Конфиденциальность

Что является конфиденциальной информацией?

Конфиденциальная информация – это личные сведения с ограниченным доступом. Подобные данные бывают разных видов, но все они защищаются законодательством. Сотрудники, которые имеют к ним доступ, обязаны сохранять секретность и не допускать огласки. Тем более, они сами не должны разглашать подобную информацию даже в кругу семьи.

Виды конфиденциальных сведений:

1. Персональные данные физического лица. К ним можно отнести все, что касается событий и фактов частной жизни.
2. Служебная тайна. К ней имеют доступ только государственные сотрудники, занимающие определенную должность. Сюда можно отнести налоговую тайну, сведения об усыновлении и т.д.
3. Профессиональная тайна. Она охраняется Конституцией России, и о ней известно ограниченному числу людей, исполняющему профессиональный долг.
4. Личные дела осужденных за преступления.
5. Коммерческая тайна. Эти сведения необходимо хранить для того, чтобы защитить юридическое лицо от конкуренции, или для получения выгоды.
6. Сведения о судебных решениях и их исполнении в рамках производства.
7. Тайна следствия и судопроизводства. Сюда можно включить сведения о пострадавших и свидетелях, которые нуждаются в государственной защите. Также в секрете держатся данные о судьях и работниках правоохранительных органов.

Данная информация является конфиденциальной, и она не подлежит разглашению. Необходимо соблюдать конфиденциальность подобных сведений с целью защиты интересов физических и юридических лиц. Неразглашение является необходимостью, потому как огласка может привести к тяжелым последствиям. Например, к банкротству фирмы, публичному осуждению человека, опасности, возникшей для свидетелей и потерпевших. Если сотрудник допустит распространение информации, тогда его имеют право наказать в зависимости от тяжести нарушения.

Что такое конфиденциальность

Понятие конфиденциальность означает обеспечение тайны в интересах того, кто раскрывает информацию. Слово конфиденциальность произошло от английского confidence, означающего доверие. Благодаря принципу конфиденциальности клиент может не беспокоиться и доверять своему психологу, так как каждый профессионал работает, соблюдая этот принцип, не раскрывая никакой полученной личной информации о клиенте.

Любую полученную информацию психолог может использовать только в научных целях, без упоминания личности клиента и в случае, если это не повредит ему. Это относится и к любой информации, которая может помочь идентифицировать личность клиента. В психологических экспериментах испытуемый должен заранее быть уведомлен, какая именно информация будет использоваться, и быть согласным с ее обработкой.

Результаты исследований обнародуются без раскрытия личностей испытуемых – вместо имен используются коды. Но чаще даже результаты носят общий характер и не упоминают испытуемых вовсе. И здесь возникает важный вопрос надежного хранения полученных данных, поскольку даже без прямого разглашения информации психологом может произойти неконтролируемая утечка или воровство информации с носителей, также это актуально, если она передается через сеть интернет. Наглядный пример такой утечки и ее катастрофических результатов можно увидеть в сериале «Миллиарды», где психолог записывает диалог с пациентом на консультации в текстовый документ, который потом читает ее муж, зная пароль от компьютера.

К сожалению, сегодня не все психологи могут обеспечить полную безопасность информации, сохранность от утечки и воровства, ведь это требует не только внимания, но и специальных знаний об информационной безопасности или услуг специалистов, на что мало кто обращает внимание и может проверить. Исполнение принципа конфиденциальности психологом на практике часто ограничивается только неразглашением информации напрямую

Как программист К. выиграл суд у «Ренессанс Страхования»

Программист К. работал в «Ренессанс Страховании» с 2006 года. Он был знаком с Положением о коммерческой тайне и подписал обязательство о неразглашении конфиденциальной информации. К коммерческой тайне работодатель отнёс:

• технологические решения компании;
• программное и аппаратное обеспечение;
• содержание и логическую архитектуру баз данных и других информационных носителей;
• ноу-хау;
• компьютерные, телекоммуникационные и другие технологии.

В 2010 году в результате служебной проверки выяснилось, что сотрудники З. и К. разрабатывали информационную систему для конкурентов и при этом использовали ноу-хау «Ренессанс Страхования» — код В2В-системы.

В2В-система — это веб-приложение для расчёта стоимости продукта и формирования сопроводительных документов. Её применяют в интернет-продажах. Программу разработали сотрудники «Ренессанс Страхования» в 2007 году.

В итоге программиста К. уволили за разглашение коммерческой тайны. Он обратился в суд с требованием изменить формулировку на «увольнение по собственному желанию» и выплатить заработную плату за период вынужденного прогула, то есть с того момента, как его уволили, и до вступления в силу судебного решения.

Районный суд рассмотрел дело и пришёл к выводу: ответчик не представил доказательств того, что В2В-система вообще содержит коммерческую тайну и что истец разгласил секретную информацию третьим лицам.

Ответчик не указал основание в приказе об увольнении К. и не подтвердил, что принял меры по защите конфиденциальной информации в соответствии с требованиями закона «О коммерческой тайне». Поэтому суд принял решение в пользу К.

«Ренессанс Страхование» обжаловало судебное решение, но это не принесло результатов. Вышестоящие суды сослались на отсутствие доказательств того, что К. передал конкурентам сведения, которые относятся к коммерческой тайне.

По закону, чтобы ввести режим коммерческой тайны для определённой информации и возложить ответственность на работников, нужно выполнить следующие требования:

• определить перечень такой информации;
• ограничить к ней доступ — обычно принимают локальный нормативный акт, в котором определяют порядок обращения с информацией и контроля над ней;
• учитывать работников, получающих доступ к информации, — например, вести журнал учёта;
• регулировать отношения с этими работниками на основе трудовых договоров, а с контрагентами — на основе гражданско-правовых договоров;
• нанести гриф «коммерческая тайна» и данные о правообладателе на материальные носители информации.

Если трудовые обязанности работника связаны с доступом к коммерческой тайне, работодатель должен:

• ознакомить его под расписку с перечнем такой информации, установленным режимом коммерческой тайны и мерами ответственности за его нарушение;
• создать условия для соблюдения этого режима, то есть защитить доступ к информации, которая относится к коммерческой тайне, внутри компании.

Если работодатель не выполнил какой-то из перечисленных пунктов, увольнение работника могут признать незаконным.

Чтобы возложить на сотрудника ответственность за разглашение секретной информации, работодатель должен ввести режим коммерческой тайны.

Почему человек нуждается в сохранении важной информации втайне?

Потому что ее можно использовать в злых умыслах. Чтобы у других лиц не было достаточно инструментов для причинения вреда человеку, необходимо, чтобы информация оставалась втайне и выдавалась лишь по необходимости.
Потому что она причиняет боль. Здесь речь скорее идет о душевных секретах. Если человек раскроет некую информацию о себе, то ею можно его «уколоть», душевно ранить. Данная информация часто выдается близким родственникам, друзьям или психологам

Здесь важно соблюдать определенные принципы сохранения чужой тайны.

Во-первых, человек, раскрывая свою тайну, желает, чтобы любая ее фиксация оставалась у того индивида, которому она выдается. Если это друзья, тогда им выдается информация в виде слов – человек хочет, чтобы эти слова дальше не передавались другим лицам. Если это психолог, тогда он может письменно что-то фиксировать, делать аудио- или видеозаписи. Данный материал должен быть в руках только у психолога и не попадаться на глаза других людей.

Важно перед тем, как душевно общаться или проводить консультацию, обговорить вопрос, как именно можно фиксировать любую информацию, которая будет оглашена в течение беседы. Также здесь важно обговорить другой вопрос: кому данную информацию можно передавать еще? Пусть человек, который раскрывает свои данные и тайны, сам скажет, кому еще можно рассказать их

Если его просьба будет нарушена, тогда речь идет о разглашении конфиденциальной информации.

Можно использовать тайную информацию лишь в научных целях. Она при этом не должна содержать никаких данных, по которым можно определить лицо, о котором идет речь. Здесь не выдается имени, контактной информации и прочих данных, которые указывают на конкретное лицо. Также конфиденциальная информация может быть использована правоохранительными органами в крайнем и законном случае. В остальных ситуациях каждый профессионал, который обязуется сохранять конфиденциальные данные, должен придерживаться обещанного слова.

К сожалению, сохранение конфиденциальности даже при всех нынешних мерах остается под вопросом. Существует множество способов того, из-за которых происходит «утечка» информации и попадание ее в чужие руки.

• Друзья могут рассказать чужие секреты, не удержав своих языков за зубами.
• Записи могут попасть в руки третьих лиц, которые знают пароли или имеют ключи от тех систем, где хранится информация.
• Данные попадают в руки недобросовестных работников, которые в своих корыстных целях ее используют, нарушая трудовые обязанности.

Конфиденциальность очень легко нарушается, поскольку информация в любом виде имеет контакт с человеком, который является неидеальным и может совершать ошибки.

Нарушение

За разглашение информации и распространение документов, содержавших конфиденциальную информацию, гражданин может быть привлечен к дисциплинарной, материальной, административной и уголовной ответственности в зависимости о тяжести проступка.

Распространение данных, доступ к которым был ограничен федеральным законом, влечет за собой административную ответственность (статья 13.14 Кодекса РФ об административным правонарушениях).

Гражданину в Российской Федерации придется заплатить штраф в размере от 500 до 1000 рублей, штраф для должностных лиц, включая адвокатов, возрастает до 5000 рублей.

За разглашение коммерческой, служебной или государственной тайны работнику предприятия будет грозить дисциплинарная ответственность, предусмотренная статьями 57, , и 193 Трудового Кодекса России. Предусмотрены дисциплинарные взыскания:

• Замечание.
• Выговор.
• Увольнение (По статье 81 ТК РФ «Расторжение договора по инициативе работодателя»).

Если распространение информации нанесло вред предприятию, наступает материальная ответственность. Статьи 232 и предусматривают возмещение потерь в полном объеме. Если разглашение конфиденциальных данных привело к материальному или материальном ущербу, пострадавшая сторона может потребовать компенсацию в судебном порядке.

Наступление уголовной ответственности связано с выдачей сведений под грифом «государственная тайна» иностранному государству, организации или гражданину.

Согласно статьям 283, 284 и 275 Уголовного Кодекса Российской Федерации за проступок предусмотрено следующее наказание – лишение свободы сроком от 12 месяцев до двадцати лет в зависимости от обстоятельств.

Дополнительно накладывается штраф в размере до 500 000 рублей или заработной платы в период до 3 лет.

Как видите, законодательство Российской Федерации защищает конфиденциальность информации, а граждане, столкнувшиеся с нарушениями, могут отстоять свои права и получить компенсацию. Пользуйтесь своими возможностями, как известно, информация в современном мире уже стала одним из самых дорогостоящих капиталов, и его необходимо беречь.

Где нужна конфиденциальность информации

Любая сфера деятельности требует сохранения в тайне определенного объема информации. Примером может послужить коммерческое предприятие. Его работники не имеют права разглашать сведения о технологии производства, организационной структуре и прочих моментах, что закрепляется в соответствующих пунктах трудового договора. Нарушение данного правила грозит штрафом или увольнением.

Наверное, все слышали такое словосочетание, как государственная тайна. Это целый ряд сведений, которые находятся под защитой властных институтов и правоохранительных органов. Речь идет о научной, военной, политической, разведывательной и прочих видах деятельности. Предавая данные факты огласке, индивид не только может нанести государству экономический ущерб, но еще и поставить под угрозу его безопасность. За подобные правонарушения предусматривается серьезная ответственность.

В медицинских и прочих заведениях подобного рода также необходимо соблюдать конфиденциальность. Персонал не имеет права разглашать информацию о клиентах. Это же касается и аудиторских фирм. В противном случае потерпевшая сторона может инициировать судебное разбирательство.

Нарушение конфиденциальности и информации

Могут быть специально созданы методы для незаконного получения личной информации. Эти направленные атаки обычно называют взломом , хотя этот термин относится к общей практике и не относится к конкретным методам и реализации взлома. Ниже описаны различные методы взлома, связанные с вторжением в частную жизнь человека. Что касается намерения, то в рамках взлома есть две категории вторжения:

1. Направленные атаки против кого-то индивидуально, и
2. Направленные атаки на группы.

Однако с помощью последней категории хакер может эффективно получить информацию о конкретном / конкретном человеке, сначала нацелившись на большую группу. Примером такой возможности может быть следующее: если хакер с именем person-A, желает получить информацию о конкретном человеке, person-B, он может сначала нацелиться на платформу или группу, у которых уже есть информация о человеке-B, например кредитное агентство, или они могут аналогичным образом нацеливаться на группу, которой человек-B ранее отказался / предоставил свои данные, например, сеть социальных сетей или облачная служба данных. Путем нацеливания на одну из этих групп человек-А может эффективно получить информацию о человеке-Б, сначала взломав все данные, которыми располагает группа, включая данные других лиц. После получения хакер может просто идентифицировать информацию о человеке B в данных и игнорировать остальную часть.

Фишинг

Эти инструменты могут помочь пользователям защитить свою информацию от фишинговых атак, в том числе расширения веб-браузера, которые могут помечать подозрительные веб-сайты и ссылки.

Какие проблемы могут возникнуть при несоблюдении требований

В российском законодательстве предусмотрена ответственность за нарушение политики обработки и защиты персональных данных, а также за недоведение до пользователя условий использования его персональных данных. Размер штрафа — до 70-100 тыс. рублей за каждое нарушение. За несоблюдение требований GDPR придется выплатить сумму побольше: можно лишиться до 4% оборота компании при регулярных нарушениях.

Другой вид санкций — блокировка приложения. Как правило, это происходит после проверки ПК со стороны маркетплейсов. AppStore и Google Play диктуют собственные требования к политике конфиденциальности в соответствии с международным законодательством, а разработчики приложений из России руководствуются местными законами. 

Как итог приложение блокируется за несоблюдение требований маркетплейса. Появляется конкуренция норм права: по факту приложение используется в России и соответствует всем ее законам, но площадки предъявляют повышенные требования, за несоблюдение которых и наказывают.

В России инициатором блокировки сайта или приложения за неправомерное использование данных часто выступает Роскомнадзор. Он является уполномоченным органом по защите прав субъектов персональных данных, ведет реестры операторов и нарушителей прав субъектов персональных данных.

Помочь выявить нарушителя могут не только специализированные органы. Любой пользователь, заметивший нарушение политики конфиденциальности, вправе написать жалобу на правообладателя и потребовать привлечь его к ответственности. Особо внимательные и жаждущие справедливости пользователи могут писать такие заявления ежедневно — компании это будет стоить десятки тысяч рублей штрафа.

Что еще может пойти не так

Многие крупные международные компании сталкивались со сложностями именно из-за проблем с политикой конфиденциальности.

Facebook: несоблюдение ПК

В 2020 году Южнокорейская комиссия по защите личной информации оштрафовала Facebook на $6,1 млн за нарушение закона о защите персональных данных. Как выяснилось, на протяжении шести лет, с мая 2012 года по июнь 2018 года, соцсеть передавала другим компаниям личную информацию более 3,3 млн человек без их согласия. Личные данные пользователя соцсети и его друзей становились доступны третьим лицам, когда для авторизации в стороннем сервисе использовалась учетная запись Facebook.

Instagram: неверная формулировка

Пользователи решили, что соцсеть будет продавать их фотографии рекламодателям, поэтому стали массово удалять аккаунты. Представителям Instagram пришлось объяснять: они лишь хотели персонализировать рекламные предложения. Они признали, что неправильная формулировка могла запутать пользователей и пообещали исправить текст.

WhatsApp: недовольство пользователей изменением политики конфиденциальности

Согласно обновленной политики конфиденциальности пользователи мессенджера обязаны предоставлять компании Facebook доступ к номерам телефонов, именам и фото профилей, сведениям о транзакциях, диагностическим данным из приложений и IP-адресами.

Facebook также оставляла за собой право делиться данными с другими своими компаниями. На фоне этих событий выросло количество загрузок других мессенджеров: Telegram — на 91% за неделю, Signal на — 4200%. Недовольство и массовый уход пользователей заставили WhatsApp отложить обновление ПК.

Google: недостаточное информирование пользователей

Национальная комиссия по информатике и свободам Франции оштрафовала Google на €50 млн за недостаточное информирование пользователей при получении согласия на обработку и использование их данных. Комиссия утверждает, что пользователям не сообщается следующее: какие сайты имеют доступ к данным, в каком объеме они собираются и как долго хранятся. К тому же информация разбросана по нескольким документам: из-за этого пользователям сложнее понять, что именно происходит с их данными.

Наказание за разглашение закрытой информации

В случае несанкционированного разглашения закрытых данных пострадавшее лицо вправе обратиться за защитой в правоохранительные или судебные органы. При этом заявитель должен будет доказать в судебном порядке наличие факта разглашения данных.

В качестве доказательной базы может выступать:

• Факт пересылки сотрудником электронной документации третьим лицам. Зафиксировать это можно с помощью системных администраторов компании, отследив IP-адреса отправителя и получателя.
• Свидетельские показания других работников компании.
• Обнаружение у сотрудника копий конфиденциальных документов, сделанные им по собственной инициативе без соответствующего распоряжения начальства.
• Записи камер видеонаблюдения, на которых работник без разрешения вынимает документы из хранилища, передаёт их кому-либо, снимает с них копию, фотографирует.
• Косвенные признаки. Например, когда установлен явный факт утечки, в то время как доступ к информации имел только один человек.

Российское законодательство предусматривает за подобное преступное деяние целый комплекс различных наказаний, в зависимости от вида проступка и его последствий:

• Дисциплинарное взыскание. Назначается нерадивому служащему в соответствии с решением руководства. Это может быть лишение премиальных выплат, выговор, замечание, а в крайнем случае – увольнение по статье КЗоТа. Постановление о наложении дисциплинарного взыскания должно быть оформлено законным образом в виде внутреннего приказа по организации.
• Административное взыскание. Подобная ответственность может налагаться в случае разглашения конфиденциальных данных как личного, так и коммерческого характера. Под действие административного кодекса не подпадает только разглашение сведений, составляющих гос.тайну. Максимальное наказание, предусмотренное административным кодексом за подобное правонарушение – наложение штрафа до 10 000 руб.
• Уголовное наказание. Под действие УК РФ может подпадать целый спектр деяний, связанных с разглашением секретной информации. Это может быть опубликование неких данных личного характера, промышленный шпионаж или же разглашение государственной тайны. В отличие от прочих правовых кодексов, подпадание правонарушения в сферу юрисдикции уголовного кодекса может означать наказание в виде реального тюремного срока.
• Гражданская ответственность. Наступает в ряде случаев, как в виде самостоятельного наказания, так и в виде сопутствующего взыскания. Примером подобного взыскания может служить вынесение судебными органами решения о возмещении пострадавшему морального вреда.

Любой вид законного наказания может назначаться только в результате соответствующего судебного постановления. То есть, для наложения на виновника разглашения взыскания, потребуется доказать, что в утечке данных виноват именно он. Вообще, разглашение конфиденциальной информации и персональных данных, является преступленным деянием весьма сложного состава. При рассмотрении и ведении подобных дел очень часто допускаются различные ошибки относительно правоприменения статей законодательства.

Ещё сложнее бывает пострадавшему защитить свои законные интересы. В этом случае необходимо правильно определить состав преступления, правильно подготовить исковое заявление, собрать всю необходимую доказательную базу. Всё это бывает крайне сложно произвести гражданину, далёкому от юридической практики. Лишь обратившись за помощью к квалифицированному специалисту, можно получить всю необходимую информацию по существу проблемы.

Защита конфиденциальной информации

Для того чтобы не произошла утечка конфиденциальной информации, необходимо предпринимать соответствующие меры, которые препятствовали бы этому. Законодатель закрепил правовые положения о защите данных в Федеральном законе «Об информации, информационных технологиях и защите информации» № 149. 

Также существует несколько правовых способов защиты сведений ограниченного доступа. Законодательное регулирование по вопросам, связанным с защитой сведений ограниченного доступа, заключается также в закреплении юридической ответственности за разглашение такой информации. 

Защита информации

Как упоминалось выше, положения, регламентирующие вопросы по защите конфиденциальной информации, закреплены в ФЗ № 149. В соответствии с законодательством, под защитой информации понимается:

• обеспечение защиты сведений ограниченного доступа от неправомерного посягательства;
• соблюдение режима ограниченного доступа к ограниченным данным;
• принятие мер по реализации права на доступ к ограниченной информации.

Законодательное координирование данных ограниченного доступа заключается также в том, чтобы принять меры по защите информации:

• предотвращение утечки информации;
• своевременное обнаружение попытки незаконно получить доступ к информации;
• предупреждение последствий, которые возникают при несанкционированном доступе к сведениям;
• постоянный мониторинг уровня защиты информации;
• возможность восстановить данные, которые были уничтожены;
• размещение информации ограниченного доступа в базах данных на территории РФ.

Для защиты критичных данных существуют следующие виды защиты:

• Физическая. Физическая защита заключается в хранении информации в специальных сейфах или хранилищах, доступ к которым разрешен узкому кругу лиц.
• Аппаратная. Аппаратный способ защиты предполагает хранение информации на специальных компьютерах или серверах, которые постоянно контролируются с целью предотвращения несанкционированного доступа к данным.
• Программная. Защита информации осуществляется с помощью программного обеспечения, которое своевременно блокирует неразрешенные действия пользователей и предотвращает утечку сведений.
• Математическая (криптографическая). Математическая защита позволяет шифровать данные, делая их прочтение недоступным для третьих лиц.

Ответственность за правонарушения в сфере информации

Согласно ст. 17 Федерального закона № 149, за нарушение требований, установленных для конфиденциальных сведений, наступает юридическая ответственность. 

Правовые нормы закрепляют следующие виды ответственности:

• Дисциплинарная. Данный вид ответственности применяется, когда работник совершил дисциплинарный проступок. Например, разгласил персональные данные коллеги третьим лицам.
• Гражданско-правовая. Указанный вид ответственности предполагает взыскание морального или материального вреда за разглашение сведений ограниченного доступа.
• Административная. К административной ответственности привлекается лицо, совершившее преступление, предусмотренное Кодексом об административной ответственности. Например, разглашение и распространение информации с ограниченным доступом.
• Уголовная. Уголовная ответственность за преступление в сфере информации может наступить вследствие незаконного способа получения информации, например, за взлом программного обеспечения.

Правовое регулирование конфиденциальной информации помогает обеспечивать ее сохранность и защиту. При этом гарантом защиты являются сразу несколько нормативных актов, регулирующих правовые вопросы, касающиеся сведений ограниченного доступа.