Кто не может работать с конфиденциальной информацией

Перечень сведений конфиденциального характера

Перечень конфиденциальной информации на предприятии — это список закрытых от посторонних сведений. В их число, как правило, входят коммерческая информация, персональные и профессиональные данные (последние два вида определены федеральными законами).

Какие сведения входят

• тайна судопроизводства и следствия;
• персональные данные;
• служебная, профессиональная и коммерческая тайна;
• известия об изобретении (до публикации);
• материалы из личных дел осужденных.

Как правило, реестры конфиденциальных данных предприятия состоят из нескольких видов закрытых материалов. Разделы о коммерческой тайне и персональных данных присутствуют в перечнях всех организаций, они составляются по нормам законов №98-ФЗ и №152-ФЗ. Сведения профессионального характера вносятся в номенклатуру в соответствии с профилем деятельности конкретной фирмы. Доступ к ней ограничен специальными законами: о банковском деле, об адвокатуре и пр.

Как утвердить перечень

Реестр в большинстве случаев состоит из двух разделов — коммерческой тайны и информации, доступ к которой ограничен законодательно.

1. Официально утвержденного перечня конфиденциальных сведений в области коммерческой тайны не существует. Каждая организация сама устанавливает, к каким материалам следует ограничить доступ третьих лиц. Чаще всего закрывают данные о:

• планируемых сделках и контрагентах;
• маркетинговых исследованиях, анализы рыночной конъюнктуры;
• научно-технических и технологических решениях;
• производственных секретах (ноу-хау);
• механизмах ценообразования;
• хозяйственной деятельности;
• бухгалтерской отчетности.

2. Информация, доступ к которой ограничивается законом. Сюда относятся персональные данные, материалы профессионального характера, налоговая, банковская, адвокатская, нотариальная, врачебная, аудиторская и прочие виды тайн.

Чтобы понять, какое назначение имеет перечень конфиденциальных сведений предприятия, необходимо руководствоваться практическими соображениями и требованиями закона:

1. Коммерческая тайна призвана повысить доходы и (или) сократить расходы, обеспечивать прибыль ее владельцу как раз вследствие сокрытия от третьих лиц — значит, ее необходимо охранять от конкурентов.
2. Ст. 9 закона №149-ФЗ в п. 2, 4, 9 регламентирует обязательность соблюдения конфиденциальности информации, доступ к которой ограничен законодательно.

На предприятии надо составить и оформить перечень конфиденциальных сведений фирмы и ограничить их распространение. Для этого разрабатываются локальные нормативные акты и проводятся организационные мероприятия, определенные ст. 10 закона №98-ФЗ:

• определяются и систематизируются данные, требующие защиты от неправомерного использования;
• устанавливается порядок ограничения доступа, взаимодействия и надзора;
• учитываются лица или должности, получившие допуск;
• устанавливаются требования к сотрудникам и контрагентам, получившим допуск в ходе выполнения должностных обязанностей или по соглашению;
• документы, составляющие коммерческую тайну, грифуются.

Мероприятия, устанавливающие режим конфиденциальной информации, регламентируются положением, инструкцией или регламентами. Документационное оформление зависит от установленных в организации правил документооборота. Для введения в действие документа издается приказ об утверждении перечня сведений конфиденциального характера. С его содержанием надо ознакомить всех причастных к тайне сотрудников.

Кто имеет доступ

Работников, получивших доступ, знакомят с реестром и мерами, обеспечивающими режим конфиденциальности, под роспись. Лиц, допущенных к информации, относящейся к перечню конфиденциальности, определяет руководитель. Обычно это список должностей, который оформляется приложением к приказу или отдельным пунктом в инструкции или положении. Сотруднику обеспечиваются условия для сохранения тайны: специальная мебель, запирающиеся шкафы и пр. Допуск к сведениям ограниченного доступа, если он не предусмотрен трудовым договором, предоставляется с согласия служащего.

Ответственность за нарушение

Работники или контрагенты, разгласившие перечень информации, относящейся к конфиденциальной информации, несут ответственность:

• административную: по ст. 13.14 КоАП. Штрафы для физлиц — 500–1000 руб., для юрлиц — 4000–5000 руб.;
• уголовную: сбор и огласка данных коммерческого, банковского или налогового характера карается по ст. 183 УК РФ штрафом, принудительными работами или ограничением свободы;
• материальную: по ст. 139 ГК РФ работник, виновный в разглашении, возмещает работодателю ущерб;
• дисциплинарную: по ст. 81 ТК РФ за разглашение тайны, охраняемой законом, с работником расторгается трудовой договор.

Источник

Что относится к персональным данным. Кому их можно передавать, как хранить и уничтожать

В последние годы вопрос о персональных данных стал крайне острым ввиду активной цифровизации, а следовательно, и с ростом рисков по утечке и мошенническом использовании информации. При проведении проверок инспекторы обращают внимание на документы, относящиеся к персональным данным, их наличие, хранение, согласие работников на обработку и т.д.

Что такое персональные данные и что к ним относят

Персональные данные — это любая информация, прямо или косвенно относящаяся к физическому лицу, и позволяющая его определить. Это из статьи 3 ФЗ «О персональных данных», от 27.07.2006 № 152-ФЗ (далее — Закон).

К персональным данным, согласно данному закону, относят:

• фамилия, имя, отчество;
• место, дата рождения;
• место постоянной или временной регистрации;
• фотография или видеозапись человека, позволяющие идентифицировать человека;
• сведения о детях, родственниках, семейном положении;
• сведения о заработной плате;
• оценка навыков, личностных качеств;
• индивидуальные личные данные (раса, национальность, политические или религиозные взгляды, философские убеждения; состояние здоровья);
• информация о судимостях, или их отсутствии;
• номер телефона, адрес электронной почты, иные идентификаторы в соц. сетях или мессенджерах;
• паспортные данные, СНИЛС, ИНН (хотя с ИНН вопрос спорный);
• биометрические данные.

Но стоит учитывать, что некоторые из этих данных сами по себе, без связки с другими данными, персональными являться не могут. Если номер телефона сам по себе не является персональными данными, то в базе оператора, с указанием ФИО владельца — является. Адрес электронной почты в формате petrov_sergey_1987@mail.ru — тоже относится к персональным данным, как и ФИО, с привязкой к ИНН, номеру телефона или месту регистрации.

Также существует классификация персональных данных. Их подразделяют на:

Такая классификация дана в Постановлении Правительства от 1 ноября 2012 г. № 1119.

Немного подробнее по каждой категории.

Общедоступные — те, на доступ к которым дано согласие субъекта персональных данных, а не те, которые можно найти в общем доступе в интернете.

Специальные — информация о расе, национальности и религии; политических и философских взглядах, здоровье, подробностях личной жизни,

Биометрические — информация о физиологических и биологических особенностях человека. Это отпечатки пальцев, генетическая информация, рисунок радужной оболочки глаз, образцы голоса, фотографии.

Но здесь тоже важна определенная привязка к личности. Например, отпечаток пальца, используемый для идентификации сотрудника для входа в офис. Или скан радужной оболочки глаза.

К иным данным относится все остальное. Это как папка «разное» на большинстве компьютеров. Это электронная почта или геолокация,

информация о принадлежности к определенной социальной группе,

стаж работы и пр.

Также стоит упомянуть, кто является субъектом персональных данных, а кто оператором. Соответственно, субъект — физическое лицо, чьи данные обрабатывают. К примеру, собирают и хранят. А оператор персональных данных — юридические лица, государственные организации или ведомства. Они данные собирают, обрабатывают, хранят , передают и уничтожают .

Обратите внимание! Уничтожение персональных данных должно происходить таким образом, чтобы впоследствии ими не могли воспользоваться ни злоумышленники, ни нечистоплотные сотрудники организации, а у проверяющих не оставалось сомнений в законности процедуры. Делис Архив проведет экспертизу документов, отбор и уничтожение, предоставит все подтверждающие документы и уничтожит документы, содержащие конфиденциальную информацию. Подробнее .

Обработка персональных данных

Любой договор с физлицом, содержащий его личные данные (а он и будет их содержать, если это не публичная оферта), должен в обязательном порядке содержать раздел о персональных данных. Без письменного согласия человека, обработка персональных данных оператором, а также их передача третьим лицам — запрещена.

Вообще, обработка персональных данных — это вообще любые действия, которые с ними делают. Сюда входит:

В свою очередь, обработка может осуществляться тремя путями:

• Автоматизированная — с помощью средств вычислительной техники. Это компьютеры, телефоны и другие электронные устройства, базы данных, криптографические средства защиты, программы, скрипты.
• Смешанная — обработка человеком при участии средств вычислительной техники. Например, когда в бухгалтерии вбивают в программу данные из бумажного заявления на отпуск.
• Неавтоматизированная — без автоматизации.

После того, как персональные данные обработаны они отправляются на хранение в архив. Это может быть и отдельное специализированное помещение (если речь о бумажных документах) и электронное хранилище (например, облачное). В любом случае вам впоследствии нужно иметь возможность оперативно найти данные и уничтожить их (по требованию субъекта) или передать (в силу закона).

Чтобы поиск не стал квестом, рекомендуем правильно организовать архив, как обычный, так и электронный. Как это сделать знают специалисты Делис Архив .

Что будет, если нарушить законодательство о персональных данных

Следит за соблюдением законодательства в этой сфере организация, которая у многих на слуху — Роскомнадзор. Применяемая статья — 13.11 КоАП.

• обработка ПД, несовместимая с целью сбора — штраф до 3 тыс. для граждан, до 10 тыс. на должностных лиц, до 50 тыс. — на организации .
• обработка ПД без письменного согласия субъекта — штраф для граждан до 5 тыс., до 20 тыс. на должностных лиц, до 75 тыс. на организации .
• неопубликование документа о политике оператора в отношении обработки ПД — штраф для граждан до 1,% тыс руб., для должностных лиц до 6 тыс., для ИП до 10 тыс., а для юрлиц — до 30 тыс .

Если собирать персональные данные о гражданах РФ на серверы, расположенные за пределами РФ — штраф до 6 миллионов.

Что делать, чтобы не попасть под штрафы

Чтобы собирать, хранить и обрабатывать ПД, нужно соблюдать требования Закона № 152-ФЗ. Краткий чек-лист:

• Зарегистрироваться в Роскомнадзоре, как оператор персональных данных.
• Запрашивать разрешение на сбор и обработку данных у субъектов и не собирать с них лишние данные.
• Отвечать на обращения субъектов и предоставлять им всю информацию.
• Собирать и хранить информацию только для достижения определенных целей, и на определенный срок.
• Хранить и защищать ПД по закону, обеспечивать сохранность, тайну и точность данных, не передавая третьим лицам. А если передавать, то только с документальным подтверждением и только аттестованным.
• Уточнять, блокировать или уничтожать ПД по заявлению субъектов или когда достигли целей их сбора.

Все нужна регистрация в Роскомнадзоре?

Может возникнуть ощущение, что уже давно всем работодателям нужно бежать в Роскомнадзор и регистрироваться как оператору персональных данных. Однако это не так. Вот исключения:

• сбор персональных данных гражданина оператором осуществляется в связи с установлением трудовых отношений;
• персональные данные собираются с целью заключения договора, без последующей передачи и распространения третьим лицам, также предусматривается использование персональных данных только для исполнения договора с гражданином;
• обработка персональных данных, находящимся в открытом доступе;
• сбор фамилии, имени и отчества граждан без указания телефона, e-mail;
• сбор персональных данных проводится с целью однократного пропуска гражданина на территорию оператора, собирающего данные, или в аналогичных случаях;
• сбор, обработка и хранение персональных данных осуществляется на бумажных носителях без использования средств автоматизации. Кстати, хранить свой бумажный архив, включая кадровые документы и персональные данные вы можете и вне офиса . Так можно избежать их утраты и несанкционированного доступа к информации.

Во всех остальных случаях — регистрация обязательна!

Не забудьте, что в Делис Архив действует акция «Новогодняя» — дарим полезные подарки действующим и будущим клиентам!

Источник

Правовое регулирование конфиденциальной информации

Защита данных
на базе системы

И нформация представляет собой сведения, которые регламентированы правовыми нормами. Существует два вида информации: сведения, находящиеся в открытом и в ограниченном доступе. Между открытой и конфиденциальной информацией имеются принципиальные различия. Распространение конфиденциальной информации создает угрозу экономической безопасности и наказывается в соответствии с действующим законодательством.

Понятие и виды конфиденциальной информации

Согласно Федеральному закону Российской Федерации «Об информации, информационных технологиях и о защите информации» № 149-ФЗ, сведения делятся на два вида:

• информация для общего пользования. Вид данных, находящихся в открытом доступе для всех граждан РФ;
• данные с закрытым доступом. Вид сведений, которые ограничены нормативно-правовыми актами РФ и доступны только определенным категориям лиц, которые получают доступ к информации в связи со своими служебными полномочиями.

Понятие конфиденциальной информации

В широком смысле слова, конфиденциальная информация – это сведения с ограниченным доступом. В узком смысле, конфиденциальная информация имеет особую ценность для лиц, пребывающих на государственной службе или работающих в организации.
Законодатель раскрывает понятие «конфиденциальность информации» в Федеральном законе «Об информации» № 149-ФЗ. Согласно ст. 2 закона, к данным ограниченного доступа относятся сведения, которые не могут быть переданы третьим лицам без согласия на это обладателя данных.

Конфиденциальная информация представляет собой определенную тайну, поскольку она доступна только нескольким категориям лиц, имеющим право и доступ на работу с ней. Охрана и правовая защита конфиденциальных данных гарантирована государством и закреплена в Конституции РФ. В основном законе РФ указано, что гражданин, организация и государство, имеют право на тайну.

Основными источниками правового регулирования конфиденциальной информации в РФ являются:

• международные договоры и соглашения;
• конституция РФ;
• федеральные законы;
• законы субъектов;
• локальные акты.

Виды конфиденциальной информации

Конфиденциальная информация делится на несколько видов в зависимости от содержания и от того, в каком кругу используется:

1. Служебная тайна.

Согласно Указу Президента № 188 «Об утверждении Перечня сведений конфиденциального характера», под служебной тайной понимают информацию, имеющую особую ценность, доступ к которой ограничивается государственными органами РФ в соответствии с действующим законодательством.

Информация, являющаяся служебной тайной, также регулируется положениями Постановления Правительства РФ № 1233 «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти».

В указанном Постановлении закреплены правовые положения о работе с информацией, составляющей служебную тайну:

• обязательное проставление отметки «Для служебного пользования»;
• передача сотрудникам информации, содержащей служебную тайну, только под расписку;
• хранение сведений «Для служебного пользования» в сейфах;
• уничтожение документов, содержащих служебную тайну только по акту;
• копирование документов со служебной тайной с письменного согласия руководителя.

2. Коммерческая тайна.

В соответствии со ст. 3 Федерального закона «О коммерческой тайне» № 98-ФЗ, под коммерческой тайной понимается режим ограничения использования, передачи и распространения информации, которая позволяет ее обладателю получить материальную или нематериальную выгоду.

Обладание чужой коммерческой тайной позволяет конкурентам увеличить прибыль, избежать лишних расходов, получить привилегии на рынке товаров и услуг.

Согласно закону № 98-ФЗ, сведениями, составляющими коммерческую тайну, могут быть результаты интеллектуальной деятельности, научно-техническая информация, которая представляет собой особую коммерческую ценность для организации.

Ценность коммерческой тайны заключается в том, что она известна лишь определенному кругу лиц и недоступна третьим лицам. Примером коммерческой тайны может служить производство по уникальной технологии какой-либо продукции.

Законодатель, помимо прочего, указывает, какие сведения не могут признаваться коммерческой тайной:

• сведения из единого государственного реестра юридических и физических лиц, подтверждающие факт внесения записи в реестр;
• лицензии и сертификаты, которые дают право заниматься предпринимательской деятельностью;
• сведения о количестве сотрудников и размере заработной платы на предприятии;
• информация, касающаяся задолженности или невыплаты заработной платы и любых социальных выплат;
• сведения о нарушении законов и привлечении к юридической ответственности;
• информация, касающаяся безопасности граждан, общества в целом и окружающей среды;
• список лиц, имеющих право совершать юридические действия без доверенности;
• информация о проведении конкурсов или аукционов по приватизации государственной или муниципальной недвижимости.

3. Персональные данные.

Федеральный закон «О персональных данных» № 152-ФЗ поясняет, что можно считать персональными данными. Исходя из ст. 3 закона, персональные данные – это любые сведение относящиеся (прямо или косвенно) к субъекту персональных данных, то есть физическому лицу.

Согласно закону, получение, обработка, хранение и иные действия с персональными данными физического лица, производятся только с согласия последнего.

При этом лицо, которое занимается обработкой персональных данных, не имеет права разглашать сведения, которые ему предоставляет гражданин. В исключительных случаях допускается передача таких данных, если физическое лицо лично дает на это согласие, либо это предусмотрено действующим законодательством.

4. Тайна уголовного судопроизводства.

В Уголовно-процессуальном кодексе РФ (УПК РФ), закреплено положение, которое запрещает разглашать сведения, касающиеся уголовного дела на стадии предварительного расследования.

Следователь или дознаватель обязан сообщить участникам уголовного судопроизводства о недопустимости разглашении сведений по уголовному делу, о чем составляется соответствующая расписка.

Однако в ст. 161 УПК РФ говорится о том, что в исключительных случаях данные предварительного расследования могут предать гласности с разрешения лиц, ведущих расследование. Также, законодатель отмечает, что информация, которая может быть оглашена, не должна противоречить интересам следствия и участников уголовного судопроизводства.

При этом запрещается разглашение сведений, которые содержат информацию о частной жизни участников уголовного дела, а также несовершеннолетних граждан, которые не достигли возраста 14 лет.

5. Судебная тайна.

В судопроизводстве также существует конфиденциальная информация, которая называется судебная тайна. В любой отрасли права (административной, гражданской и уголовной) законодатель закрепляет принцип ее соблюдения.

Сущность данного принципа состоит в следующем:

• судья или коллегия судей выносят решение только в совещательной комнате;
• никто, кроме судей, не имеет право участвовать при вынесении решения, за исключением присяжных заседателей;
• при участии в судебном разбирательстве присяжные заседатели не имеют права разглашать решения суда;
• неразглашение информации по делам особой категории. Несмотря на то, что в РФ одним из принципов судопроизводства является гласность, то есть открытость судебного заседания, имеется ряд дел, по которым заседание в обязательном порядке должно быть закрытым. К таким делам, например, относятся все дела, касающиеся защиты прав и интересов несовершеннолетних.

6. Профессиональная тайна.

Профессиональная тайна есть практически в каждой профессии: врач, адвокат, нотариус, психолог. Для каждого специалиста существует особое понятие профессиональной тайны, которая регламентированное в различных правовых актах.

Например, адвокаты руководствуются Федеральным законом № 63-ФЗ «Об адвокатской деятельности и адвокатуре в Российской Федерации». В ст. 8 закона указано, что адвокатской тайной признаются сведения, которые стали известны адвокату при оказании юридической помощи своему доверителю. При этом недопустим допрос адвоката по обстоятельствам, которые стали ему известны в ходе профессиональной деятельности.

Аналогичные правовые положения закреплены для нотариусов, врачей и иных специалистов, получающих сведения, которые не подлежат разглашению. Каждый сотрудник, который получает доступ к данным, подписывает документ о неразглашении сведений.

Защита конфиденциальной информации

Для того чтобы не произошла утечка конфиденциальной информации, необходимо предпринимать соответствующие меры, которые препятствовали бы этому. Законодатель закрепил правовые положения о защите данных в Федеральном законе «Об информации, информационных технологиях и защите информации» № 149.

Также существует несколько правовых способов защиты сведений ограниченного доступа. Законодательное регулирование по вопросам, связанным с защитой сведений ограниченного доступа, заключается также в закреплении юридической ответственности за разглашение такой информации.

Защита информации

Как упоминалось выше, положения, регламентирующие вопросы по защите конфиденциальной информации, закреплены в ФЗ № 149. В соответствии с законодательством, под защитой информации понимается:

• обеспечение защиты сведений ограниченного доступа от неправомерного посягательства;
• соблюдение режима ограниченного доступа к ограниченным данным;
• принятие мер по реализации права на доступ к ограниченной информации.

Законодательное координирование данных ограниченного доступа заключается также в том, чтобы принять меры по защите информации:

• предотвращение утечки информации;
• своевременное обнаружение попытки незаконно получить доступ к информации;
• предупреждение последствий, которые возникают при несанкционированном доступе к сведениям;
• постоянный мониторинг уровня защиты информации;
• возможность восстановить данные, которые были уничтожены;
• размещение информации ограниченного доступа в базах данных на территории РФ.

Для защиты критичных данных существуют следующие виды защиты:

• Физическая. Физическая защита заключается в хранении информации в специальных сейфах или хранилищах, доступ к которым разрешен узкому кругу лиц.
• Аппаратная. Аппаратный способ защиты предполагает хранение информации на специальных компьютерах или серверах, которые постоянно контролируются с целью предотвращения несанкционированного доступа к данным.
• Программная. Защита информации осуществляется с помощью программного обеспечения, которое своевременно блокирует неразрешенные действия пользователей и предотвращает утечку сведений.
• Математическая (криптографическая). Математическая защита позволяет шифровать данные, делая их прочтение недоступным для третьих лиц.

Ответственность за правонарушения в сфере информации

Согласно ст. 17 Федерального закона № 149, за нарушение требований, установленных для конфиденциальных сведений, наступает юридическая ответственность.

Правовые нормы закрепляют следующие виды ответственности:

• Дисциплинарная. Данный вид ответственности применяется, когда работник совершил дисциплинарный проступок. Например, разгласил персональные данные коллеги третьим лицам.
• Гражданско-правовая. Указанный вид ответственности предполагает взыскание морального или материального вреда за разглашение сведений ограниченного доступа.
• Административная. К административной ответственности привлекается лицо, совершившее преступление, предусмотренное Кодексом об административной ответственности. Например, разглашение и распространение информации с ограниченным доступом.
• Уголовная. Уголовная ответственность за преступление в сфере информации может наступить вследствие незаконного способа получения информации, например, за взлом программного обеспечения.

Правовое регулирование конфиденциальной информации помогает обеспечивать ее сохранность и защиту. При этом гарантом защиты являются сразу несколько нормативных актов, регулирующих правовые вопросы, касающиеся сведений ограниченного доступа.

Источник