Безпека бізнесу неможлива без чіткої правової системи захисту активів. Проте багато компаній обмежуються технічними чи фінансовими заходами, залишаючи поза увагою правову складову. Як вибудувати ефективну політику безпеки, і яка у ній роль юриста?
Основні компетенції
У бізнесі юрист уже давно не лише той, хто складає договори чи веде судові спори. Сьогодні правник став «архітектором» правового компонента і має розуміти, що політика безпеки бізнесу - це система взаємопов'язаних заходів, правил і процедур.
Залежно від спеціалізації компанії, акценти в правовій роботі можуть суттєво відрізнятися. Водночас існують базові напрями, які мають бути під контролем юриста у будь-якій сфері діяльності. Йдеться насамперед про інформаційну безпеку, захист комерційної таємниці й персональних даних, участь у формуванні трудових відносин і проведенні внутрішніх розслідувань - адже будь-яка безпека починається з надійних і свідомих працівників. Важливе місце посідає також правовий супровід питань кібербезпеки, фінансової та економічної безпеки, взаємодія із зовнішніми структурами.
Показовим є приклад компанії Equifax, де у 2017 році, за інформацією Reuters, стався витік персональних даних 147 мільйонів осіб. Після інциденту саме юристи відповідали за належне повідомлення регуляторів і громадськості, взаємодію з держорганами, захист бізнесу від позовів і проведення внутрішніх розслідувань. Однак масштаб події виявився настільки значним, що навіть злагоджена юридична робота не змогла запобігти репутаційним і фінансовим втратам компанії.
Юриста зазвичай згадують тоді, коли щось пішло не так. Та саме це підкреслює його значення на всіх етапах побудови безпекової системи. Його роль не зводиться до написання документів - вона охоплює кризове управління, розслідування порушень, захист інтелектуальної власності, забезпечення дотримання норм національного та міжнародного права.
Основні напрями, у яких юрист має бути компетентним, можна умовно поділити на блоки. Залежно від специфіки бізнесу, на цій основі формується модель правової безпеки кожної конкретної компанії.
Ви працюєте на результат - ми скорочуємо шлях до потрібних рішень. LIGA360 - усе необхідне для швидкої й точної роботи з правовою інформацією. Замовте індивідуальну презентацію LIGA360 та спробуйте наші інструменти на практиці вже сьогодні.
Захист інформації
Один із ключових напрямів безпеки будь-якої компанії - захист інформації. У цьому блоці юрист допомагає визначити, які дані становлять комерційну таємницю і потребують спеціального режиму доступу, а також бере участь у розробці правил роботи з інформацією - від заборони використання особистих USB-носіїв до обмеження відправлення службових матеріалів на приватну пошту.
Юрист має долучатися до створення положень про комерційну таємницю та угод про нерозголошення (NDA) з працівниками, контрагентами й підрядниками, чітко прописуючи межі відповідальності за порушення конфіденційності. Вона може бути дисциплінарною, матеріальною, цивільно-правовою або навіть кримінальною - відповідно до ст. 231 Кримінального кодексу України, залежно від змісту договорів і внутрішніх політик компанії.
Після набуття чинності Законом «Про захист персональних даних» більшість компаній зобов'язані дотримуватися встановлених вимог щодо обробки та захисту персональної інформації. Завдання юриста - контролювати законність обробки, дотримання режиму захисту й реалізацію прав суб'єктів даних. Працівники мають бути ознайомлені зі своїми обов'язками, діяти за внутрішніми положеннями та використовувати затверджені зразки згод на обробку персональних даних клієнтів і співробітників. Окремо необхідно врегулювати порядок подання повідомлень про обробку персональних даних і роз'яснити наслідки порушення цих вимог, включно з адміністративною та кримінальною відповідальністю.
|
Юрій Шуліка |
Трудові відносини
Ще один важливий напрям безпеки бізнесу - належне оформлення та дотримання трудових відносин. Юрист має бути залучений на всіх етапах роботи з персоналом - від відбору кандидатів до завершення трудових відносин.
На етапі найму правник консультує щодо законності запитів і перевірок кандидатів, зокрема щодо отримання довідок про відсутність судимості або інших обмежень, передбачених законом. При оформленні трудового договору він контролює наявність положень про конфіденційність, відповідальність, дотримання внутрішніх правил і політик компанії.
У разі порушень юрист має забезпечити проведення службового розслідування із дотриманням трудових прав працівника, належним оформленням актів, пояснень та інших документів, а також законність рішень щодо застосування дисциплінарних заходів чи звільнення.
Окремий напрям - формування корпоративної культури. Юрист бере участь у розробці внутрішніх політик, спрямованих на запобігання булінгу, дискримінації, сексуальних домагань та інших форм неналежної поведінки. Такі документи не лише знижують ризики конфліктів, а й підвищують рівень довіри та безпеки в колективі.
Кібербезпека
Юрист не зобов'язаний бути IT-фахівцем, однак має чітко розуміти правові аспекти кіберзахисту й брати участь у формуванні відповідної нормативної бази компанії. Йдеться про розробку політики кібербезпеки, правил користування корпоративною електронною поштою, інтернетом і хмарними сервісами, а також про участь у створенні плану дій у разі кібератак - витоку даних, DDoS-атак чи зламу внутрішніх систем.
До обов'язків належить підготовка алгоритмів повідомлення регуляторів і клієнтів у випадку інцидентів, а також координація взаємодії з правоохоронними органами. Водночас він повинен забезпечити врахування питань кібербезпеки в договірній роботі: передбачити в договорах з підрядниками відповідальність за порушення режиму захисту даних, умови обробки інформації, порядок реагування у разі витоку та вимоги до інформаційних систем, через які здійснюється обмін даними.
Фінансова та економічна безпека
Важливе місце юриста також і в питаннях, пов'язаних із запобіганням шахрайству та корупції. Це передбачає участь у розробці антикорупційної політики, навчанні персоналу, проведенні тренінгів і впровадженні алгоритмів реагування на виявлені ризики.
Без участі юриста не обходяться перевірки контрагентів, партнерів і цільових підприємств у процесах M&A чи Due Diligence. Він оцінює правовий статус компаній, аналізує договори, перевіряє репутаційні та санкційні ризики. Також юрист залучається до питань експортного контролю - перевіряє, чи не підпадають контрагенти під санкції, контролює відповідність зовнішньоекономічних операцій законодавчим вимогам і допомагає мінімізувати ризики у міжнародній діяльності компанії.
Перевірте ризики сторін при підписанні угоди! Нова LIGA360 містить найповніше досьє компаній та допоможе перевірити: 29 ризик-факторів, санкційність, наявність боргів, фінансовий стан, репутацію в медіа тощо. Замовте презентацію комплексного рішення LIGA360 для контролю інформаційних ризиків і ухвалення рішень, та відкрийте більше можливостей.
Взаємодія з держорганами
У більшості компаній саме юрист виконує функцію основного комунікатора із зовнішніми структурами - від контролюючих органів до правоохоронців. Його завдання полягає в забезпеченні правової коректності взаємодії, зокрема у питаннях порядку та підстав надання інформації органам досудового розслідування, ДПС, Держпраці чи іншим інспекційним органам.
Кожна компанія повинна мати чіткий алгоритм дій на випадок обшуків, тимчасового доступу до документів або інших процесуальних заходів. Розроблення таких процедур і супровід їх виконання належить до компетенції юриста, а в окремих випадках - адвоката, який має спеціальні повноваження для захисту прав компанії.
Цей напрям невід'ємно пов'язаний із базовими обов'язками юриста щодо представництва інтересів компанії у всіх зовнішніх відносинах, що виникають у зв'язку з безпековими інцидентами, а також у відповідних інституціях - судах, комісіях, комітетах і радах, уповноважених вирішувати спірні або пов'язані з безпекою питання.
Проактивність чи «пожежна команда»?
Під час формування політики безпеки бізнесу важливо визначити місце юриста у структурі компанії та межі його повноважень. На практиці непоодинокі випадки, коли сторони по-різному розуміють роль правника, що призводить до непорозумінь у роботі. Тому вже на етапі оформлення трудових або інших правовідносин юрист має чітко знати своє підпорядкування, функції та участь у безпековій моделі компанії - чи він є частиною проактивної системи, чи залучається лише в кризових ситуаціях.
Для ефективної політики безпеки потрібні обидва підходи, однак проактивна роль юриста має вирішальне значення. Компанія, яка не створює умов для запобігання ризикам, фактично працює на «паперовому фундаменті» й неминуче стикається з наслідками. Реактивна робота юриста стає вимушеною відповіддю, обсяг і складність якої залежать від якості підготовчої роботи.
Показовим прикладом ефективності проактивного підходу стала історія Microsoft у 1990 - 2000-х роках, про яку повідомляли CNET News. Після конфлікту з антимонопольним регулятором юридична команда компанії змінила стратегію: від конфронтаційної моделі «гасіння пожеж» перейшла до системного комплаєнсу, консультуючи бізнес на етапі розробки продуктів, навчаючи працівників та налагодивши відкриту взаємодію з регуляторами. Такий підхід дав змогу Microsoft уникати подібних криз протягом наступних десятиліть.
У центрі безпекової системи
Юрист, який бере участь у формуванні безпекової політики, має поєднувати глибоке знання закону з розумінням бізнес-процесів і технологій компанії. Його завдання - не лише реагувати на кризи, а й запобігати їм.
Для цього потрібні навички кризового комунікування, здатність проводити юридичний аудит, виявляти вразливі місця в діяльності підприємства та вчасно вживати превентивних заходів. Юрист має розуміти, як компанія заробляє, які активи та дані є найбільш цінними, а які процеси потребують особливого захисту. Найефективніша безпекова модель - це поєднання проактивного планування і готовності до швидкого реагування.
Юрій Шуліка,
член Ради Комітету НААУ з питань захисту бізнесу та інвесторів
Чітке визначення ролі юриста в системі безпеки бізнесу неможливе без доступу до актуальних норм, практики та аналітики. LIGA360 забезпечує юриста повною картиною ризиків і змін законодавства, допомагає швидко ухвалювати зважені рішення та своєчасно реагувати на загрози. Замовте індивідуальну презентацію, щоб побачити, як комплексно можна посилити захист бізнесу в одному робочому середовищі.
