NDA)
Договори NDA, NSA і NCA вже заробили собі репутацію формальних папірців, які можна не читати, не тільки тому що наша система права сприймає їх з величезним скрипом, а й тому що вони складені слабо з точки зору юридичної техніки і самі ж юристи-інхауси частіше всього в них не вірять.
Така ситуація склалася через те, що роботодавець виписує (найчастіше купує шаблон або завантажує в інтернеті «рибу») і наповнює є його найжорсткішими умовами по типу:
- Яка інфа буде розглядатися як конфіденційна? Вся!
- Скільки діє зобов’язання щодо нерозголошення? Протягом всього періоду співпраці і 50 років після!
- На яку територію поширюються обмеження? На всю земну кулю!
Працівники зазвичай підписують такий договір посміхаючись, розуміючи, що роботодавець не зможе стягнути штрафні санкції навіть через суд через слабкість договору.
Як виписати NDA, щоб він працював
- Формулюємо чіткий предмет договору. І це не просто формулювання «вся інформація, яка передається виконавцю / працівникові в рамках співпраці», а чіткий перелік такої інформації. В ідеалі в компанії має бути положення про конфіденційну інформацію та комерційну таємницю.
Очевидно, що передбачити вичерпний список інформації, яка відноситься до конфіденційної, неможливо. Але ефективним виходом буде передбачити ознаки, за якими та чи інша інформація може отримати статус конфіденційної або ж комерційної таємниці.
- Факт отримання доступу до інформації. Судова практика спорів по NDA побудована в Україні таким чином, що довести потрібно не тільки факт розголошення, а й в першу чергу факт того, що така інформація в принципі відкривалася співробітнику / підряднику.
У цьому випадку як додаток до NDA краще оформити, як би архаїчно це не звучало, «розписку» співробітника про те, до яких даними він отримав доступ.
- Розраховуємо економічно адекватні штрафи. За свою практику я не бачила NDA c економічно обґрунтованими санкціями. Ця сума завжди визначається навмання ( «а давайте тут ще один нулик допишемо?»). Але насправді вартість шкоди компанії можна прорахувати і більш приземленим способом. Наприклад, визначити вартість одного ліда / клієнта (включаючи зарплату сейлзів, вартість використовуваної техніки, оцінити перспективи і ймовірність співпраці, очікуваний прибуток від клієнта).
Також тут можна зробити маленьку хитрість і передбачити можливість покрити збитки, завдані порушенням NDA, шляхом відшкодування за рахунок оплати підрядника за надані послуги. Це вже більш реальна можливість себе захистити.
- Реальна захищеність інформації. Тут одним NDA не обійдешся. У компанії повинен бути введений окремим положенням режим конфіденційної інформації та комерційної таємниці. Також слід прийняти і додаткові заходи інформаційної безпеки: політика «закритого ноутбука», вимога запаролити всю техніку, яка використовується в роботі, двофакторна аутентифікація і так далі.
- Факт розголошення. Це найбільш складний елемент доказування. Скажу навіть більше, якщо ваш співробітник розголошує комерційну таємницю або конфіденційну інформацію в кулуарах – це практично неможливо довести. Але існують і такі унікальні люди, які віддають лідів наліво прямо зі своєї корпоративної пошти.
Тут вже легше, але треба довести, що тільки ця людина і ніхто більше не мав доступ до даної поштової скриньки (згадуємо пункт з «розпискою»).
Ці всі нюанси завжди потрібно прописувати виходячи з логіки суду, тому що як раз в одному з реальних кейсів суд засумнівався в тому, що листи відправлялися з корпоративної пошти сейлза саме ним, а не кимось іншим, хто мав доступ до пошти. Більш того, в одному з випадків суд навіть вказав на те, що ідентифікація автора листа повинна відбуватись шляхом підписання листа електронним цифровим ключем, але з таким підходом важко погодиться, так як в реальному житті ділові переписки так ніхто не веде.
Співробітник повинен розуміти, що найстрашніше при порушенні NDA – це навіть не космічні штрафи, а репутаційні втрати.
Навіть з урахуванням реалій української судової системи я б все одно подавала позов на порушника NDA. Як мінімум, це варто зробити для того, щоб ім’я такого співробітника / підрядника було в судовому реєстрі і потенційний роботодавець / замовник вже знав, з ким має справу.
І менш правовий спосіб боротьби – правдиві відгуки про співробітника в популярних IT-ком’юніті, адже навряд чи вам захочеться запропонувати людині гідний чек, якщо на минулій роботі він не повернув ноутбук або продав інформацію про замовників на сторону.
Політики, положення, правила та інше
Чомусь розробці загальних внутрішніх документів приділяється незаслужено мало уваги незважаючи на те, що це:
- допомагає не засмічувати загальними умовами основні договори з підрядниками (NDA на 40 сторінок навряд чи подужає навіть найпотужніший юрист, а ви пишете в першу чергу для звичайних людей).
- на підставі таких правил або положень, з якими перед співпрацею ознайомлюються підрядники, можна проводити внутрішні аудити, розслідування. Це ваш карт-бланш з перевірки корпоративної пошти і акаунтів співробітника на предмет «зради» або поведінки, на відповідність вашим внутрішнім політикам (комплаєнс).
Положення і політики – це не тільки формалізовані юридичні документи, а й цінності команди. Виходячи з їх змісту людина відразу зможе визначити, по дорозі йому з вами чи ні.
Юридичний супровід
Юрист – це не та людина, яка напише вам шаблон і не буде нести відповідальності в подальшому, і не ще одна видаткова стаття бюджету, це практично член вашої галери, який гребе разом з вами і повинен бути в тісному контакті з командою і розділяти ризики. Не економте на юридичному супроводі зараз, щоб не переплачувати після.
Оригінал: https://dou.ua/forums/topic/34388/