Выбор стратегии защиты при совпадении нескольких режимов конфиденциальной информации

Представьте, что в результате инцидента утекла не просто случайная подборка контактов, а стратегически важная база данных клиентов. Такая информация часто представляет собой многослойный актив: это и массив персональных данных, защищаемый 152-ФЗ, и коммерческая тайна (ключевой актив компании, охраняемый 98-ФЗ), и охраняемая база данных как объект интеллектуальных прав по ГК РФ. Выплата штрафа регулятору за такую утечку – это важный, но промежуточный этап. Фактически, компания лишь исполнила свою обязанность перед государством. Теперь наступает время защитить свои финансовые интересы и спросить с реального виновника: будь то недобросовестный сотрудник или подрядчик.

Ключ к успеху – в правильном выборе вида конфиденциальной информации. Каждый из законов, под охрану которых подпадает утекшая информация, предлагает свои механизмы защиты и взыскания ущерба. Ошибка в выборе основного «правового рычага» может свести усилия на нет. Пытаться взыскать миллионы, опираясь только на нормы о персональных данных, – стратегия с низким КПД. Напротив, грамотная комбинация требований из разных отраслей права создает неопровержимую позицию.

ИНФОРМАЦИЯ КАК ОБЪЕКТ КОММЕРЧЕСКОЙ ТАЙНЫ

В соответствии с ч. 5 Указа Президента РФ от 06.03.1997 N 188 “Об утверждении Перечня сведений конфиденциального характера” к сведениям конфиденциального характера относятся сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна).

В соответствии с п. 1 ч. 1 ст. 3 Федерального закона от 29.07.2004 N 98-ФЗ “О коммерческой тайне” (далее – 98-ФЗ) коммерческая тайна – режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду.

Коммерческая тайна – это не просто данные, а установленный обладателем информации специальный правовой режим ее защиты. Информация становится охраняемой коммерческой тайной только после выполнения обладателем ряда действий, предусмотренных 98-ФЗ.

Согласно ст. 10 98-ФЗ, для установления режима коммерческой тайны обладатель информации, составляющей коммерческую тайну, обязан:

1. Определить перечень информации, составляющей коммерческую тайну. Такой перечень может быть оформлен в виде внутреннего реестра или списка. В него включаются конкретные сведения (технологии, методики, базы данных клиентов, условия контрактов, планы развития и т.д.). Перечень должен быть конкретным, чтобы сотрудники понимали, что именно защищать. Нельзя просто написать «любая информация о хозяйственной деятельности организации».

2. Ограничить доступ к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за его соблюдением.

Это означает создание организационных и технических барьеров: разграничение прав доступа к документам и электронным ресурсам, использование сейфов, паролей, систем DLP (защиты от утечек).

• Вести учет лиц, получивших доступ к информации, и (или) лиц, которым такая информация была предоставлена или передана.

Организация должна вести журналы (электронные или бумажные), где фиксируется, кто, когда и к какой конкретно информации получил доступ. Это касается как сотрудников, так и контрагентов.

• Урегулировать отношения по использованию информации, составляющей коммерческую тайну, с работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров.

Это самый важный практический шаг. В трудовой договор с работниками в обязательном порядке включается условие о соблюдении режима коммерческой тайны. Более того, с сотрудниками, которым доступ к тайне необходим по работе, отдельно заключается соглашение о неразглашении (non-disclosure agreement, NDA) или это условие детально прописывается в дополнительном соглашении к договору. Без этого требовать соблюдения тайны и привлекать к ответственности практически невозможно. В любой договор с контрагентами должен быть включен соответствующий раздел о конфиденциальности или отдельное приложение-соглашение.

• Наносить на материальные носители (документы, файлы, диски) гриф «Коммерческая тайна» с указанием обладателя этой информации (для юридических лиц – полное наименование и местонахождение).

Это визуальное обозначение. Например: «КОММЕРЧЕСКАЯ ТАЙНА. ООО „Пример“, г. Москва». Для электронных документов гриф может быть в «шапке» файла или в свойствах. Отсутствие грифа может привести к тому, что лицо, распространившее информацию, будет освобождено от ответственности, если оно не знало и не должно было знать о ее конфиденциальном статусе.

• Со стороны работодателя должны быть выполнены следующие меры (ст. 11 98-ФЗ):

– ознакомить под подпись работника, доступ которого к информации, составляющей коммерческую тайну, необходим для выполнения им трудовых обязанностей, с установленным режимом коммерческой тайны и с мерами ответственности за его нарушение;

– создать работнику необходимые условия для соблюдения установленного режима;

– прописать в Правилах внутреннего трудового распорядка (ПВТР) положения о защите коммерческой тайны и ответственности за ее разглашение.

ЗАЩИТА ИНФОРМАЦИИ, СОСТАВЛЯЮЩЕЙ КОММЕРЧЕСКУЮ ТАЙНУ

Дополнительно к ответственности можно привлечь лицо, которое неправомерно использует информацию, составляющую коммерческую тайну.

Решение Арбитражного суда г. Санкт-Петербурга и Ленинградской области от 31 мая 2017 г. по делу N А56-91220/2016

Фабула дела: истец создал и поддерживал уникальную базу данных, содержащую более 120 000 записей (контакты клиентов и партнеров, информация о мероприятиях), которая была защищена режимом коммерческой тайны и признавалась объектом интеллектуальных прав (смежных прав на базу данных). Впоследствии был осуществлен несанкционированный доступ к серверу истца, в результате чего была скопирована и загружена в сервис рассылок часть базы данных (более 50 000 записей). Спустя две недели после утечки ответчики начали массовые рекламные рассылки по адресам из базы истца. Все четыре компании-ответчика были связаны общим руководством и координировали свою деятельность.

Что сказал суд: суд сослался на ст. 14.7 Федерального закона от 26.07.2006 N 135-ФЗ «О защите конкуренции», в соответствии с которой не допускается недобросовестная конкуренция, связанная с незаконным получением, использованием или разглашением информации, составляющей коммерческую или иную охраняемую законом тайну.

Суд пришел к выводу, что поскольку сведения о базе данных, о некоторых ее элементах, о почтовых адресах и внутренних контактах сотрудников и работников истца отнесены локальными актами к коммерческой тайне, ее использование третьим лицом без согласия истца является недобросовестной конкуренцией. Ответчики приобретают необоснованную материальную выгоду путем использования сведений, отнесенных к коммерческой тайне истца, а также наносят истцу убытки ввиду падения спроса на услуги истца в связи с недобросовестной конкуренцией ответчиков.

Выводы судов в отношении использования такого способа защиты вполне однозначны и поддерживаются практикой (Определение СК по гражданским делам Четвертого кассационного суда общей юрисдикции от 15 мая 2025 г. по делу N 8Г-10649/2025 [88-12796/2025], Постановление Суда по интеллектуальным правам от 2 октября 2020 г. N С01-1117/2020 по делу N А56-37859/2019).

ПРАКТИЧЕСКИЕ РИСКИ ПРИ ИСПОЛЬЗОВАНИИ РЕЖИМА КОММЕРЧЕСКОЙ ТАЙНЫ

Режим коммерческой тайны не возникает автоматически. Нарушение любого из перечисленных требований ст. 10 98-ФЗ может лишить организацию возможности взыскать убытки с нарушителя в суде или привлечь его к ответственности, так как суд может признать режим коммерческой тайны не установленным.

Решение Ленинского районного суда г. Тюмени № 2-4780/2019 М-3262/2019 от 21 июля 2019 г. по делу № 2-4780/2019

Фабула дела: истец обратился в суд с иском к бывшему работнику о возмещении убытков и взыскании штрафов за нарушение режима коммерческой тайны и обязанности по неразглашению персональных данных. Конкретно это выразилось в:

1) Разглашении коммерческой тайны: ответчик передал конкурирующим организациям конфиденциальную информацию, ставшую ему известной в ходе работы, а именно: клиентскую базу (данные грузовладельцев и перевозчиков), информацию о партнерах и стоимость перевозок;

2) Разглашении персональных данных: ответчик передал персональные данные контактных лиц клиентов.

Что сказал суд: представленные суду доказательства в виде приказа <…> «О неразглашении персональных данных субъекта и коммерческой информации» и Приложения к данному приказу, содержащему перечень информации, которая составляет коммерческую тайну истца, и Обязательство, данное ответчиком, не содержат перечень конкретной информации (за исключением персональных данных водителей, документов на транспортное средство, паспортные данные, контактную информацию клиентской базы в виде контактных телефонов, факсов, электронной почты, почтовые адреса), которая составляет коммерческую тайну.

При этом суд считает, что требования истца о взыскании штрафа за разглашение коммерческой тайны не подлежали удовлетворению, не только по тому основанию, что истцом не представлено доказательств того, какая именно информация была определена истцом как коммерческая тайна; была ли она неизвестна третьим лицам и не могла ли она находиться в общем доступе.

ИНФОРМАЦИЯ КАК ОБЪЕКТ БАЗЫ ДАННЫХ

Согласно ст. 1260 ГК РФ, база данных – это представленная в объективной форме совокупность самостоятельных материалов (статей, расчетов, нормативных актов, судебных решений и иных подобных материалов), систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью электронной вычислительной машины (ЭВМ).

Ключевые признаки для правовой защиты:

1. Объективная форма: существование на материальном носителе (сервере, жестком диске);
2. Совокупность самостоятельных материалов: каждый элемент (запись о клиенте) имеет самостоятельную ценность и значение;
3. Систематизация: данные организованы по определенной структуре (например, таблицы с полями: ФИО, телефон, email, история покупок). Например, простой список в Excel-файле без четкой структуры может не признаться базой данных;
4. Возможность поиска и обработки ЭВМ: фактически, это должна быть именно электронная база, с которой работает программа (CRM, ERP, самописная система и т.д.);

Важно: ГК РФ охраняет базу данных как составное произведение. Право возникает в силу создания базы данных, но для защиты от копирования всей базы данных или ее существенной части требуется соблюдение условий.

НЕОБХОДИМЫЕ УСЛОВИЯ ДЛЯ ПРИЗНАНИЯ БАЗЫ ДАННЫХ ОХРАНЯЕМОЙ В КОНТЕКСТЕ ГК РФ

• Наличие творческого характера при подборе и систематизации данных

Если систематизация данных очевидна и тривиальна (просто поля “имя-телефон-email”, расположенные в алфавитном порядке), суд может посчитать, что творческого труда в создании структуры базы данных не было.

Пример: база, где клиенты просто перечислены в алфавитном порядке по ФИО – скорее всего не будет признана базой данных. База, где клиенты сегментированы по сложным критериям (степень лояльности, LTV, категория интересов, история взаимодействий с присвоенными тегами и статусами), сформированным в результате аналитической работы, – может охраняться как база данных по ГК.

• Необходимость наличия существенных инвестиций

Права изготовителя БД (ст. 1333-1334 ГК РФ) защищают инвестиции (финансовые, материальные, организационные или иные), вложенные в создание БД. Если база клиентов создана “между делом” силами одного сотрудника за короткое время и без видимых затрат, защитить ее как объект смежных прав будет сложно.

Исключение: пункт 1 статьи 1334 ГК РФ содержит опровержимую презумпцию существенности финансовых, материальных, организационных или иных затрат, произведенных в целях создания базы данных, если такая база содержит не менее десяти тысяч самостоятельных информационных элементов (материалов), составляющих содержание базы данных.

• Соблюдение формальностей для защиты инвестиций (смежных прав)

Для защиты прав изготовителя базы данных (того, кто вложил инвестиции) необходимо на всех экземплярах базы данных указывать: наименование изготовителя, год первого выпуска базы данных. Отсутствие этой пометки лишает возможности ссылаться на эти специальные права.

ПРАКТИЧЕСКИЕ РИСКИ ПРИ ИСПОЛЬЗОВАНИИ БАЗЫ ДАННЫХ

При несоответствии базы данных критериям, указанным в ГК РФ, это лишает возможности ссылаться на данный правовой режим охраны в суде. Если бывший сотрудник или конкурент скопирует всю CRM, будет крайне сложно взыскать с него убытки или компенсацию за сам факт копирования структуры и объема данных, если суд не признает ее базой данных.

Постановление Девятого арбитражного апелляционного суда от 16.09.2025 N 09АП-34761/2025 по делу N А40-225753/2024

Фабула дела: истец утверждал, что после прекращения действия договора коммерческой концессии ответчик незаконно скопировал и продолжил использовать базу данных клиентов истца. Ключевые доказательства истца: 98,7% совпадение баз данных — установлено оператором информационной системы YClients при сравнении аккаунтов, подтверждение YClients по факту неправомерного копирования базы данных и её использования в деятельности под своим брендом, уведомление Роскомнадзора — по факту инцидента было направлено уведомление о неправомерной передаче персональных данных.

Что сказал суд: истец не смог доказать наличие охраняемой базы данных, права на которую ему принадлежат, т.к. не представил доказательства своего объема затрат, организационного участия, оригинального порядка систематизации, в связи с чем не может быть признан автором базы данных по смыслу пункта 2 статьи 1334 ГК РФ и пункта 101 постановления Пленума Верховного Суда Российской Федерации от 23.04.2019 N 10 “О применении части четвертой Гражданского кодекса Российской Федерации”.

Таким образом, суд может не признать наличие охраняемой базы данных в следующих случаях:

– сторона спора не смогла доказать существенность затрат на создание базы данных (в случае если база содержит менее десяти тысяч самостоятельных информационных элементов – здесь в пользу заявителя сработает презумпция существенности затрат согласно п. 1 ст. 1334 ГК РФ);

– отсутствует оригинальный порядок систематизации.

ИНФОРМАЦИЯ КАК ПЕРСОНАЛЬНЫЕ ДАННЫЕ

В соответствии с п. 1 ч. 1 ст. 3 152-ФЗ персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Персональные данные могут относиться только к данным о физическом лице. Сведения, относящиеся к организации, например какие-либо финансовые сведения или организационные решения, таким режимом охраняться не будут.

В отношении рисков в контексте обращения к персональным данным следует отметить следующее. 152-ФЗ устанавливает лишь легальное определение этого понятия, при этом отсутствует какой-либо перечень таких данных, который в любом случае будет считаться персональными. Поэтому вопрос того, относится ли тот или иной набор данных к персональным, может разниться от случая к случаю.

Определение Верховного Суда РФ от 21.07.2023 № 305-ЭС23-12160

Суд отверг утверждение Роскомнадзора о том, что адрес электронной почты относится к персональным данным, так как обладает «неизменностью при присвоении и уникальностью». Как и по номеру телефона, без дополнительных идентификаторов по одному адресу электронной почты определить его владельца нельзя. Кроме того, электронный адрес может быть удален его владельцем, после чего другой человек может зарегистрировать такой же адрес.

Как защищаться при утечке персональных данных по вине сотрудника или организации? Можно ли взыскать сумму уплаченных штрафов с подрядчика или сотрудника, по вине которых произошла утечка?

В отношении подрядчиков суды говорят однозначное “да” – сумму уплаченных штрафов можно взыскать как убытки по ГК РФ.

Решение Арбитражного суда Республики Башкортостан от 14 февраля 2024 г. по делу N А07-34409/2023

Фабула дела: рамках договорных отношений подрядчик разместил на публичном веб-сервере файл, содержащий персональные данные заявителей на кредит, без применения каких-либо средств защиты информации. В результате произошла утечка конфиденциальной информации. Банк был привлечен к административной ответственности по ст. 13.11 КоАП РФ (нарушение законодательства о персональных данных) и уплатил штраф в 60 000 руб. Банк обратился в суд с иском о взыскании с подрядчика этой суммы как убытков, понесенных из-за ненадлежащего исполнения договора.

Что сказал суд: принимая во внимание установленные обстоятельства оказания услуг ненадлежащего качества, которые явились причиной назначения истцу административного наказания в виде штрафа, уплаченного им, суд приходит к выводу о наличии оснований для возложения на ответчика меры гражданско-правовой ответственности в виде возмещения истцу убытков.

Ответчик не опроверг доводы истца относительно причинной связи между своим поведением и убытками последнего, не представил доказательства существования иной причины возникновения этих убытков. Причинение убытков истцу находится в прямой причинной связи с нарушением ответчиком обязательств по договору и назначением истцу административного штрафа.

А вот в отношении взыскания суммы штрафов с работников выводы судов не столь утешительны для работодателей.

Определение Четвертого кассационного суда общей юрисдикции от 22.10.2020 по делу N 88-16568/2020

Фабула дела: Федеральное государственное казенное учреждение «Северное региональное управление жилищного обеспечения» Минобороны России (ФГКУ «Северрегионжилье») подало иск к своему бывшему сотруднику о возмещении ущерба в размере 25 000 рублей. Данная сумма представляла собой административный штраф, уплаченный учреждением по ч. 6 ст. 13.11 КоАП РФ за нарушение законодательства о персональных данных. Нарушение заключалось в несоблюдении условий, обеспечивающих сохранность персональных данных (справок о доходах сотрудников) при хранении их материальных носителей, что привело к уничтожению данных. Учреждение ссылалось на то, что ответственный сотрудник уничтожил эти документы, и именно его виновные действия привели к наложению штрафа.

Что сказал суд: штраф за нарушение законодательства Российской Федерации в области персональных данных не может являться основанием для возложения материальной ответственности на работника. Ответчик (работник) не являлся лицом, привлеченным к административной ответственности, следовательно, никаких обязательств и последствий уплата работодателем штрафа для него не влечет.

Сумма штрафа, уплаченная истцом, не может быть отнесена к прямому реальному ущербу, который обязан возместить работник, в противном случае указанное расширяет пределы материальной ответственности работника перед работодателем, установленные положениями главы 39 Трудового кодекса РФ.

Требование о взыскании с работника в виде материального ущерба суммы уплаченного штрафа фактически направлено на освобождение работодателя — юридического лица от обязанности по уплате административного штрафа, наложенного на него в качестве административного наказания, что противоречит целям административного наказания, определенным в статье 3.1 КоАП РФ.

Таким образом, при намерении работодателя взыскать ущерб со стороны, виновной за утечку, необходимо учитывать статус такой стороны при формировании исковых требований.

ПРЕИМУЩЕСТВА И НЕДОСТАТКИ ИСПОЛЬЗОВАНИЯ ОТДЕЛЬНЫХ ПРАВОВЫХ РЕЖИМОВ

Кратко систематизируем всю информацию наглядно.

Вид охраны	Преимущества защиты	Правовые риски
Коммерческая тайна	1. Гибкость: Организация сама определяет перечень охраняемых сведений. 2. Трудовые рычаги: Позволяет уволить сотрудника по пп. “в” п. 6 ч. 1 ст. 81 ТК РФ. 3. Широкий охват: Можно защитить практически любую информацию, имеющую коммерческую ценность.	1. Сложность доказывания: Нужно доказать, что: — информация не является общедоступной; — введен режим коммерческой тайны (приказы, инструкции, ознакомление сотрудников); — информация имеет действительную коммерческую ценность. 2. Высокие организационные издержки: Необходимо постоянно поддерживать режим секретности.
Персональные данные	1. Возмещение убытков: Возможность взыскать с виновного подрядчика уплаченные штрафы как убытки (с сотрудника нельзя)	1. Ограниченный объем защиты: Защищает только сведения, относящиеся к физическому лицу, но не бизнес-процессы. 2. Смещение фокуса: В спорах о недобросовестной конкуренции или утечке базы данных суды часто игнорируют аспект ПДн, если истец на нем не акцентирует внимание.
Исключительные права на Базу Данных	1. Защита инвестиций: Защищает не отдельные данные, а результат существенных финансовых, материальных затрат на сбор и обработку. 2. Сильная правовая презумпция: Если база данных содержит >10 тыс. элементов, затраты на ее создание предполагаются существенными (ст. 1334 ГК РФ). 3. Защита от извлечения: Запрещает копирование даже части материалов, если это противоречит нормальному использованию базы данных.	1. Высокий порог входа: Требуется доказать “существенность затрат”. Если база данных мала или создана без значительных вложений, защита не сработает. 2. Узкая направленность: Защищает именно базу как систематизированный массив, но не отдельные данные или идеи внутри нее. 3. Не защищает от независимого создания: Конкурент может легально создать аналогичную базу данных, собрав информацию самостоятельно.

Таким образом, при конкуренции правовых режимов наиболее выгодной стратегией является указание в иске нарушения сразу нескольких режимов охраняемой по закону тайны, если применимо.

В контексте защиты прав компаний это является наиболее выигрышной стратегией, т.к. не лишает компанию права защищать свои права в случае, если один из режимов охраняемой информации окажется недоказанным (к примеру, суд не признает базу данных охраняемой по ГК РФ или режим коммерческой тайны – введенным в организации).