Komercnoslēpums – tā aizsardzības mehānismi organizācijās

Facebook
Twitter
LinkedIn
WhatsApp
Telegram
Email

Komercnoslēpuma jēdziens

LV portāla infografika, Avots: Komercnoslēpuma likumprojekts

Komercnoslēpums – Ar komersanta uzņēmumu saistītas
saimnieciska, tehniska vai zinātniska rakstura lietas, un informācija, katra
fiziska vai potenciāla mantiska vai nemantiska vērtība, kuras nonākšana citu
personu (īpaši — konkurentu) rīcībā var radīt zaudējumus komersantam un
attiecībā uz kuru komersants ir veicis saprātīgus slepenības saglabāšanas
pasākumus. (Ekonomikas un finanšu
vārdnīca. Rīga, Norden AB, 2003.)

Tāpat komercnoslēpuma sastāvs un apstākļi ir definēti arī
Latvijas likumdošanā – Komerclikuma 19.pantā, kur rakstīts šādi – 

(1) Komercnoslēpuma statusu komersants var piešķirt tādām saimnieciska, tehniska vai zinātniska rakstura lietām un rakstveidā vai citādā veidā fiksētām vai nefiksētām ziņām, kuras atbilst visām šādām pazīmēm:
1) tās ietilpst komersanta uzņēmumā vai ir tieši ar to saistītas;
2) tās nav vispārpieejamas trešajām personām;
3) tām ir vai var būt mantiska vai nemantiska vērtība;
4) to nonākšana citu personu rīcībā var radīt zaudējumus komersantam;
5) attiecībā uz tām komersants ir veicis konkrētai situācijai atbilstošus saprātīgus komercnoslēpuma saglabāšanas pasākumus.
(2) Komersantam ir izņēmuma tiesības uz komercnoslēpumu.
(3) Komersantam ir tiesības prasīt komercnoslēpuma aizsardzību, kā arī to zaudējumu atlīdzību, kuri radušies komercnoslēpuma prettiesīgas izpaušanas vai izmantošanas rezultātā.

Tātad, vienkārši izsakoties, tā ir jebkura informācija(par kaut ko), kuras “izkļūšana” no uzņēmuma var būtiski negatīvi ietekmēt uzņēmējdarbību.

Aizsardzības mehānismi organizācijā

Vispārējā situācija

Laikā, kad inovācija un pārākas zināšanas nosaka
līderpozīcijas, saglabāt šos komercnoslēpumus, kas ietver procesu aprakstus,
tehniskas inovācijas un dažādas formulas, uzņēmuma īpašumā ir īpaši svarīgi,
lai šo līderpozīciju saglabātu. Par piemēru var ņemt Coca-Cola, kuras formula
vairākus gadu desmitus bija izvirzījusi to par absolūto līderi dzērienu
industrijā. Tāpat arī Google un Facebook meklēšanas algoritmi vai tehniskā
informācija, vai jebkura cita liela un attīstīta produkta/kompānijas veiksmes
atslēga ir tieši pārākas zināšanas pār sāncenšiem un, protams, tādēļ šīs
vērtības tiek aizsargātas kā komercnoslēpums.

Pateicoties tam, ka komercnoslēpumu loma ir pieaugusi, to
zādzības un ļaunprātīgo izmantošanu skaits arvien vairāk pieaug.
Komercnoslēpumu zādzība un ļaunprātīgo lietošanu iemesli ir dažādi un šos
pārkāpumus veic dažādi “aktīvisti” – konkurenti, ļaunprātīgi darbinieki,
organizētās noziedzības grupas, “hacktīvisti” un pat valstis.

Komercnoslēpuma zādzība vai ļaunprātīga izmantošana var
nodarīt postošas sekas uzņēmuma ienākumiem, konkurētspējai un reputācijai.
Salīdzinoši bieži medijos parādās gadījumi ar globālām(un ne tikai) kompānijām,
kuru datorsistēmām ir bijuši kiberuzbrukumi, kā rezultātā ir notikusi datu
noplūde. Pieaugošā kibernoziedzības tendence ir padarījusi IT drošību par vienu
no aktuālākajām veiksmīgas uzņēmējdarbības atslēgām.

Uzņēmumi visā pasaulē ir sapratuši, ka ieviest dažādas
prasības, mehānismus un drošības faktorus viscaur viņu uzņēmumam ir
nepieciešams, lai pasargātu to komercnoslēpumus pret nozagšanu vai ļaunprātīgu
izmantošanu. Līdz šim, uzņēmumi ir ieviesuši dažādus aizsardzības veidus.
Pārskatīt un uzlabot informācijas tehnoloģijas, fizisko drošību, tehniskās
sistēmas un procesus, lai aizsargātu komercnoslēpumu, ir kļuvis par augstu
prioritāti daudziem uzņēmumiem, it īpaši pēdējo gadu augsta-profila uzņēmumu
datu kiberzādzību gaismā. Kā laikraksts “The New York Times” rakstīja – “Kompānijas visā pasaulē ir paaugstinātā
gatavībā, lai pastiprinātu savu tīklu drošību un izvairītos būt nākamajai
kompānijai, kuru hakeri nospiež uz ceļiem, kā tas notika dramatiskajā
kiberuzbrukumā Sony Pictures Entertainment
.”

Turpinājumā mēs aplūkosim dažādus piemērus no kompānijām un
indivīdiem, kas ir izdarījuši nepieciešamos soļus komercnoslēpuma aizsargāšanai
un aplūkosim arī tādus piemērus, kurus tiesas ir analizējušas vai kuri
likumdošanā ir iekļauti, kā “nepieciešamie soļi, lai aizsargātu
komercnoslēpumu”.

Šie piemēri būs gan sākot ar dažādām uzņēmumu politikām,
procedūrām, nolīgumiem un dažādiem citiem mehānismiem ar kuriem pasargāt
dokumentus; gan ar fizisko un elektronisko drošību un konfidencialitātes
prasībām; gan ar risku pārvaldību, kas nodrošina laicīgu komercnoslēpumu
apdraudējumu identificēšanu; gan ar uzņēmumu menedžmentu, pārraudzību un
koordināciju saistītajiem procesiem.

Politikas, procedūras un reģistri

Attēlu rezultāti vaicājumam “Policy”

Uzņēmuma politikas un procedūras, kas nosaka komercnoslēpuma
aizsardzību ir vitāli svarīgas, tai skaitā noteikumi un procesi, kā tiek
noteikts, pārvaldīts un izpausts komercnoslēpums.

Līgumi un cita veida dokumentācija, ko uzņēmumi izmanto, lai
komercnoslēpuma aizsardzību legāli saistītu ar darbiniekiem un trešajām pusēm
ir starp vissvarīgākajām darbībām, kā uzņēmumi cenšas aizsargāt savus
komercnoslēpumus. Komercnoslēpuma atrunas un neizpaušanas līgumi ir
vispopulārākie komercnoslēpuma juridiski-saistošie pasākumi tā aizsardzībai.

Uzņēmumi arī regulāri ievieš dažādas procedūras, kas viņu
konfidencialitātes politiku īsteno, piemēram, procedūra – atzīmēt dokumentus ar
“konfidenciāls”/”ierobežotas pieejamības”, prasība no uzņēmuma aizejošiem
darbiniekiem atgriezt visus materiālus, kas satur sensitīvu informāciju, vai,
piemēram, informācijas sadrumstalošana, kas nozīmē, ka katram darbiniekam ir
pieeja tikai nelielai, viņam nepieciešamai, informācijai, lai veiktu darbu, bet
nekad visai kopējai situācijai.

Drošība un konfidencialitātes pārvaldība

Īpaši pēdējos gados
pieaugošo kiberuzbrukumu dēļ, efektīva uzņēmuma fiziskās un elektroniskās
drošības pārvaldība ir svarīga, lai nodrošinātu, ka uzņēmums veic nepieciešamos
soļus, lai pasargātu komercnoslēpumu.

Galvenais drošības
sistēmu (fizisko un elektronisko) nepieciešamības iemesls ir, lai pasargātu to
informāciju, kas uzņēmuma darbībai ir pamatā vai tik ļoti nepieciešama, lai
veiktu tās darbības. Aizsardzības mehānismi galvenokārt būs – piekļuve tikai
tiem, kam ir “nepieciešams zināt”. Uzņēmumam jānodrošina piekļuve fiziskai un
elektroniskai drošībai un komercnoslēpumam tikai tiem indivīdiem,
departamentiem un grupām, kurām to ir “nepieciešams zināt”. Uzņēmumā vajag
ieviest ID karšu sistēmu, piekļuves zonas(kontroli), videonovērošanas sistēmas
un apsardzes darbiniekus, kā arī reģistrācijas procesu, lai spētu kontrolēt
cilvēku plūsmu un piekļuvi dažādām telpām un informācijai. Papildus tam,
jānodrošina, ka uzņēmuma darbinieki atbildīgi izturas pret konfidenciālo informāciju
– neatstāj to uz galdiem, uzrakstītu uz tāfelēm, izmestu miskastēs nesagrieztā
formā, vai kā citādi pieejamu un redzamu nepiederošām personām.

Runājot par IT
drošību, ja komercnoslēpums uzņēmumā ir informācijas veidā – finanšu pārskati,
stratēģijas, tehniskie rasējumi utt, tad noteikti jāievieš strikts IT drošības
komplekss – šifrēšana, anti-vīrusi, datoru darbību ierobežošana(mājaslapas,
epasti, programmatūra), paroles unikāliem, katra darbinieka, profiliem.
Iespējams ir arī liegt iespēju kopēt konfidenciālo informāciju uz datu nesējiem
– fiziski izņemot USB portus vai uzstādot attiecīgos ierobežojumus uz
programmatūras.

Var padomāt arī par
ISO 27001 IT drošības standartu ieviešanu uzņēmumā. Un, protams, neizbēgt arī
no procedūrām, kā darbību saskaņošana ar vadību/IT drošības personālu, mācības
par kiberdrošību, darba ierīču lietošanu tikai darba vajadzībām un citiem
darbību veidiem, kas šos IT drošības pasākumus papildinātu.

Lai IT drošība
veiksmīgi strādātu, pašlaik, vēl ir vajadzīga IT speciālistu iejaukšanās
gadījumos, kad tiek pārkāpti IT aizsargmehānismi. Ja uzņēmums ir vidēja/liela
izmēra tad noteikti jābūt IT personālam(vislabākajā gadījumā IT drošības
personālam), kam ārkārtas situācijās būtu iepriekš izstrādāts rīcības plāns, ko
un kā darīt, gadījumos, kad ir noticis pārkāpums.

Neatņemama sastāvdaļa,
protams, ir arī IT un elektronisko sistēmu rutīnas pārbaudes un monitorings,
lai pārliecinātos par to, ka visas sistēmas atbilst uzņēmuma drošības prasībām
un nenotiek neautorizēta piekļuve un, iespējams, komercnoslēpuma noplūšana.

Risku pārvaldība

Uzņēmuma risku
analīzes redzesloks un kvalitāte un risku pārvaldība var būt svarīga
sastāvdaļa, lai identificētu, prioritizētu un ieviestu aizsardzības mehānismus
komercnoslēpuma aizsardzībai.

Uzņēmuma risku
pārvaldība sākas ar riska objekta noteikšanu – mūsu gadījumā tas ir
komercnoslēpums. Risku pārvaldība var palīdzēt arī identificēt un izveidot
komercnoslēpumu reģistru uzņēmumā. Jāpiebilst, ka uzņēmuma komercnoslēpumu
reģistrs tiek prasīts arī dažādās valstīs, kā likums, lai tiktu nodrošināta
komercnoslēpuma aizsardzība. Uzņēmumiem, kuriem ir grūtības identificēt vai
definēt to komercnoslēpumus, to zādzības gadījumā ir grūti tiesas ceļā
pierādīt, ka tā ir bijusi komercnoslēpuma zādzība.

Tātad summējot –
veiksmīgas risku pārvaldības pamatā ir veikt risku analīzi, kas palīdzētu
identificēt risku objektus un draudus tiem. Balstoties uz risku analīzes
rezultātiem, uzņēmumam nepieciešams ieviest risku pārvaldības elementus, lai
šos draudus mazinātu vai novērstu. Papildus tam, tātad, jāievieš ir arī
iekšējais uzņēmuma komercnoslēpumu reģistrs, kuru ik pa laikam var papildināt.
Papildus jāizstrādā ir risku mazināšanas plāns, kurš palīdzēs ar risku
pārvaldību un šo plānu vajag regulāri atjaunot un pārskatīt.

Trešo pušu attiecības

Saistīts attēls

Piegādātāji, biznesa
partneri, klienti un citas svarīgas trešo pušu personas laiku pa laikam var gūt
piekļuvi komercnoslēpumam dažādu iemeslu dēļ – lai izstrādātu pasūtījumus pēc
patentētiem dizainiem, ar īpašiem instrumentiem, ar īpašām zināšanām, vai, lai
novērtētu biznesa investīciju iespējas, vai lai citādāk izmantotu uzņēmuma
informāciju, produktus vai pakalpojumus. Lai izvairītos no situācijām, kad
komercnoslēpums tiek nozagts vai ļaunprātīgi izmantots, ir svarīgi panākt, ka
trešā puse saglabā konfidencialitāti.

Piegādātāji un trešās
puses nereti ir vainojamas pie tā, ka komercnoslēpums noplūst un svarīgākais
aspekts šajās attiecības ir tieši tas, kā uzņēmums ir pārvaldījis attiecības ar
šo trešo pusi.

Kā aizsardzības
mehānismi komercnoslēpumam attiecības ar trešajām pusēm ir šo trešo pušu
padziļināta izpēte (due diligence), izpētē noteikti ir jāiekļauj potenciālās
problēmas komercnoslēpuma aizsardzībā veicot darbības ar konkrēto trešo pusi.

Komunikācija ar trešo
pusi arī ir ļoti svarīgs faktors komercnoslēpuma aizsardzībai. Trešajai pusei
ir jāsaprot, ko uzņēmums no viņas sagaida, kādas ir prasības un, kas ir
jāievēro, lai sadarbība izdotos un komercnoslēpums nenoplūstu.

Vēl viens svarīgs
faktors attiecības ar trešajām pusēm ir rakstiski neizpaušanas(nondisclosure)
līgumi, kuros ir minēti nepieciešamie konfidencialitātes pasākumi, politikas un
procedūras kuras jāievēro. Līgums nodrošina juridisko atbildību par
komercnoslēpuma izpaušanu vai zādzību.

Regulārs attiecību pārskats
ar trešajām pusēm arī ir veiksmīgs faktors, lai nodrošinātu komercnoslēpuma
aizsardzību un attiecību lietderību.

Informācijas drošības personāls

Problēmas var rasties
gadījumos, kad visā uzņēmumā nevienam nav tiešs pienākums rūpēties par uzņēmuma
sensitīvās informācijas drošību vai arī gadījumos, kad uzņēmuma departamenti
savstarpēji nekoordinē savas darbības komercnoslēpuma aizsardzībai.

Daudz funkcionāla
komanda, atbildīga par informācijas drošības pasākumiem uzņēmumā var būt
lielisks risinājums iepriekšminētajai problēmai.

Informācijas drošības
personālam ir jāveic sava risku analīze, kas noteiktu sektorus, kuros ir
darbības ar sensitīvu informāciju un, kuros ir iespējama tās noplūde. Pavisam noteikti šai komandai ir jābūt arī savam vadītājam, kas
uzņemtos atbildību par šīs komandas darbību un kopējo uzņēmuma informācijas
drošības politiku. Visbiežāk tas ir – informācijas drošības pārvaldnieks.

Ja uzņēmums ir liels,
tad ir lietderīgi arī šajā komandā iekļaut darbiniekus, no dažādiem departamentiem,
kas labāk spētu orientēties konkrētos departamenta darbības virzienus un
veiksmīgāk identificēt potenciālos informācijas drošības riskus.

Apmācības

Gadījumos, kad
darbinieki vai trešās puses nezina kādu informāciju viņiem vajadzētu sargāt un
kā tieši sargāt, palielinās risks, ka tieši informācijas trūkums par
aizsardzības pasākumiem būs iemesls komercnoslēpuma noplūdei. Tādēļ ir svarīgi
veikt personāla un trešo pušu pirmreizējo un regulāru atkārtoto apmācību par
to, kas ir komercnoslēpums uzņēmumā un, kā to vajadzētu sargāt.

Mazos uzņēmumos
apmācības var būt mazāk formālas, bet galvenais mērķis ir, lai darbinieki
saprastu, kas ir komercnoslēpums un kā ar to apieties.

Svarīgs elements darbinieku
izglītošanā ir nodrošināt pirmreizējo apmācību. Kad darbinieks uzsāk darbu tas
ir jāiepazīstina ar uzņēmuma politikām un procedūrām, jāpaskaidro
komercnoslēpuma jēdziens un komercnoslēpuma priekšmets organizācijā un, kāda ir
viņa personīgā loma šī komercnoslēpuma aizsardzībā.

 Regulārās/atkārtotās apmācības – pusgada vai
gada pārskatos un apmācībās ir jāiekļauj arī apmācības par konfidencialitātes
politiku, lai atsvaidzinātu darbinieku zināšanas un informētu par jaunākajām
aktualitātēm.

Tāpat ir jāatrod
veidi, kā izglītot arī trešās puses attiecībā pret komercnoslēpuma aizsardzību.
Jāiekļauj regulārās sanāksmēs un atsevišķās apmācībās izglītošana par
komercnoslēpumu.

Jānodrošina
specializētas apmācības tiem, kas strādā tiešā veidā ar komercnoslēpumu vai tā
aizsardzību – Grāmatvedības, lietvedības, ražošanas, IT drošības un
Informācijas drošības personāls.

Monitorings un izvērtējums

Vislabākais veids, kā
aizsargāt komercnoslēpumu ir, kad tas ir nevis vienreizējs pasākums, vai pret
to izturas “kā pagadās”, bet gan, kad tā ir vispārēja pārvaldes sistēma un
process iekš uzņēmuma, kas tiek izmantots, lai monitorētu un izvērtētu
komercnoslēpuma aizsardzību regulāri.

Regulāri aizsardzības
mehānismu pārskati, lai nodrošinātu to atbilstību aktuālajai situācijai ir
būtisks process. Tāpat arī regulāri pārskati pār trešajām pusēm un to rīcībā
esošo komercnoslēpumu aizsardzības pasākumiem ir svarīgi.

Ja uzņēmumam ir
analītiskā kapacitāte un tas ir pietiekoši liels, lai tam būtu lietderīga
izvērtējuma sistēma, tad to var izmantot, lai pētītu aizsardzības mehānismu
efektivitāti.

Labojumi un uzlabojumi

Pēdējā lielā
kategorija komercnoslēpuma aizsardzības mehānismu izklāstā ir sadaļa par
labojumiem un uzlabojumiem. Ir svarīgi, lai gadījumos, kad ir noticis kāds
incidents, tiktu veiktas nepieciešamās darbības tā seku novēršanai un tā
izcelsmes analīzei.

Uzņēmumam ir svarīgi,
lai tā reaģēšana uz incidentiem būtu nekavējoša, jo gadījumos, kad noplūst
komercnoslēpums, kā jau iepriekš tika minēts, var tikt iedragāta uzņēmuma
stabilitāte un pat tirgus pozīcija vai reputācija.

Priekš ātrākas
reakcijas ir jāizstrādā reakcijas plāns, gadījumos kad ir noticis incidents
vai, kad tā iestāšanās ir nenovēršama, iespējams, katra minūte ir no svara,
tādēļ, jābūt skaidrām, vienkārši saprotamām instrukcijām par to, kā tiek
reaģēts uz katru notikumu, lai netiktu zaudēts tik ļoti izšķirošais laiks.

Pēc gadījumiem, kad ir
noticis incidents, obligāti ir jāveic ne tikai incidenta individuālā analīze,
bet jāveic arī pamatcēloņa analīze, lai noskaidrotu, vai uzņēmumā nav kādas
kopējas problēmas/kļūdas, kas var izsaukt citu incidentu atkārtošanos.

Gadījumos, kad ir
veikta incidenta seku likvidācija ir svarīgi arī šos procesus aprakstīt, lai
spētu nākotnei sagatavoties un līdzvērtīgus incidentus, ja tādi notiek, spētu
novērst veiksmīgāk un efektīvāk. Seku likvidācijas rezultātus var iekļaut arī
ikgadējos risku analīzes un pārvaldības pārskatos, lai aktualizētu informāciju
un redzētu, kā konkrētais risks laika gaitā ir mainījies un, iespējams, noteikt
nākotnei tendences.

Kopsavilkums

Saistīts attēls

Neapšaubāmi, ka
komercnoslēpuma aizsardzība ir aktuāla un pēc industriālās revolūcijas paliek
arvien aktuālāka. Konkurences apstākļos pat tāds “sīkums”, kā uzņēmuma
departamentu darbinieku skaits var izrādīties būtisks, lai konkurenti varētu
izdarīt aprēķinus par savu sāncenšu izmaksām.

Atkarībā no tā, kādi
ir uzņēmuma izmēri un vērtība, vajag izdarīt arī secinājumus par to, cik ļoti
daudz mēs vēlamies sargāt savu sensitīvo informāciju un cik daudz tās noplūde
var mūs ietekmēt.

Pārskatāmā nākotnē informācijas aizsardzība paliks arvien aktuālāka, jo arī interesentu skaits par to ir ar tendenci pieaugt.


Papildinformācijai:

Komerclikums
Komercnoslēpumu aizsargās ar atsevišķu likumu