Перечень сведений конфиденциального характера
Содержание:
- Сведения, не подлежащие разглашению
- Для чего составляется перечень засекреченных сведений
- Для чего нужна политика конфиденциальности на сайте
- Конфиденциальная информация — что к ней относится
- Документальная защита секретных данных
- Предусмотрите меры, чтобы информацию не передали третьим лицам
- Как работнику защитить свои интересы
- Конфиденциальность в законодательстве РФ
- Разглашение информации: когда допустимо
- Гарантии общедоступности информации
- Прочие виды конфиденциальной информации
- Средства, используемые для обеспечения сохранности данных
- Как работодателю обезопасить себя
- Включайте в соглашение любую информацию, которую считаете важной
- Законодательные основы
Сведения, не подлежащие разглашению
Информацией, не подлежащей огласке, считают не только служебные или государственные тайны, но и данные, доступные ограниченному кругу лиц. Ограничения могут накладываться, например, на сообщения о чрезвычайных событиях, губительных природных явлениях, санитарно-эпидемиологической обстановке в стране.
О том, какие сведения официально считаются конфиденциальными, говорится в Указе Президента Российской Федерации (с последними дополнениями от 13 июля 2015 года за № 357). К ним относятся:
- персональные данные и события частной жизни людей (за исключением сведений, которые с их согласия освещаются в средствах массовой информации);
- материалы судебных расследований, адвокатские тайны, данные о людях, нуждающихся в государственной защите после дачи свидетельских показаний;
- сведения, составляющие служебную тайну. Они касаются деятельности секретных организаций, лабораторий специального назначения, оборонных предприятий;
- врачебные тайны, телефонные переговоры, тайна переписки;
- результаты аудиторских проверок финансовой деятельности организаций;
- коммерческие тайны, касающиеся особых технологий или материалов, которые используются на данном предприятии. Владение информацией о технических новшествах дает компании преимущества среди конкурентов и способствует повышению доходов. При поступлении на службу работники подписывают договор о неразглашении производственных секретов и другой информации, интересной для конкурентов. Нарушение договора грозит сотруднику увольнением или штрафом;
- материалы о сути изобретений, которые еще не подтверждены патентами и не внедрены в производство;
- тайны банковских вкладов и движений денежных средств частных лиц и организаций;
- государственные тайны. Они могут быть связаны с научной, хозяйственной, политической, военной деятельностью. За сохранение подобной информации отвечают специальные органы власти (Межведомственная комиссия, Федеральная служба безопасности и другие).
Для чего составляется перечень засекреченных сведений
Вопрос о конфиденциальности служебных данных иногда бывает спорным. Нередко из-за неопределенности принятых правил возникают производственные конфликты и судебные разбирательства.
Прежде чем уволить работника, подозреваемого в разглашении коммерческой тайны, работодатель должен обосновать причину подобных действий. Увольняемый человек зачастую не согласен с тем, что совершил нечто противозаконное. Он может обратиться в Инспекцию труда с жалобой на несправедливые обвинения.
Пример 1.
Работнику понадобилось распечатать служебный документ, для чего он перенес содержимое на флэш-накопитель. В договоре, подписанном им при поступлении на работу, указывалось, что сотрудники фирмы не имеют права разглашать коммерческие тайны. Но там ничего не говорилось о том, какие именно сведения считаются секретной информацией. Если проверка, проведенная трудовой инспекцией, подтвердит неопределенность формулировок, работодателю придется отменить приказ об увольнении.
Перенос коммерческих сведений на флешку нельзя считать проступком, если не доказано, что работник передал этот носитель третьему лицу или поместил засекреченные данные в домашний компьютер.
Пример 2.
Сотрудник, уволившийся по собственному желанию, поделился конфиденциальной информацией о деятельности компании с конкурентами. В результате фирма понесла убытки. Руководство подает заявление в суд и требует, чтобы виновник возместил материальные потери. Для оценки справедливости требований и размеров ущерба суду также потребуется перечень секретных сведений и обоснование суммы убытков.
Чтобы избежать подобной неопределенности, работодатель должен составить список коммерческих тайн. В документе необходимо четко указывать, что их разглашение нанесет фирме финансовый ущерб. Следует отметить, кто из работников имеет право пользоваться конфиденциальной информацией. Необходимо сообщить о порядке обращения с подобными материалами и мерах, предпринимаемых для соблюдения конфиденциальности.
Секретные данные должны храниться под грифом «Коммерческая тайна».
Доступ к документам предоставляется только тем сотрудникам, которым они нужны для работы. Доверенное лицо дает расписку о неразглашении. Перед этим его знакомят со списком коммерческих тайн и предупреждают об ответственности за утечку информации.
В защите нуждается не только интеллектуальная собственность компании, но и сведения о клиентах. Разглашение их персональных и банковских данных грозит фирме потерей репутации, доверия.
Для чего нужна политика конфиденциальности на сайте
Рассмотрим, для чего нужна политика конфиденциальности на сайте, если её наличие установлено законодательным путём. Если сказать коротко – она нужна для получения разрешения пользователей на обработку их личных данных. Чаще всего, обработку персональных данных используют владельцы интерне-магазинов. После поступления заказа необходимо уточнить детали и передать информацию о человеке для исполнения обязательств, а для этого нужны его контакты.
Персональные данные бывают двух видов: личные и обезличенные. К первым относятся все данные, необходимые для идентификации человека. Это могут быть имя, фамилия, адрес и так далее. Ко вторым, чаще всего, относят cookie-файлы, собираемые аналитическими сервисами. В большинстве случаев вёрстка сайта предусматривает ссылку на политику конфиденциальности и в формах сбора, и в подвале ресурса.
За отсутствие документа, предусмотрены штрафные санкции для владельца сайта. В согласие с частью 3 статьи 13.11 КоАП РФ сумма для физических лиц будет составлять 700-1500 рублей. Для юридических лиц штрафы крупнее: 5000-10000 для ИП и 15000-30000 рублей для ООО
Поэтому, при создании сайта и его продвижение в сети не стоит забывать про составление этого важного документа.
Конфиденциальная информация — что к ней относится
Первоначальное разделение всего массива информации на данные свободного и ограниченного доступа дает закон РФ об информации (№ 149-ФЗ). Кроме того, этот документ определяет и понятие конфиденциальности информации.
Конфиденциальная информация — это сведения, к которым человек получает доступ, но распространить их он может только с согласия владельца данных.
Право на ограничение свободы хождения конфиденциальной информации дают различные нормативные акты (закон РФ № 149-ФЗ).
Одной из самых охраняемых категорий конфиденциальных данных является персонифицирующая личность человека информация.
К персональным данным относятся сведения, позволяющие четко идентифицировать их владельца. Это информация:
- о Ф.И.О., месте и дате рождения;
- реквизиты удостоверения личности и место жительства;
- личного, имущественного или семейного характера;
- об образовании;
- о профессии или месте работы;
- об иных идентифицирующих признаках.
При этом разглашение одного или нескольких данных не всегда ведет к персонализации их владельца.
Например, достаточно распространенные в России и ближнем зарубежье фамилии Иванов, Семенов, Сидоров, само по себе ничего не скажут об их владельце. Людей с такими данными миллионы. Или информация «Сидоров, живущий на улице Ленина». В разговоре конкретных людей такое уточнение упоминаемой персоны позволяет полностью идентифицировать одного человека. Вместе с тем, постороннему слушателю данного разговора эти данные ничего не скажут, так как улицы с таким названием есть практически в любом городе, а на одной из них может быть пара сотен многоквартирных домов, где проживают несколько людей с такой фамилией.
А вот ситуацию с упоминанием «Петрова Марата Сигизмундовича, работающего на текстильной фабрике» уже можно считать разглашением персональных данных, поскольку такое сочетание фамилии, имени, отчества и места работы позволяет точно определить их принадлежность к одному человеку.
Без согласия владельца персональных данных их разглашение допустимо только в определенных законодательством случаях (закон № 152-ФЗ).
Эта категория сведений, помимо всего прочего становится и частью обозначенных в законодательстве профессиональных тайн.
Врачи обязаны сохранять в секрете данные о своих пациентах, адвокаты, нотариусы, финансовые учреждения обязаны хранить в тайне взаимоотношения с клиентами. Сохранение данных в этом случае тесно переплетается с понятием профессиональной тайны в соответствующих сферах трудовой деятельности и регулируется нормативными актами, регламентирующими отдельные профессиональные области.
Документальная защита секретных данных
Для успешного ведения бизнеса особое значение имеют способы защиты конфиденциальных сведений от конкурентов. Соглашение о неразглашении конфиденциальной информации позволит безопасно использовать ценные данные при взаимоотношениях с другими лицами.
Договор о конфиденциальности и неразглашении информации заключается между сторонами в письменной форме. Иногда при наименовании этого документа используют английскую аббревиатуру, которую не все понимают, поэтому часто задают вопрос: что такое NDA-соглашение? NDA (Non-disclosure agreement) — это письменная договоренность о конфиденциальности и неразглашении информации.
Закрепление в организации режима работы с секретными данными позволяет применять различные меры ответственности в зависимости от тяжести наступивших для организации последствий. В сфере трудовых отношений заключается соглашение с работником, в гражданско-правовых отношениях — договор о конфиденциальности между юридическими лицами.
Предусмотрите меры, чтобы информацию не передали третьим лицам
Суды признают допустимыми такие доказательства раскрытия конфиденциальной информации, как электронная переписка, заключение эксперта и нотариальный протокол осмотра сайта, на котором разместили информацию.
Перечень конкретных мер по соблюдению и защите конфиденциальности зависит от типа информации. Его обычно устанавливают во внутренних нормативных актах раскрывающей стороны.
Обычно владельцы конфиденциальной информации определяют перечень такой информации, ограничивают доступ и учитывают лиц, которые получили возможность знакомиться с ней. Кроме этого, заключают соглашения о конфиденциальности с любыми получателями информации, маркируют грифами и другими средствами защиты материальные носители с конфиденциальной информацией компании. Также указывают, что необходимо использовать специальные технические средства защиты и ограничения доступа.
В соглашении о конфиденциальности зеркально отразите меры, которые уже применяет раскрывающая сторона. Это обеспечит хотя бы минимальный уровень защиты передаваемых данных.
Нельзя требовать возместить убытки или применять другие санкции, если контрагент раскрыл общедоступную информацию, например, из открытых реестров или сведения, которые в силу закона не могут быть конфиденциальными. Это правило работает, даже если стороны договорились сохранять конфиденциальность такой информации.
Стороны вправе предусмотреть дополнительные гарантии и включить санкции на случай их нарушения. Например, включить в соглашение заверения и гарантии получающей стороны, что она соблюдает все необходимые меры защиты конфиденциальной информации. На случай нарушения этой гарантии в соглашении можно предусмотреть штраф.
Как работнику защитить свои интересы
Постарайтесь запомнить положения законодательства, о которых идёт речь в статье.
Всегда внимательно читайте условия трудового договора и соглашений о конфиденциальности, если вам предлагают их подписать.
Не подписывайте строку «ознакомлен с локальными актами работодателя о коммерческой тайне», если вдумчиво не прочитали их.
Уточняйте у компетентных служб (юридического отдела и службы информационной безопасности) те положения трудового договора, NDA или локального акта, которые вам непонятны.
В законе есть перечень информации, которая не может быть коммерческой тайной в компании. Если работодатель всё же отнёс к ней что-то из перечисленного, такое условие договора или пункт локального акта будут считаться недействительными. Это же правило касается любого другого противоречия между локальным актом работодателя (трудовым договором, NDA) и действующим законодательством.
Конфиденциальность в законодательстве РФ
В законодательстве РФ нет отдельного закона, определяющего конфиденциальность, но действует Указ Президента 1997 года (с изменениями 2005 года) об утверждении сведений конфиденциального характера.
27 июля 2006 года появился Федеральный закон Российской Федерации N 152-ФЗ «О персональных данных». Данный закон регулирует отношения, связанные с обработкой персональных данных. Также в рамках данного закона появилось следующее определение:
Файл:Aquote1.png | Конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания | Файл:Aquote2.png |
Новшеством в данном законе стало принуждение лиц, обрабатывающих персональные данные, использовать технические (криптографические) средства защиты информации при работе с персональными данными.
Федеральным законом от 27.12.2009 N 363-ФЗ обязанность оператора по обработке персональных данных использовать для защиты персональных данных шифровальные (криптографические) средства отменена.
Лица, виновные в нарушении требований Федерального закона о персональных данных, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.
Разглашение информации: когда допустимо
Как и в любом правиле есть исключения, по которым психолог имеет право на разглашение информации, не неся за это правовой ответственности.
Например:
- Если над клиентом совершается домашнее насилие (физическое, или сексуальное), то психологу необходимо сообщить об этом в правоохранительные органы (вне зависимости от пола и возраста клиента).
- В случае обращения ребенка к психологу, принцип анонимности не распространяется на угрозу суицида, прием наркотиков и алкоголя.
- Когда клиенту необходимо лечение в психиатрической клинике. Психолог может проговорить с лечащим врачом.
В этих случаях допускается несоблюдение принципа конфиденциальности в интересах безопасности клиента. Есть закон об оставлении лица в опасности, если ситуация клиента представляет угрозу для жизни и здоровья.
Возможно разглашать особенности терапии с добровольного согласия человека, пришедшего на прием к психологу, в таких случаях:
- обсуждения жизненной ситуации клиента на супервизии (работа с более опытным коллегой для повышения качества терапии);
- во время интервизии (обсуждение клиентского случая в среде коллег для оптимизации процесса);
- в научных и практических исследованиях;
- при описании клиентских случаев в рекламных или профессиональных целях.
Во всех перечисленных случаях сохраняется тайна фамилии, имени и изменения деталей случая, чтобы не было возможности узнать конкретного человека.
В случае нарушений психологом правил связанных с конфиденциальностью, психолог несет ответственность по законам РФ, в частности ФЗ «О персональных данных». Договор о правилах терапии и конфиденциальности может быть заключен в устной форме до начала процесса психотерапии или в письменном виде с подписью обоих сторон.
Гарантии общедоступности информации
Руководителям организаций стоит помнить, что закон определяет некоторые виды информации, к которым должен быть обеспечен доступ широкой общественности. В эту категорию входят:
- законодательство и нормативы, которые содержат гарантии гражданских прав и свобод. Запрещено ограничивать сокрытие от граждан сведений об их законных правах. В открытом доступе должны храниться и сведения об обязанностях граждан;
- правовая база формирования и функционирования различных органов власти. Сведения о полномочиях силовых и прочих структур власти;
- сведения о решениях органов власти, отдельных руководителей госструктур и коллективных выборных органов самоуправления, за исключением особых случаев, предусмотренных соответствующим законодательством;
- сведения о состоянии бюджетов разных уровней, о трате бюджетных средств и об изменениях, вносимых после их утверждения. Исключение составляют данные, которые подпадают под определение «государственная (служебная) тайна»;
- фонды библиотек и архивных служб с открытой информацией, экспозиции государственных музеев;
- данные в системах информирования, которые создают органы власти для донесения своих решений до общества;
- данные проверок экологического благополучия и мониторинга состояния окружающей среды;
- прочие сведения, закрытие доступа к которым запрещено. Например, благотворительные обязаны публиковать ряд данных о своей структуре и деятельности.
Прочие виды конфиденциальной информации
Установить значение понятия «конфиденциальность» помогает закон об информации. Последний определяет ее как обязательства, накладываемые на лицо, которое имеет в своем распоряжении информацию. Обязательства включают в себя обеспечить сохранность данных от несанкционированного доступа третьих лиц без законного согласия их обладателя. В исключительных случаях требуется сокрытие самого факта существования определенного набора данных. Классификацию, которая систематизирует конфиденциальную информацию, можно увидеть в указе №188 «О сведениях конфиденциального характера». Согласно указу, в перечень входят:
1. Данные об обстоятельствах и фактах личной жизни человека, которые способны его идентифицировать. Их называют «персональные данные». Исключение составляют те сведения, которые гражданин либо юридическое лицо обязаны распространить в определенных обстоятельствах, определяемых законом;2. Данные, разглашение которых может повлиять на осуществление следственных действий или судебного производства;3. Служебная тайна или данные для служебного использования. Доступ к такой информации предоставляется служащему исключительно для исполнения определенных задач из сферы его служебного ведения. Она не может быть использована с какой-либо иной личной целью;4. Сведения, которые человек получает как специалист в ходе своей профессиональной деятельности. Доступ к ним регулируется отдельными нормативами и зачастую бывает ограничен частично или полностью;5. Коммерческая тайна. В эту категорию входят, например, отчеты о финансовом состоянии, планирование и записи о деловой активности. Такую информацию допустимо блокировать согласно внутреннему регламенту коммерческих структур;6. Сведения об инновациях, их сути, чертежах, прототипах или промышленном образце. Изобретения защищаются от шпионажа и копирования до публикации официальной открытой информации о них.
Рассмотрим перечисленные категории более подробно.
Средства, используемые для обеспечения сохранности данных
Для обеспечения информационной безопасности применяются две методики: программно-аппаратная защита и использование защищенных каналов связи.
Программно-аппаратная защита данных позволяет контролировать доступ к секретным материалам. Коротко опишем ее виды.
Идентификация
Для входа в систему требуется магнитная карта, работа в определенных частотных диапазонах. Доступ к работе с секретной информацией предоставляется только после введения специальных логинов, паролей или биометрических данных.
Аутентификация
Это методика дополнительного подтверждения подлинности данных, сообщаемых при идентификации. Становится ясно, что человек, интересующийся засекреченной информацией, действительно является тем, за кого себя выдает.
К средствам аутентификации можно отнести личные смарт-карты, цифровые подписи, pin-коды, usb-ключи.
После вхождения в систему сотруднику предоставляется доступ к информации, которая ему требуется для выполнения регламентных заданий. Остальные данные остаются закрытыми.
Протоколирование
Информационная система фиксирует тех, кто получал доступ к материалам, и действия, которые производились с их использованием.
Аудит
Программа выдает отчет о производимых действиях, продолжительности доступа отдельных сотрудников к секретным материалам. При попытке нарушения информационной безопасности автоматически включается система реагирования.
Экранирование
При использовании такой технологии сведения разделяются по степени секретности, а также доступности отдельным сотрудникам, смежным организациям или компаниям-конкурентам. При этом используются «сетевые экраны» (файрволы) – компьютерные программы контроля и фильтрации интернет-данных.
Использование защищенных коммуникационных каналов
Передача информации по общедоступным каналам связана с риском их попадания в чужие руки.
Чтобы этого не произошло, проводится «туннелирование». Такая технология представляет собой передачу засекреченных данных через обычную сеть в замаскированном («инкапсулированном») виде.
Заключение
Любой гражданин, а также государственное или частное предприятие имеют право владеть информацией, требующей защиты от постороннего внимания
Важно, чтобы она не противоречила федеральным законам и не использовалась во вред государственным интересам
К утечке секретных данных может привести введение в компьютер посторонних программ, повреждение или кража электронных носителей, сбой в работе автоматических систем обработки данных. Действия, которые приводят к разглашению засекреченных данных, являются уголовно наказуемыми. Такими действиями считаются незаконный вход в систему секретной информации, перехват сведений, замена их ложными данными. Запрещено несанкционированное использование устройств, в которых хранятся секретные материалы.
В каждой организации должен существовать индивидуальный перечень конфиденциальной информации, запрещенной к распространению. Важную роль играет соблюдение мер информационной безопасности.
Как работодателю обезопасить себя
В соглашение о конфиденциальности включайте точный перечень сведений, которые относятся к такой информации. Часто его оформляют в виде приложения к NDA. На практике компании используют и передачу конфиденциальной информации по отдельным актам приёма-передачи — это снижает риски, что конфиденциальность той или иной информации начнут оспаривать в суде.
Также в соглашении разделяйте обычную конфиденциальную информацию и коммерческую тайну, так как требования закона к последней более развёрнутые, а способы защиты отличаются. В отношении коммерческой тайны нужно обязательно вводить специальный режим, независимо от её включения в NDA.
Внимательно относитесь к условиям об имущественной ответственности: если в NDA есть пункт о возмещении убытков, важно понимать, что их наличие и конкретный размер придётся доказывать в суде. Обязательно показывать и причинно-следственную связь между разглашением конфиденциальной информации и возникшими убытками
Включайте в соглашение любую информацию, которую считаете важной
Соглашение часто включает широкое определение конфиденциальной информации, которую можно передать в рамках этого документа. В целом такой подход защищает раскрывающую сторону и не противоречит закону. Тем более что нет единого акта, который описывал бы все виды конфиденциальной информации. Обычно такой информацией признают сведения:
о персональных данных, кроме сведений, которые распространяют СМИ в установленных законом случаях;
о профессиональной деятельности, когда доступ к таким сведениям ограничен в соответствии с Конституцией и федеральными законами. Это врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных сообщений;
о коммерческой деятельности, в том числе финансовой отчетности, контрагентах, когда доступ к такой информации ограничен ГК и федеральными законами;
о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.
Сторонам соглашения нужно обеспечить возможность идентифицировать информацию, которую передают в рамках соглашения. В большинстве случаев факт передачи информации закрепляют в акте приема-передачи. Заодно отдают материальные носители: flash-карты, CD-диски, загружают файлы на портал для обмена данными или отправляют материалы по почте.
Нельзя защитить информацию, которую раскрывающая сторона не защищает как конфиденциальную. Например, требование возместить убытки в случае разглашения не удовлетворят, если его предъявит лицо, которое не принимало меры по соблюдению конфиденциальности информации.
Законодательные основы
Статья 19 Гражданского кодекса Российской Федерации сообщает, что ФИО определяет гражданина. С приобретением имени, фамилии и отчества гражданин получает и осуществляет права и обязанности под своим именем. В законе говорится о том, что ФИО принадлежит человеку, поэтому, если вернуться к определению из ФЗ «О персональных данных», такая информация должна являться персональной со всеми юридическими последствиями и нюансами при ее распространении и обработке.
В то же время Роскомнадзор, регулирующий информационную деятельность в сети интернет, отмечает, что размещение на веб-страницах всемирной паутины фамилии, имени и отчества без каких либо дополнительных пояснений, не считается обработкой ПД физического лица. Роскомнадзор указывает на еще одну важную характеристику конфиденциальных ведомостей – они должны давать возможность выяснить личность гражданина.
Важно! Распространение персональных данных возможно только после разрешения на обработку субъектом и владельцем ПД.