Конфиденциальная и коммерческая информация
konfidencialnaya_i_kommercheskaya_informaciya.jpg
Похожие публикации
Конфиденциальная информация – это сведения, не подлежащие публичному распространению и охраняемые законом. К ним имеют доступ ограниченное количество лиц, которые берут на себя обязательство не разглашать известную им тайну. Если оно будет нарушено, распространителям секретной информации может грозить дисциплинарная, материальная, административная, а в некоторых случаях даже уголовная ответственность.
Виды конфиденциальной информации
Главный признак конфиденциальности каких-либо сведений – законодательное ограничение доступа к определенному роду информации. Без согласия обладателя тайны данные сведения запрещается передавать посторонним лицам, не имеющим права их знать. Подобная характеристика дана в Федеральном законе об информации № 149 от 27.07.2006 (ст. 2).
Полный перечень конфиденциальной информации представлен в президентском указе № 188, изданном более 20 лет назад – 6 марта 1997 года. Согласно этому документу, к секретным сведениям, не подлежащим разглашению, относятся данные:
В 2015 году в указ Президента № 188 был добавлен новый пункт (п. 7), в соответствии с которым теперь конфиденциальной является информация и о принудительном исполнении судебных и властных актов, а также сведения, содержащиеся в личных делах осужденных граждан. Исключение составляют общедоступные данные, являющиеся таковыми согласно Федеральному закону № 229 от 02.10.2007 «Об исполнительном производстве».
Конфиденциальная информация, коммерческая тайна: отличия
Перечень конфиденциальных сведений наглядно иллюстрирует, что коммерческая тайна является одним из ее видов. То есть это более узкое понятие, имеющее непосредственное отношение к бизнесу, извлечению прибыли. Конфиденциальная коммерческая информация, ее сохранение, способствует успешной деятельности компании, дает ей преимущество над конкурентами. Именно в этом заключается главное предназначение оберегаемых фирмой сведений, имеющих коммерческую ценность.
Компания сама устанавливает режим секретности для определенной информации, фиксируя это в специальном Положении. Также руководством фирмы издается приказ, определяющий, кто из сотрудников имеет доступ к сведениям, которые составляют коммерческую тайну.
Конфиденциальная информация организации не всегда связана с необходимостью удержать или повысить прибыль. Вышеназванный указ Президента № 188 показывает, что она имеет широкий спектр. К конфиденциальным сведениям относятся различные виды тайн: служебная, коммерческая, профессиональная и т.д. Их перечень определен правовыми актами и охраняется законом. Следует отметить, что конфиденциальная информация становится коммерческой тайной только после того, как организация в локальных актах признает ее таковой.
Ответственность за разглашение конфиденциальной информации
Принимая на работу сотрудника, которому предстоит работать с конфиденциальными сведениями, работодатель обязан под роспись ознакомить его с их перечнем. В трудовом договоре с подчиненным следует отразить обязательство о неразглашении коммерческой или иной тайны, прописав возможные санкции за его нарушение (57-я статья Трудового кодекса РФ). Тогда, распространив секретную информацию, ее носитель может получить дисциплинарное взыскание, вплоть до увольнения.
Работа с конфиденциальной информацией подразумевает повышенную ответственность сотрудника, которому в силу служебного положения она стала известна. 81-я статья ТК РФ одним из оснований для расторжения трудового договора по инициативе руководства называет разглашение работником коммерческой или другой тайны. Если утечка конфиденциальной информации нанесла компании реальный материальный ущерб, сотрудник должен его компенсировать в полном размере (243-я статья ТК РФ). Но работодателю придется доказать, что материальные потери фирмы являются следствием действий подчиненного.
Подписав документ о неразглашении конфиденциальной информации, и нарушив это обязательство, работнику нужно помнить о возможной уголовной ответственности, установленной 183-й статьей УК РФ. Она применяется, если без согласия владельца разглашена налоговая, коммерческая или банковская тайна, о которой гражданину стало известно в ходе исполнения трудовых или служебных обязанностей. Максимальный штраф за это деяние составляет миллион рублей. Возможны и иные виды наказания, например, лишение свободы или принудительные работы сроком до трех лет.
Также, если разглашена конфиденциальная информация, закон позволяет применить к гражданину или должностному лицу административную ответственность в виде штрафа. В первом случае он может достигать 500-1000 рублей, во втором – 4000-5000 рублей (ст. 13.14 КоАП РФ).
Полные тексты нормативных документов в актуальной редакции вы всегда сможете посмотреть в КонсультантПлюс.
Какие сведения относятся к конфиденциальной информации
Защита данных
на базе системы
Д еятельность многих организаций и служб связана с необходимостью хранения данных, огласка которых нежелательна. Конфиденциальность некоторых из них официально подтверждается законодательными актами. Существует информация, которая сохраняется в тайне по инициативе руководства предприятий или личным пожеланиям граждан. Чтобы конфиденциальные сведения не попали к посторонним лицам, должна быть организована их защита. Для обеспечения информационной безопасности используются специальные методы и компьютерные программы.
Сведения, не подлежащие разглашению
Информацией, не подлежащей огласке, считают не только служебные или государственные тайны, но и данные, доступные ограниченному кругу лиц. Ограничения могут накладываться, например, на сообщения о чрезвычайных событиях, губительных природных явлениях, санитарно-эпидемиологической обстановке в стране.
О том, какие сведения официально считаются конфиденциальными, говорится в Указе Президента Российской Федерации (с последними дополнениями от 13 июля 2015 года за № 357). К ним относятся:
Сведения, которые не считаются конфиденциальными
Сведения не считаются секретной информацией, если они внесены в свидетельство о регистрации предприятия, лицензию или учредительные документы.
Конфиденциальной информацией не являются данные об имуществе компании, кадровой политике и способах оплаты труда. Не считаются тайной также любые данные, занесенные в каталоги и прайс-листы.
Руководство предприятия не должно засекречивать сведения о наличии вредных производственных факторов. Оно несет ответственность за сокрытие информации о несоблюдении экологических и санитарных норм.
Открытой информацией являются также данные о проведении на предприятиях тендеров и конкурсов с целью подписания контрактов и набора новых сотрудников.
К секретным сведениям не имеют отношения данные о финансовой деятельности некоммерческих организаций.
Для чего составляется перечень засекреченных сведений
Вопрос о конфиденциальности служебных данных иногда бывает спорным. Нередко из-за неопределенности принятых правил возникают производственные конфликты и судебные разбирательства.
Прежде чем уволить работника, подозреваемого в разглашении коммерческой тайны, работодатель должен обосновать причину подобных действий. Увольняемый человек зачастую не согласен с тем, что совершил нечто противозаконное. Он может обратиться в Инспекцию труда с жалобой на несправедливые обвинения.
Пример 1.
Работнику понадобилось распечатать служебный документ, для чего он перенес содержимое на флэш-накопитель. В договоре, подписанном им при поступлении на работу, указывалось, что сотрудники фирмы не имеют права разглашать коммерческие тайны. Но там ничего не говорилось о том, какие именно сведения считаются секретной информацией. Если проверка, проведенная трудовой инспекцией, подтвердит неопределенность формулировок, работодателю придется отменить приказ об увольнении.
Перенос коммерческих сведений на флешку нельзя считать проступком, если не доказано, что работник передал этот носитель третьему лицу или поместил засекреченные данные в домашний компьютер.
Пример 2.
Сотрудник, уволившийся по собственному желанию, поделился конфиденциальной информацией о деятельности компании с конкурентами. В результате фирма понесла убытки. Руководство подает заявление в суд и требует, чтобы виновник возместил материальные потери. Для оценки справедливости требований и размеров ущерба суду также потребуется перечень секретных сведений и обоснование суммы убытков.
Чтобы избежать подобной неопределенности, работодатель должен составить список коммерческих тайн. В документе необходимо четко указывать, что их разглашение нанесет фирме финансовый ущерб. Следует отметить, кто из работников имеет право пользоваться конфиденциальной информацией. Необходимо сообщить о порядке обращения с подобными материалами и мерах, предпринимаемых для соблюдения конфиденциальности.
Секретные данные должны храниться под грифом «Коммерческая тайна».
Доступ к документам предоставляется только тем сотрудникам, которым они нужны для работы. Доверенное лицо дает расписку о неразглашении. Перед этим его знакомят со списком коммерческих тайн и предупреждают об ответственности за утечку информации.
В защите нуждается не только интеллектуальная собственность компании, но и сведения о клиентах. Разглашение их персональных и банковских данных грозит фирме потерей репутации, доверия.
Меры сохранения конфиденциальности сведений
Руководство компании должно заранее принять меры для защиты конфиденциальной информации. Такими мерами являются:
1. Введение разрешительной системы доступа к секретным работам и документам, содержащим важные данные. Необходимо соблюдать режим коммерческой тайны. Следует четко оговаривать список доверенных лиц, которым дается разрешение на вход в информационную систему.
2. Ограничение доступа посторонних лиц в помещения, где хранятся секретные документы или важные компьютерные программы.
3. Надежное хранение паролей и ключей доступа к ценным сведениям. Это позволит защитить их от похищения, подмены или уничтожения.
4. Резервное копирование важных материалов. Оно позволяет в случае необходимости доказать их подлинность, воспроизвести утерянные данные.
Все предпринимаемые действия должны согласовываться с законодательством Российской Федерации.
Средства, используемые для обеспечения сохранности данных
Для обеспечения информационной безопасности применяются две методики: программно-аппаратная защита и использование защищенных каналов связи.
Программно-аппаратная защита данных позволяет контролировать доступ к секретным материалам. Коротко опишем ее виды.
Идентификация
Для входа в систему требуется магнитная карта, работа в определенных частотных диапазонах. Доступ к работе с секретной информацией предоставляется только после введения специальных логинов, паролей или биометрических данных.
Аутентификация
Это методика дополнительного подтверждения подлинности данных, сообщаемых при идентификации. Становится ясно, что человек, интересующийся засекреченной информацией, действительно является тем, за кого себя выдает.
К средствам аутентификации можно отнести личные смарт-карты, цифровые подписи, pin-коды, usb-ключи.
После вхождения в систему сотруднику предоставляется доступ к информации, которая ему требуется для выполнения регламентных заданий. Остальные данные остаются закрытыми.
Протоколирование
Информационная система фиксирует тех, кто получал доступ к материалам, и действия, которые производились с их использованием.
Аудит
Программа выдает отчет о производимых действиях, продолжительности доступа отдельных сотрудников к секретным материалам. При попытке нарушения информационной безопасности автоматически включается система реагирования.
Шифрование
Для создания конфиденциальности проводится шифрование данных, относящихся к коммерческим тайнам.
Экранирование
При использовании такой технологии сведения разделяются по степени секретности, а также доступности отдельным сотрудникам, смежным организациям или компаниям-конкурентам. При этом используются «сетевые экраны» (файрволы) – компьютерные программы контроля и фильтрации интернет-данных.
Использование защищенных коммуникационных каналов
Передача информации по общедоступным каналам связана с риском их попадания в чужие руки.
Чтобы этого не произошло, проводится «туннелирование». Такая технология представляет собой передачу засекреченных данных через обычную сеть в замаскированном («инкапсулированном») виде.
Заключение
Любой гражданин, а также государственное или частное предприятие имеют право владеть информацией, требующей защиты от постороннего внимания. Важно, чтобы она не противоречила федеральным законам и не использовалась во вред государственным интересам.
К утечке секретных данных может привести введение в компьютер посторонних программ, повреждение или кража электронных носителей, сбой в работе автоматических систем обработки данных. Действия, которые приводят к разглашению засекреченных данных, являются уголовно наказуемыми. Такими действиями считаются незаконный вход в систему секретной информации, перехват сведений, замена их ложными данными. Запрещено несанкционированное использование устройств, в которых хранятся секретные материалы.
В каждой организации должен существовать индивидуальный перечень конфиденциальной информации, запрещенной к распространению. Важную роль играет соблюдение мер информационной безопасности.
Конфиденциальность
В англо-американской традиции различают два основных вида конфиденциальности: добровольную (privacy) и принудительную (secrecy). (См. Эдвард Шилз — The Torment of Secrecy: The Background & Consequences Of American Security Policies (Chicago: Dee 1956) В первом случае имеются в виду прерогативы личности, во втором случае имеется в виду информация для служебного пользования, доступная ограниченному кругу официальных лиц фирмы, корпорации, государственного органа, общественной или политической организации. Хотя privacy и secrecy схожи по значению, на практике они обычно противоречат друг другу: усиление secrecy ведёт к нарушению и уменьшению privacy. В тоталитарных и авторитарных государствах под конфиденциальностью, как правило, имеется в виду только secrecy.
Содержание
Определения
Конфиденциальность информации — принцип аудита, заключающийся в том, что аудиторы обязаны обеспечивать сохранность документов, получаемых или составляемых ими в ходе аудиторской деятельности, и не вправе передавать эти документы или их копии каким бы то ни было третьим лицам, либо разглашать устно содержащиеся в них сведения без согласия собственника экономического субъекта, за исключением случаев, предусмотренных законодательными актами.
Конфиденциальная информация — информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации и представляет собой коммерческую, служебную или личную тайны, охраняющиеся её владельцем.
Защита конфиденциальности является одной из трёх задач информационной безопасности (наряду с защитой целостности и доступность информации).
Актуальность конфиденциальности
С момента начала использования компьютерных технологий во всех сферах деятельности человека, появилось много проблем, связанных с защитой конфиденциальности. Главным образом это связано с обработкой документов с применением компьютерных технологий. Многие административные меры по защите конфиденциальности частных лиц и организаций утратили свою силу в связи с переходом документооборота в абсолютно новую среду.
При получении личных писем, при заключении договоров, во время деловой переписки, при телефонных разговорах со знакомыми и незнакомыми людьми, человек пользовался различными средствами аутентификации. Личные письма отправлялись с указанием существующего почтового адреса или имели штамп именно тех почтовых отделений, где проводилась обработка таких писем. При заключении договоров применялись бланки, произведённые на типографиях, на которых с использованием пишущих машинок, имевших уникальные серийные номера, печатался текст, который затем подписывался должностным лицом и заверялся печатью организации. При разговорах по телефону, достоверно было известно, что разговор ведётся именно с тем человеком, голос которого был ранее известен. Многие сотни административных мер были направлены на защиту конфиденциальности при общении людей.
С внедрением компьютерных технологий в жизнь человека многое изменилось. При использовании, например, электронной почты появилась возможность указания несуществующего обратного адреса или имитации получения письма от знакомого человека. При повседневном общении через сеть Интернет многие признаки, идентифицирующие того или иного человека в обычной жизни (пол, возраст, степень образования), перестали быть таковыми. Появилась так называемая «виртуальная реальность».
Быстро и эффективно решить проблемы связанные с защитой конфиденциальности в компьютерных системах невозможно. Появилась необходимость в комплексном подходе к решению данных проблем. Этот подход должен предполагать использование организационных и правовых мер, а также программно-аппаратных средств, обеспечивающих защиту конфиденциальности, целостности и доступности.
На сегодняшний день в организациях для обеспечения корректной работы со сведениями конфиденциального характера существует набор норм. Руководитель организации подписывает перечень сведений, имеющих конфиденциальный характер. В договоре, подписываемом работником и работодателем, существует пункт, в котором говорится об ответственности за некорректную работу с конфиденциальными сведениями, в результате чего при несоблюдении прописанных в договоре норм по работе с этими сведениями, появляется законное основание для привлечения таких сотрудников к административной или уголовной ответственности. А также в организациях имеется комплекс мер, направленных на обеспечение защиты конфиденциальных сведений. Например, такими мерами могут являться: подбор квалифицированного персонала, прогнозирование возможных угроз и проведение мероприятий по их предотвращению, использование различного уровня доступа персонала к информации с различной секретностью.
Так как невозможно детально изучить данную область в короткие сроки, было введено направление по подготовке специалистов в сфере информационной безопасности.
| 090000 | Информационная безопасность |
|---|---|
| 090100 | Информационная безопасность |
| 090101 | Криптография |
| 090102 | Компьютерная безопасность |
| 090103 | Организация и технология защиты информации |
| 090104 | Комплексная защита объектов информатизации |
| 090105 | Комплексное обеспечение информационной безопасности автоматизированных систем |
| 090106 | Информационная безопасность телекоммуникационных систем |
| 090107 | Противодействие техническим разведкам |
| 090108 | Информационная безопасность (СПО) |
С помощью программно-аппаратных средств защиты информации, представленных различными производителями, можно достичь более высоких показателей эффективности, если применять их комплексно. К таким средствам относят оборудование для криптографической защиты речевой информации, программы для криптографической защиты текстовой или иной информации, программы для обеспечения аутентификации почтовых сообщений посредством электронной цифровой подписи, программы обеспечения антивирусной защиты, программы защиты от сетевых вторжений, программы выявления вторжений, программы для скрытия обратного адреса отправителя электронного письма.
Подобный перечень программно-аппаратных средств, как правило, разрабатывается специалистами в области защиты информации с учётом многих факторов, например характеристики автоматизированной системы, количества пользователей в этой системе, различия уровня доступа этих пользователей и т. д.
Конфиденциальность в законодательстве РФ
Кроме того, в ГОСТ 17799-2005 конфиденциальность определена, как «обеспечение доступа к информации только авторизованным пользователям.»
27 июля 2006 года появился Федеральный закон Российской Федерации N 152-ФЗ «О персональных данных». Данный закон регулирует отношения, связанные с обработкой персональных данных. Также в рамках данного закона появилось следующее определение:
 | Конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания |  |
Новшеством в данном законе стало принуждение лиц, обрабатывающих персональные данные, использовать технические (криптографические) средства защиты информации при работе с персональными данными.
Федеральным законом от 27.12.2009 N 363-ФЗ обязанность оператора по обработке персональных данных использовать для защиты персональных данных шифровальные (криптографические) средства отменена.
Перечень конфиденциальной информации
«Кадровик. ру», 2012, N 7
ПЕРЕЧЕНЬ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ
В любой компании существует конфиденциальная информация, которая особенно тщательно оберегается от не имеющих к ней доступа сотрудников, а также конкурентов и поставщиков. Вместе с тем определить степень секретности данных достаточно сложно. В итоге все сведения, связанные с деятельностью организации, начинают считать конфиденциальными. В результате возникают судебные споры как с работниками, так и с другими компаниями.
Перечень конфиденциальных данных,
Информация,
составляющая
коммерческую
тайну
Сведения любого характера
(производственные, технические,
экономические, организационные и
другие), в том числе о результатах
интеллектуальной деятельности в научно-
технической сфере, а также сведения о
способах осуществления профессиональной
деятельности, которые имеют
действительную или потенциальную
коммерческую ценность в силу
неизвестности их третьим лицам
Статья 3
Федерального
закона от
29.07.2004
N 98-ФЗ «О
коммерческой
тайне»
Статья 26
Федерального
закона от
02.12.1990
N 395-1 «О
банках и
банковской
деятельности»
Адвокатская
тайна,
нотариальная
тайна
Сведения, связанные с оказанием
адвокатом юридической помощи своему
доверителю; сведения, которые стали
известны нотариусу в связи с его
профессиональной деятельностью
Основы
законодательства
Российской
Федерации о
нотариате (утв.
ВС РФ 11.02.1993
N 4462-1); ст. 8
Федерального
закона от
31.05.2002
N 63-ФЗ «Об
адвокатской
деятельности и
адвокатуре в
Российской
Федерации»
Сведения,
связанные с
аудитом
организации
Любые сведения и документы, полученные
и (или) составленные аудиторской
организацией и ее работниками, а также
индивидуальным аудитором и работниками,
с которыми им заключены трудовые
договоры, при оказании услуг,
предусмотренных настоящим Федеральным
законом, за исключением:
1) сведений, разглашенных самим лицом,
которому оказывались услуги,
предусмотренные настоящим Федеральным
законом, либо с его согласия;
2) сведений о заключении с аудируемым
лицом договора о проведении
обязательного аудита;
3) сведений о величине оплаты
аудиторских услуг
Статья 9
Федерального
закона от
30.12.2008
N 307-ФЗ «Об
аудиторской
деятельности»
На практике режим конфиденциальности определяется:
— перечнем сведений, составляющих коммерческую тайну; перечнем конфиденциальной информации в организации;
— договорным регулированием отношений с работниками;
— договорным регулированием отношений с контрагентами путем установления соответствующих положений в договоре;
— нанесением на материальные носители конфиденциальной информации ограничительных отметок и грифа конфиденциальности с указанием ее обладателя.
Кроме указанных мер в компании могут при необходимости применяться средства и методы технической защиты конфиденциальной информации, а также другие меры, не противоречащие законодательству Российской Федерации.
Режим коммерческой тайны не может быть установлен в отношении следующих сведений:
— содержащихся в учредительных документах юридического лица и документах, подтверждающих факт внесения записей о юридических лицах в государственные реестры;
— содержащихся в документах, дающих право на осуществление предпринимательской деятельности;
— о загрязнении окружающей среды, состоянии противопожарной безопасности, санитарно-эпидемиологической и радиационной обстановке, безопасности пищевых продуктов и других факторах, оказывающих негативное воздействие на обеспечение безопасного функционирования производственных объектов, безопасности каждого гражданина и безопасности населения в целом;
— о численности, составе работников, системе оплаты труда, об условиях труда, в том числе об охране труда, о показателях производственного травматизма и профессиональной заболеваемости, наличии свободных рабочих мест;
— о задолженности работодателей по выплате заработной платы и по иным социальным выплатам;
— о нарушениях законодательства РФ и фактах привлечения к ответственности за их совершение;
— о размерах и структуре доходов некоммерческих организаций, о размерах и составе их имущества, об их расходах, о численности и об оплате труда их работников, об использовании безвозмездного труда граждан в деятельности некоммерческой организации;
— о перечне лиц, имеющих право действовать без доверенности от имени юридического лица;
— сведений, обязательность раскрытия которых или недопустимость ограничения доступа к которым установлена федеральными законами до вступления в силу Закона N 98-ФЗ.
Рассмотрим порядок установления перечня в конкретной компании.
Как поступать с сотрудником,
разгласившим конфиденциальную информацию?
Во многих компаниях к сотруднику, разгласившему секретные сведения, применяют следующие меры: налагают дисциплинарное взыскание, взыскивают убытки в суде. Некоторые работодатели просто увольняют провинившихся, считая, что распространение конфиденциальной информации является серьезным проступком. Действительно, такая возможность есть. Согласно пп. «в» п. 6 ч. 1 ст. 81 ТК РФ трудовой договор может быть расторгнут работодателем даже в случае однократного разглашения коммерческой тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей.
При возникновении спора о восстановлении на работе лица, уволенного по рассматриваемому основанию, именно на работодателя возлагается бремя доказывания всех обстоятельств разглашения коммерческой тайны. Необходимо тщательно рассмотреть все обстоятельства конкретного дела, проанализировать, имеются ли законные основания для увольнения работника, заподозренного в разглашении конфиденциальной информации, а также оценить возможные риски в случае оспаривания сотрудником увольнения.
Приведем следующий пример: работник использовал флэш-накопитель для распечатки документа на принтере. Однако работодатель посчитал данные действия разглашением коммерческой тайны, поскольку запрет на использование флэш-накопителя для передачи конфиденциальной информации содержался в локальном акте. Однако в организации не было точного перечня таких секретных данных. В результате работник обратился в трудовую инспекцию, и после проверки ему удалось добиться снятия дисциплинарного взыскания.
Таким образом, налагая дисциплинарное взыскание, работодатель должен:
— доказать, что работник нанес материальный вред организации;
— установить, что работник разгласил конфиденциальные данные, включенные в перечень;
— подтвердить факт разглашения и ознакомления работника со списком конфиденциальных сведений.
Если компания захочет взыскать убытки в суде (допустим, менеджер уволился и продал конфиденциальную базу данных конкурентам), то потребуется оценить материальный ущерб. Ключевым условием, позволяющим сформировать доказательственную базу, является наличие перечня конфиденциальной информации.
Перечень конфиденциальной информации
в отдельной организации
В каждой организации составляется свой перечень конфиденциальной информации. Как правило, в него входят:
— сведения о производстве и управлении;
— данные об уровне заработной платы сотрудников;
— персональные данные сотрудников;
— управленческие решения, планы развития производства, инвестиционные программы;
— сведения о переговорах;
— сведения о кадровом составе, штатном расписании;
— бухгалтерская отчетность, первичная документация;
— сведения об уплаченных налогах и сборах;
Понятие персональных данных установлено в Федеральном законе от 27.07.2006 N 152-ФЗ «О персональных данных». Это любые сведения, относящиеся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Необходимо обратить внимание на тот факт, что информация, признанная в компании конфиденциальной, может и не быть отнесена к таковой. К конфиденциальным могут быть причислены документы бухгалтерской отчетности, предоставляемые участникам общества лишь для ознакомления (Постановление ФАС Поволжского округа от 05.04.2005 N А12-12462/04-С56). Аналогичный вывод сделан и в Постановлении ФАС Дальневосточного округа от 16.05.2007, 08.05.2007 N Ф03-А73/07-1/1090 по делу N А73-9822/2006-9, в котором суд признал, что ни нормами Федерального закона от 21.11.1996 N 129-ФЗ «О бухгалтерском учете», ни ст. 89 Федерального закона от 26.12.1995 N 208-ФЗ «Об акционерных обществах» не предусмотрено обязательное предоставление акционеру копий первичных учетных документов, оборотных ведомостей аналитического учета и электронной базы данных бухгалтерской программы общества. Вместе с тем, например, сведения об исполнении налогоплательщиками своих обязательств по уплате налогов не являются налоговой тайной и могут быть разглашены (Постановление ФАС Западно-Сибирского округа от 27.07.2010 по делу N А27-25441/2009).
Таким образом, работодатель самостоятельно должен составить перечень конфиденциальных сведений и установить их распорядительным документом в зависимости от важности данной информации. Однако признание данных конфиденциальными может быть оспорено в суде. При этом важным моментом также являются не только установление самого перечня конфиденциальной информации, но и порядка ее защиты.
Порядок защиты конфиденциальной информации
В соответствии со ст. 10 Закона N 98-ФЗ меры по охране конфиденциальности информации, принимаемые ее обладателем, должны включать в себя:
— определение перечня данных, составляющих коммерческую тайну;
— ограничение доступа к таким сведениям путем установления порядка обращения с ними и контроля за соблюдением этого порядка;
— учет лиц, получивших доступ к конфиденциальной информации, и (или) лиц, которым она была предоставлена или передана;
— регулирование отношений по использованию данных, составляющих коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;
— нанесение на материальные носители, содержащие конфиденциальную информацию, или включение в состав реквизитов документов, содержащих такую информацию, грифа «Коммерческая тайна» с указанием обладателя такой информации.
В целях охраны конфиденциальности информации работодатель обязан:
— ознакомить под расписку работника, которому доступ к таким сведениям необходим для выполнения трудовых обязанностей, с перечнем информации, составляющей коммерческую тайну, обладателями которой являются работодатель и его контрагенты;
— ознакомить сотрудника под расписку с установленным работодателем режимом коммерческой тайны и с мерами ответственности за его нарушение;
— создать работнику необходимые условия для соблюдения установленного режима (ст. 11 Закона N 98-ФЗ).
Трудовой договор с руководителем организации должен предусматривать обязательства этого сотрудника по обеспечению охраны конфиденциальности информации, обладателем которой являются организация и ее контрагенты, и ответственность за соответствующие меры.
Признание данных конфиденциальными
может быть оспорено в суде
При этом в компании могут быть предприняты следующие действия:
— реализация разрешительной системы допуска исполнителей (пользователей, обслуживающего персонала) к информации и связанным с ее использованием работам, документам;
— ограничение доступа персонала и посторонних лиц в защищаемые помещения и помещения, где размещены средства информатизации и коммуникации, а также хранятся носители информации;
— разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты данных;
— учет и надежное хранение бумажных и машинных носителей информации, ключей (ключевой документации) и их обращение, исключающее их хищение, подмену и уничтожение;
— резервирование технических средств и дублирование массивов и носителей информации;
— защита от копирования информации, применение сертифицированных средств ее защиты;
— использование защищенных каналов связи;
— криптографическое преобразование данных, обрабатываемых и передаваемых средствами вычислительной техники и связи.
Очень важно установить в локальном акте организации не только перечень конфиденциальных сведений, но и порядок их использования.
Во взаимоотношениях с работниками компании используют обычно две тактики: защиту интересов в суде, защиту интересов в досудебном порядке путем расторжения договора с работником. Рассмотрим первый способ. В качестве примера можно привести Определение Мосгорсуда от 22.12.2011 по делу N 4г/8-10945/11. Разрешая заявленные исковые требования, руководствуясь ст. 81 ТК РФ, Федеральным законом «О коммерческой тайне», суд пришел к выводу о том, что увольнение истца является законным и обоснованным, поскольку он разгласил коммерческую тайну. Истец направил в адрес сторонней организации по электронной почте документы, к которым у третьих лиц не было свободного доступа и в отношении которых работодатель ввел режим коммерческой тайны.
Но, если конфиденциальная информация не передается третьим лицам, факт копирования сведений без передачи третьим лицам не может расцениваться как разглашение. Так, в Определении от 12.12.2011 по делу N 4г/8-10961/2011 Мосгорсуд пришел к выводу о том, что информация, скопированная истицей на флэш-карту, составляла коммерческую тайну общества, однако доказательств того, что данные сведения были переданы ею третьим лицам, сторона ответчика не представила, а истица совершение подобных действий отрицала. Доказательств пересылки истицей указанных сведений на электронные почтовые ящики третьих лиц, а равно фактов размещения в сети Интернет суд также не получил. При осмотре домашнего компьютера истицы и удалении из него скопированной информации таковых фактов ответчик не зафиксировал. Отметок об этом в акте об удалении информации не было. Действия работника, в результате которых указанная информация становится доступна иным сотрудникам, осуществляющим контроль за соблюдением режима коммерческой тайны в организации, не могут быть квалифицированы по пп. «в» п. 6 ч. 1 ст. 81 ТК РФ. При таких обстоятельствах, когда конфиденциальная информация не была разглашена третьим лицам, физическое лицо может быть восстановлено на работе с выплатой компенсации за время вынужденного прогула.
Распространение несекретной информации не является разглашением конфиденциальных сведений. Такой вывод следует из Определения Мосгорсуда от 14.11.2011 по делу N 33-36486. Суд пришел к выводу о том, что сведения о наличии оборудования, его стоимости, данные о дистрибьюторах не представляют коммерческой тайны, т. к. размещены в прайс-листах, каталогах и буклетах. Таким образом, конфиденциальность не была нарушена. Аналогичный вывод сделал Мосгорсуд в Определении от 18.10.2011 по делу N 33-33741. Разрешая спор и частично удовлетворяя исковые требования, суд обоснованно исходил из того, что обязанность доказать наличие законного основания увольнения и соблюдение установленного порядка увольнения возлагаются на работодателя. Работодатель не представил как доказательств того, что система B2B содержала конфиденциальную информацию, так и доказательств распространения истцом данных, составляющих коммерческую тайну.
Конечно, многие компании в суде не могут доказать свою правоту, поскольку в нормативно-правовой базе отсутствует конкретный перечень документов, которыми можно подтвердить убытки, связанные с незаконным раскрытием конфиденциальной информации. Кроме того, очень сложно оценить именно материальную составляющую, например, утечки информации о контрагентах или финансовых показателях, а также сам факт разглашения. Ведь разглашение может быть осуществлено как в письменной форме, так и в устной. В связи с этим многие компании вынуждены использовать такие методы наказания нерадивых работников, как дисциплинарные взыскания.
Однако иногда компании предпочитают не выносить сор из избы и расстаются с такими работниками по-хорошему. В подобных ситуациях предпочтительнее оформить увольнение по соглашению сторон, предусмотренному ст. 78 ТК РФ. Одно из существенных преимуществ заключается в том, что оспорить такое увольнение практически невозможно, поскольку наличествует взаимная договоренность сторон.
В заключение следует отметить, что от того, насколько четко компания определяет перечень конфиденциальных сведений, а также порядок их охраны, зависят целостность коммерческой тайны, защита интересов организации и возможность восстановления справедливости в суде.
Пример перечня конфиденциальных данных
Перечень сведений, отнесенных к конфиденциальной
(служебной) информации в центральном аппарате
Федерального агентства железнодорожного транспорта
и подведомственных ему предприятиях и учреждениях,
утв. Приказом Федерального агентства
железнодорожного транспорта от 24.01.2011 N 18
Сведения, отнесенные к конфиденциальной (служебной) информации
I. Сведения об отраслевой управленческой деятельности
Сведения (информация), подготовленные Росжелдором на поступающие из
органов государственной власти, предприятий, учреждений и
организаций, независимо от организационно-правовой формы и формы
собственности с пометкой «Для служебного пользования», «Коммерческая
тайна», «Конфиденциально» и другие в части, не содержащей сведений,
составляющих государственную тайну
Сведения, содержащие показатели государственного оборонного заказа в
части, не содержащей сведений, составляющих государственную тайну
Сведения, содержащиеся в материалах служебной проверки
(расследования), до утверждения акта (заключения) по проверке, а
также если сведения, полученные в результате проверки
(расследования), могут быть использованы в дальнейшем для
противоправного действия (нанесения ущерба)
Сведения об организации работы, о конкретных мерах или проводимых
мероприятиях, направленных на обеспечение информационной безопасности
при осуществлении международного сотрудничества с участием
представителей Росжелдора, а также содержащиеся в подготовительных
или отчетных документах (формах) о проведении встречи
II. Сведения об административно-хозяйственной деятельности
Сведения о персональных данных работника Росжелдора, содержащиеся в
личном деле работника, кроме случаев, предусмотренных
законодательством Российской Федерации
Сведения, получаемые при приеме гражданина на государственную
гражданскую службу, необходимые для оформления допуска к
государственной тайне
Сведения об осведомленности работника со сведениями, составляющими
государственную тайну
Протоколы заседаний конкурсных комиссий по проведению конкурсов на
замещение вакантных должностей государственной гражданской службы
Акты проверок деятельности территориальных управлений и
подведомственных организаций
Сведения о штатном расписании Росжелдора
Сведения о расположении структурных подразделений в здании
Протоколы заседаний жилищной комиссии
Протоколы заседаний конкурсной комиссии по проведению
квалификационного экзамена и аттестации
III. Сведения о режиме секретности, мобилизационной подготовке,
гражданской обороне, чрезвычайных ситуациях и транспортной безопасности
Акты проверок обеспечения пропускного режима в административное
здание Росжелдора
Сведения о результатах оценки уязвимости объектов транспортной
инфраструктуры и транспортных средств, кроме тех, обеспечение
безопасности которых осуществляется исключительно федеральными
органами исполнительной власти
Сведения, содержащиеся в планах обеспечения транспортной безопасности
объекта транспортной инфраструктуры и транспортного средства
Сведения, являющиеся информационными ресурсами единой государственной
информационной системы обеспечения транспортной безопасности,
подготовленные Росжелдором, за исключением выписок из реестра
категорированных объектов транспортной инфраструктуры и транспортных
средств
IV. Сведения о защите информации
Сведения об организации обработки служебной информации на средствах
вычислительной техники Росжелдора
Сведения, раскрывающие организацию, состояние защиты информации, или
носителей информации, или информационного процесса
Сведения о методах, средствах или эффективности (состоянии защиты)
конфиденциальной информации в автоматизированных информационных
системах, средствах вычислительной техники, других технических
средствах
Обобщенные сведения, содержащиеся в схеме локальной вычислительной
сети Росжелдора, с указанием организационно-технологических
параметров или технических характеристик и мест расположения ее
ответственных составных частей, информационных узлов (определены на
схеме)
Сведения о конкретных проводимых и (или) планируемых мероприятиях по
информационной безопасности конфиденциальной информации
Сведения об организации, состоянии или расположении инженерных систем
видеонаблюдения, пожарной или охранной сигнализации здания Росжелдора
Сведения, раскрывающие содержание планов и конкретных мероприятий по
охране здания Росжелдора, помещений, в которых выполняются работы,
хранятся материалы, ведутся переговоры конфиденциального характера
Данные охранного видеонаблюдения, фиксации системы охраны помещений,
электронной системы прохода в здание