Нормативная база для работы с конфиденциальными документами

Последствия неверного определения режима конфиденциальности информации

Надлежит обратить особое внимание на правовой режим тех или иных данных, в отношении которых организация или ИП хотят установить режим конфиденциальности. Пример из практики

Пример из практики

Суд восстановил сотрудницу на работе как незаконно уволенную по подп. «в» п. 6 ч. 1 ст. 81 ТК РФ за разглашение персональных данных контрагентов организации-работодателя. Вместе с тем при увольнении не было учтено, что данным пунктом предусмотрено увольнение за разглашение персональных данных именно сотрудников, чего фактически не было (см. решение Ломоносовского райсуда г. Архангельска от 03.06.2009 по делу № 2-1880/09).

Если работодатель имел в виду, что такие данные составляют коммерческую тайну предприятия, их надлежало внести в соответствующий перечень и провести прочие предусмотренные ст. 10 закона № 98-ФЗ мероприятия (см. определение Курского облсуда от 03.05.2012 по делу № 33-932-2012).

При возникновении споров относительно увольнения работника по указанным выше основаниям на работодателя возлагается обязанность помимо прочего доказать, что разглашенная работником информация действительно относится к охраняемой законом тайне или сведениям (п. 43 постановления пленума ВС РФ от 17.03.2004 № 2).

Вместе с тем чрезмерная бдительность обладателя информации, которая по закону не может быть отнесена к тому или иному виду охраняемой законом тайны, даже если локальной документацией организации утверждено обратное, также может стать причиной судебных разбирательств.

Например, своим решением от 12.07.2010 по делу № 2-340/2010 Суоярвский райсуд Республики Карелии признал отказ работодателя предоставить по запросу работницы копии штатного расписания не соответствующим требованиям закона по указанным выше основаниям. 

Итак, коммерческая тайна — это один из режимов конфиденциальности информации. Таким образом, термин «конфиденциальная информация» имеет более широкое значение, чем «коммерческая тайна».

Если данные напрямую не обозначены в законе как конфиденциальные, их необходимо в надлежащем порядке отнести, например, к коммерческой тайне (если это не противоречит нормам закона). В этом случае обладатель данных сможет применить соответствующие меры ответственности к лицу, произведшему незаконное обнародование таких данных (более подробно данный вопрос раскрыт в нашей статье «Ответственность за разглашение коммерческой тайны»).

Выбор методик

Объем мер, предпринимаемых для сохранности конфиденциальной информации, зависит от особенностей работы организации, размеров бизнеса, степени важности и секретности сведений, которыми она владеет. В небольшой фирме для предотвращения утечки конфиденциальных сведений достаточно установить порядок их обработки и хранения, а также ограничить доступ персонала к охраняемой информации

Необходимо правильно организовать работу с персоналом, проводить инструктаж по обращению с важной информацией. Важно анализировать и контролировать организационные действия, направленные на предотвращение утечки конфиденциальных сведений

В небольшой фирме для предотвращения утечки конфиденциальных сведений достаточно установить порядок их обработки и хранения, а также ограничить доступ персонала к охраняемой информации

Необходимо правильно организовать работу с персоналом, проводить инструктаж по обращению с важной информацией. Важно анализировать и контролировать организационные действия, направленные на предотвращение утечки конфиденциальных сведений

В крупных организациях используется комплексная многоуровневая система засекречивания материалов. Используемые методы и средства периодически обновляют, чтобы их не смогли распознать злоумышленники.

В список сотрудников, имеющих доступ к засекреченным материалам, не включаются лица-разработчики системы безопасности и соответствующих компьютерных программ. 

Для передачи секретной коммерческой информации через Интернет используются защищенные каналы связи. Данные передаются в зашифрованном или замаскированном виде.

Обзор документа

Утвержден перечень сведений конфиденциального характера ФАС России.

В него, в частности, входят данные, содержащиеся в личных делах, анкетах, паспортах или иных документах госслужащих, сотрудников Службы, а также те, которые имеются в материалах проверок в отношении указанных лиц. Речь идет и о сведениях об организации разграничения доступа к информационным ресурсам ФАС России, паролях, ключах шифрования информации (если они не относятся к гостайне).

По каждой категории таких данных определена форма работы с ними.

Для просмотра актуального текста документа и получения полной информации о вступлении в силу, изменениях и порядке применения документа, воспользуйтесь поиском в Интернет-версии системы ГАРАНТ:

Перечень сведений конфиденциального характера

УТВЕРЖДЕН Указом Президента Российской Федерации от 6 марта 1997 года N 188

(с изменениями на 13 июля 2020 года)

1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.

. Сведения, составляющие тайну следствия и судопроизводства, сведения о лицах, в отношении которых в соответствии с федеральными законами от 20 апреля 1995 года N 45-ФЗ «О государственной защите судей, должностных лиц правоохранительных и контролирующих органов» и от 20 августа 2004 года N 119-ФЗ «О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства», другими нормативными правовыми актами Российской Федерации принято решение о применении мер государственной защиты, а также сведения о мерах государственной защиты указанных лиц, если законодательством Российской Федерации такие сведения не отнесены к сведениям, составляющим государственную тайну. (Пункт в редакции, введенной в действие Указом Президента Российской Федерации от 13 июля 2020 года N 357.

3. Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна).

4. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).

5. Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна).

6. Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.

7. Сведения, содержащиеся в личных делах осужденных, а также сведения о принудительном исполнении судебных актов, актов других органов и должностных лиц, кроме сведений, которые являются общедоступными в соответствии с Федеральным законом от 2 октября 2007 года N 229-ФЗ «Об исполнительном производстве». (Пункт дополнительно включен Указом Президента Российской Федерации от 13 июля 2020 года N 357)

Редакция документа с учетом изменений и дополнений подготовлена АО «Кодекс»

(в ред. Указа Президента РФ от 23.09.2005 N 1111)

В целях дальнейшего совершенствования порядка опубликования и вступления в силу актов Президента Российской Федерации, Правительства Российской Федерации и нормативных правовых актов федеральных органов исполнительной власти постановляю:

Утвердить прилагаемый Перечень сведений конфиденциального характера.

Президент Российской Федерации Б.ЕЛЬЦИН

Москва, Кремль 6 марта 1997 года N 188

Утвержден Указом Президента Российской Федерации от 6 марта 1997 г. N 188

ПЕРЕЧЕНЬ СВЕДЕНИЙ КОНФИДЕНЦИАЛЬНОГО ХАРАКТЕРА

1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.

2. Сведения, составляющие тайну следствия и судопроизводства, а также сведения о защищаемых лицах и мерах государственной защиты, осуществляемой в соответствии с Федеральным законом от 20 августа 2004 г. N 119-ФЗ «О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства» и другими нормативными правовыми актами Российской Федерации.

3. Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна).

4. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).

5. Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна).

6. Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.

Как передаются персональные данные

Использование конфиденциальной информации о сотрудниках внутри самой компании регламентировано Положением о персональных данных, которое принимается руководителем. Сотрудники непременно должны быть ознакомлены с этим порядком, что подтверждается их личными подписями.

Организация должна предусмотреть круг лиц, которым предоставляется по долгу службы санкционированный доступ к персональным сведениям. Этими лицами должно быть подписано Обязательство о неразглашении, форма которого также разрабатывается в рамках организации.

1. Запрещение предоставления данных любым третьим лицам или органам без наличия письменного согласия самого физического лица (исключение – угроза жизни и/или здоровью).
2. Запрет на коммерческое использование полученных данных.
3. При передаче четко регламентировать цель сообщения сведений и предупредить о ней получающее лицо.
4. То или иное лицо, которому разрешено использовать персональные данные, может это делать только в объеме должностной инструкции.
5. Отклонение от установленного порядка предусматривает серьезную ответственность виновного лица.

Заключительные сведения о документе

В положениях о конфиденциальной информации организации указаны виды санкций, которые применяются в отношении лиц, нарушивших режим конфиденциальных сведений.

Виновные субъекты могут быть привлечены к административной, уголовной, гражданско-правовой и дисциплинарной ответственности в установленном законом порядке.

Если документом, разработанным предприятием, не урегулированы какие-то аспекты защиты конфиденциальных сведений, применяются нормы федерального законодательства.

Положение о технической защите конфиденциальной информации и ее сохранении от посягательства посторонних лиц должно разрабатываться в каждой организации. Это одна из самых важных составляющих успешного функционирования любого предприятия. Исполнение положения о коммерческой тайне и конфиденциальной информации должно четко контролироваться непосредственным руководителем предприятия и другими уполномоченными лицами.

Средства, используемые для обеспечения сохранности данных

Для обеспечения информационной безопасности применяются две методики: программно-аппаратная защита и использование защищенных каналов связи.

Программно-аппаратная защита данных позволяет контролировать доступ к секретным материалам. Коротко опишем ее виды.

Идентификация

Для входа в систему требуется магнитная карта, работа в определенных частотных диапазонах. Доступ к работе с секретной информацией предоставляется только после введения специальных логинов, паролей или биометрических данных.

Аутентификация

Это методика дополнительного подтверждения подлинности данных, сообщаемых при идентификации. Становится ясно, что человек, интересующийся засекреченной информацией, действительно является тем, за кого себя выдает.

К средствам аутентификации можно отнести личные смарт-карты, цифровые подписи, pin-коды, usb-ключи.

После вхождения в систему сотруднику предоставляется доступ к информации, которая ему требуется для выполнения регламентных заданий. Остальные данные остаются закрытыми.

Протоколирование

Информационная система фиксирует тех, кто получал доступ к материалам, и действия, которые производились с их использованием.

Аудит

Программа выдает отчет о производимых действиях, продолжительности доступа отдельных сотрудников к секретным материалам. При попытке нарушения информационной безопасности автоматически включается система реагирования.

Экранирование

При использовании такой технологии сведения разделяются по степени секретности, а также доступности отдельным сотрудникам, смежным организациям или компаниям-конкурентам. При этом используются «сетевые экраны» (файрволы) – компьютерные программы контроля и фильтрации интернет-данных.

Использование защищенных коммуникационных каналов

Передача информации по общедоступным каналам связана с риском их попадания в чужие руки.

Чтобы этого не произошло, проводится «туннелирование». Такая технология представляет собой передачу засекреченных данных через обычную сеть в замаскированном («инкапсулированном») виде.

Заключение

Любой гражданин, а также государственное или частное предприятие имеют право владеть информацией, требующей защиты от постороннего внимания

Важно, чтобы она не противоречила федеральным законам и не использовалась во вред государственным интересам

К утечке секретных данных может привести введение в компьютер посторонних программ, повреждение или кража электронных носителей, сбой в работе автоматических систем обработки данных. Действия, которые приводят к разглашению засекреченных данных, являются уголовно наказуемыми. Такими действиями считаются незаконный вход в систему секретной информации, перехват сведений, замена их ложными данными. Запрещено несанкционированное использование устройств, в которых хранятся секретные материалы.

В каждой организации должен существовать индивидуальный перечень конфиденциальной информации, запрещенной к распространению. Важную роль играет соблюдение мер информационной безопасности.

ТАЙНЫ БЫВАЮТ РАЗНЫЕ…

Тайна в широком смысле этого слова – конфиденциальная информация, распространение которой возможно лишь в определенных ситуациях.

Информация – это сведения (сообщения, данные) независимо от формы их представления (п. 1 ст. 2 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»).

Иными словами, информация – это не только документы или файлы с какими-то данными. Информация – это все, что нас окружает: услышанное на переговорах и совещаниях, увиденное в документах на различных носителях – как материальных, так и электронных, написанное собственноручно или напечатанное с помощью технических средств, нарисованное или начерченное в любом виде и пр.

То есть то, что мы видим, слышим, созерцаем, и есть информация, представленная в самых разнообразных формах. Федеральный закон № 149-ФЗ также дает определение конфиденциальности информации, понимая под этим обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя (п. 7 ст. 2).

В зависимости от того, к какой сфере относится информация, требующая соблюдения конфиденциальности, выделяют следующие виды тайн: государственную, коммерческую, налоговую, военную, личную, семейную, телефонных переговоров (почтовых, телеграфных и иных сообщений), служебную, банковскую, страхования, завещания, усыновления (удочерения), следствия, голосования, нотариальную, адвокатскую, врачебную и др.

Поскольку нас интересует соблюдение тайны работниками организации, перечислим виды тайн (с указанием НПА, их регулирующих), которые чаще всего встречаются в организациях:

• государственная тайна (ст. 5 Закона РФ от 21.07.1993 № 5485-1 «О государственной тайне», Перечень сведений, отнесенных к государственной тайне);

• коммерческая тайна (Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне»);

• персональные данные (ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»);

• банковская тайна (ст. 857 Ч. 2 Гражданского кодекса РФ, ст. 26 Федерального закона от 02.12.1990 № 395-1 «О банках и банковской деятельности», ст. 57 Федерального закона от 10.07.2002 № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)»);

• врачебная тайна (ст. 13, 92 Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации», ст. 15 Семейного кодекса РФ от 29.12.1995 № 223-ФЗ, ст. 9 Закона РФ от 02.07.1992 № 3185-1 «О психиатрической помощи и гарантиях прав граждан при ее оказании», ст. 13 Федерального закона РФ от 20.07.2012 № 125-ФЗ «О донорстве крови и ее компонентов», ст. 14 Закона РФ от 22.12.1992 № 4180-1 «О трансплантации органов и (или) тканей человека»);

• тайна страхования (ст. 946 Ч. 2 ГК РФ, ст. 47 Федерального закона от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации», ст. 18.2 Федерального закона от 24.07.1998 № 125-ФЗ «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний»);

• тайна связи (ст. 23 Конституции Российской Федерации, ст. 53, 63 Федерального закона от 07.07.2003 № 126-ФЗ «О связи», ст. 15 Федерального закона от 17.07.1999 № 176-ФЗ «О почтовой связи»);

• информация о содержании корпоративного договора, заключенного участниками непубличного общества (ст. 67.2 Ч. 1 ГК РФ);

• информация о новых решениях и технических знаниях, если она получена сторонами по договору подряда (ст. 727 Ч. 2 Гражданского кодекса РФ);

• сведения, касающиеся предмета договоров на выполнение научно-исследовательских работ, опытно-конструкторских и технологических работ, хода их исполнения и полученных результатов, если иное не предусмотрено договорами (ст. 771 Ч. 2 ГК РФ);

• секрет производства (ноу-хау) (ст. 1465 Ч. 4 ГК РФ).

В ред. от 01.07.2017.

В ред. от 07.02.2017.

В ред. от 25.11.2017 (далее – Федеральный закон № 149-ФЗ).

Если у отдельных сотрудников организации есть доступ к сведениям, составляющим государственную тайну.

В ред. от 08.03.2015.

Утвержден Указом Президента РФ от 30.11.1995 № 1203.

В ред. от 12.03.2014 (далее – Закон о коммерческой тайне).

В ред. от 29.07.2017 (далее – Закон о персональных данных).

Касается кредитных организаций.

В ред. от 26.07.2017.

В ред. от 18.07.2017.

Касается медицинских организаций.

В ред. от 29.07.2017.

В ред. от 14.11.2017.

В ред. от 03.07.2016.

В ред. от 23.05.2016, с изм. от 19.12.2016.

В ред. от 23.05.2016.

Касается страховых организаций.

В ред. от 28.12.2016.

В ред. от 29.07.2017.

В ред. от 07.06.2017.

В ред. от 06.07.2016.

Полномочия Роскомнадзора в вопросе защиты данных

Следует учитывать, что к ответственности за нарушение законодательства в сфере ПДн операторов может привлекать регулятор – Роскомнадзор. Причем претензии к работе организации в этом направлении могут появиться у него после плановой проверки организации либо после получения жалобы от субъектов.

К слову о проверках. Они бывают плановыми и внеплановыми. Первые проводятся не чаще одного раза в три года (для одной организации). Причем список организаций, к которым инспекторы придут с проверкой в ближайший год можно найти на официальном сайте Роскомнадзора. Внеплановые проверки проводятся по случаю, например, в целях разобраться в ситуации после получения жалобы от субъекта.

Поводом для проведения инспекции может стать и желание регулятора развеять собственные подозрения. Дело в том, что третьей формой проверки является систематическое наблюдение за деятельностью операторов.

Обо всех проверках регулятор уведомляет организацию заранее: за три дня в случае плановой и за 24 часа в случае внеплановой. Кроме того, по типу инспекции могут быть документарными и выездными. В первом случае достаточно предоставить регулятору полный пакет запрашиваемых им документов, которые доказывают, что оператор ведет работу с ПДн строго по закону. Во втором, инспекторы могут пройти по компании с экскурсией, чтобы изучить и технический аспект защиты информации.

Полномочия Роскомнадзора:

• может потребовать уничтожения недостоверных или полученных незаконным путем ПДн;
• может ограничить доступ к информации, обрабатываемой с нарушением законодательства;
• может направить исковое заявление в защиту прав субъектов ПДн и представлять их в суде;
• наделен полномочиями по привлечению к административной ответственности лиц, виновных в нарушении закона «О персональных данных»;
• рассматривает жалобы и обращения по вопросам обработки данных и принимает по ним решения.

Судебная практика и практика проверок Роскомнадзора, однако, показывает, что большинство нарушителей ограничиваются штрафами. В редких случаях регулятор может потребовать через суд блокировки ресурса, который уличили в распространении закрытой информации.

Так, с 1 сентября 2015 года, когда в России появился реестр операторов ПДн, суды приняли 238 положительных решений по обращениям Роскомнадзора. Эта цифра не выглядит устрашающей на фоне общего числа операторов в реестре – 401 624 по состоянию на 31.12.2017.

Но и штрафы, которые компаниям выписывают чаще, на деле выглядят не такими уж большими. К примеру, итоговая сумма выписанных регулятором штрафов за 2021 год составила 4 068 500 рублей.

Средства защиты и охраны персональных данных

Надежность ПД обеспечивается:

• установлением рисков при обработке ПД в ИС;
• постоянное использование технических и организационных мер для установления защищенности, согласно установленным Правительством РФ уровням безопасности;
• процедура совершенствования средств и результативности защиты;
• постоянное рассмотрение машинных носителей ПД;
• мгновенное установление неразрешенного проникновения;
• восстановление ПД, которые были заражены вирусом или уничтожены при взломе базы данных;
• фиксация и учет всех действий, которые совершаются в ИС;
• используется сотрудничество с вневедомственной охраной;
• база данных защищена паролями, известными только людьми, у которых есть право доступа;

Соглашение о неразглашении

Для обеспечения должной защиты от распространения конфиденциальных данных составляется соглашение, которое подписывается двумя сторонами. Его суть состоит в возможности обмена сведениями и знаниями с ограничением доступа к ним третьих лиц.

Назначение такого договора подразумевает защиту от утечки ценных данных, и в нем оговариваются все необходимые для этого виды конфиденциальной информации. Существует две разновидности соглашений:

1. Односторонний договор, в котором прописывается желание одной стороны передать секретные сведения другой без возможности доступа к ним третьих лиц. Примером такого документа считается договор, который оформляется работодателем при приеме на работу нового сотрудника. В этом случае сведения о предприятии в документе считаются секретной информацией.
2. Взаимный договор подразумевает двухстороннюю передачу конфиденциальных сведений между представителями, которые подписали соглашение. Обычно это происходит, когда две компании проводят совместные сделки.

Образец согласия на предоставление персональных данных

Предоставление ПД – действия определенного характера, благодаря которым раскрываются ПД какому-либо лицу или группе лиц.

Если вам необходимо составить согласие о предоставлении своих ПД, то в письменной форме вы должны указать следующее:

• ФИО, местожительства, данные, изложенные в паспорте;
• ФИО и местожительства представителя владельца ПД, данные, изложенные в паспорте, доверенность;
• наименование или ФИО оператора, который получает согласие;
• цели, из-за которых производится обработка ПД;
• перечень ПД, на доступ к которым вы даете согласие;
• наименование или ФИО и адрес того, кто по назначению оператора будет обрабатывать данные;
• период, на протяжении которого будет действовать разрешение на доступ к сведениям их владельца;
• подпись владельца ПД.