Как защитить конфиденциальную информацию в организации.
Для защиты конфиденциальной информации нужно принять ряд мер как внутри организации, так и в отношениях с контрагентами.
Чтобы не допустить разглашения внутри организации, разработайте локальные акты, установите порядок обращения с информацией, назначьте ответственных лиц. Конкретный перечень мер зависит от того, какую информацию вы защищаете - персональные данные или коммерческую тайну.
Чтобы обязать контрагента не разглашать конфиденциальную информацию, заключите с ним соответствующее соглашение. Включите в него штраф за разглашение, чтобы не пришлось доказывать размер убытков. Обязательно фиксируйте факты передачи контрагенту документов, содержащих секретные сведения.
Чтобы надежно защитить конфиденциальную информацию, вам нужно принять целый комплекс мер, причем не только правового, но и организационного, а также технического характера. Например, хранить документы в сейфах, установить видеонаблюдение в отдельных помещениях, вести журнал учета документов, использовать шифрование при пересылке по электронной почте, ограничить доступ в Интернет и заблокировать USB-разъемы на компьютерах отдельных сотрудников и т.п.
Правовые меры зависят от того, какую информацию вы намереваетесь защитить. В частности, различные меры требуются для защиты персональных данных и коммерческой тайны.
Чтобы защитить персональные данные, вы должны принять меры, предусмотренные Законом о персональных данных и Трудовым кодексом РФ. В противном случае вас могут привлечь к ответственности по ст. 13.11 КоАП РФ.
Для защиты персональных данных работников, в частности:
установите порядок хранения и использования персональных данных (ст. 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Закона о персональных данных). Для этого составьте и утвердите политику об обработке персональных данных (см., например, Приказ Госкорпорации "Росатом" от 03.07.2018 N 1/700-П);
ознакомьте каждого работника под подпись с указанной политикой (п. 8 ст. 86 ТК РФ, п. 6 ч. 1 ст. 18.1 Закона о персональных данных). Это очень важно, поскольку иначе вы не сможете привлечь работника к ответственности за нарушение предусмотренного порядка;
установите перечень лиц, которые имеют доступ к персональным данным работников. Такие лица должны иметь право получать только те данные, которые необходимы им для выполнения конкретных функций (ст. 88 ТК РФ).
Что учесть при обработке персональных данных лиц, не являющихся сотрудниками организации
Важно помнить, что вы являетесь оператором персональных данных в отношении не только своих работников, но и прочих физлиц, чьи данные получаете. Это могут быть клиенты, партнеры или просто граждане, интересующиеся вашими услугами или товарами, посещающие ваш сайт, получающие СМС-рассылки и пр.
Это накладывает на вас определенные обязанности. В частности, вы должны до начала обработки персональных данных уведомить Роскомнадзор о намерении это делать, за исключением предусмотренных законом случаев (ч. 1 ст. 22 Закона о персональных данных).
В ряде случаев вам нужно получить согласие на обработку персональных данных от лиц, которые обращаются в вашу организацию. Например, его нужно взять у кандидатов на вакантные должности, которые приходят на собеседования, ведь в их анкетах есть персональные данные.
Если у вас есть интернет-сайт, через который вы получаете персональные данные (например, посредством формы обратной связи или подписки на новости), вы должны опубликовать на нем, в том числе на его страницах, с использованием которых собираете эти данные, вашу политику обработки персональных данных и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить доступ к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети (ч. 2 ст. 18.1 Закона о персональных данных). За нарушение этой обязанности вас могут привлечь к ответственности по ч. 3 ст. 13.11 КоАП РФ.
Важно: согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляют отдельно от иных его согласий на обработку его персональных данных (п. 1 ст. 10.1 Закона о персональных данных). При этом такие согласия могут быть предоставлены операторам как непосредственно, так и с использованием информационной системы Роскомнадзора (п. 6 ст. 10.1 Закона о персональных данных). Указанные согласия предоставляются (получаются) через информационную систему Роскомнадзора в соответствии с Правилами, утвержденными приказом Роскомнадзора от 21.06.2021 N 106.
Как защитить информацию, имеющую коммерческую ценность
Режим коммерческой тайны нужен, чтобы защитить информацию, имеющую коммерческую ценность. Он считается установленным после того, как вы примете указанные в законе меры (ч. 2 ст. 10 Закона о коммерческой тайне).
В частности, вам необходимо:
определить перечень информации, которая составляет коммерческую тайну. Обратите внимание, Закон говорит именно об информации, а не о конкретных документах. Их перечень рекомендуем определить отдельно, указав, какая именно информация и в каких конкретно документах может содержаться;
установить порядок обращения с этой информацией и контролировать его соблюдение. Это удобно сделать, разработав инструкцию по работе с коммерческой тайной;
вести учет лиц, получивших доступ к коммерческой тайне. Список лиц лучше составить по должностям, а не по конкретным лицам - так проще предоставлять доступ к коммерческой тайне. Лицо, которому предоставлен доступ, в свою очередь, должно взять на себя письменное обязательство по сохранению информации, относящейся к коммерческой тайне. Иначе есть риск, что в случае ее разглашения лицо заявит, что не знало о статусе документа, и вы не сможете доказать обратное;
урегулировать отношения по использованию информации, составляющей коммерческую тайну, работниками и контрагентами. Самый простой способ - включать соответствующие положения в трудовые договоры и договоры с контрагентами;
нанести гриф "Коммерческая тайна" на материальные носители, которые содержат информацию, или включить его в реквизиты документов.
Если вы не примете какую-либо из указанных в Законе мер, режим коммерческой тайны введен не будет. В таком случае вам могут отказать в привлечении работника к ответственности за разглашение конфиденциальной информации (Кассационное определение Верховного суда Удмуртской Республики от 25.05.2011 по делу N 33-1796).
Срок действия режима коммерческой тайны законодательно не установлен в отношении большинства сведений. Такой срок ограничен только в отношении первичной и интерпретированной геологической информации о недрах Законом о недрах.
Порядок использования в организации грифа "коммерческая тайна"
Организация использует гриф "Коммерческая тайна", если в компании введен режим коммерческой тайны в качестве одной из мер по защите информации, имеющей коммерческую ценность. Перечень документов, на которые ставится такой гриф, законодательством не определен. Обычно данный перечень юрлицо (ИП) утверждает, когда в организации вводятся указанные меры. Это могут быть документы, в которых указаны рецептура, технология, особенности производственных процессов.
На практике гриф выглядит как штамп со следующим содержанием:
Коммерческая тайна
Общество с ограниченной ответственностью "Авалон"
109052, г. Москва, Казанский пр-т, д. 10, пом. 9
Гриф "Коммерческая тайна" вправе ставить работник, которому предоставлен доступ к информации, составляющей коммерческую тайну. Это может быть лицо, в чьи обязанности входит делопроизводство (документооборот), или сотрудник, в чьем ведении находятся документы с данной информацией. В трудовой договор с ним должны быть включены положения о таком доступе и трудовой функции (п. 4 ч. 1 ст. 10 Закона о коммерческой тайне).
Обязательно ли разрабатывать и утверждать положение о коммерческой тайне
Разрабатывать и утверждать такой документ, который назывался бы положением о коммерческой тайне, необязательно. Такого требования Закон о коммерческой тайне не содержит.
Если вы хотите ввести режим коммерческой тайны, вы должны, в частности (п. п. 1, 2 ч. 1 ст. 10 Закона о коммерческой тайне):
определить перечень информации, составляющей коммерческую тайну;
ограничить доступ к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка.
Как именно вы это сделаете, не имеет значения. Важно, чтобы у вас были документы (один или несколько), устанавливающие перечень информации, составляющей коммерческую тайну, и порядок обращения с такой информацией. Иначе вы не сможете доказать, что у вас введен режим коммерческой тайны в отношении соответствующей информации. Такая позиция встречается в судебной практике (Кассационное определение Судебной коллегии по административным делам Верховного Суда Российской Федерации от 30.06.2020 N 5-КА20-25).
На практике обычно разрабатывают и утверждают положение о коммерческой тайне, куда включают и перечень информации, составляющей коммерческую тайну, и порядок обращения с ней. Но соответствующие положения вы можете включить и в другой документ. Например, вы можете разработать единое положение о порядке защиты всей вашей конфиденциальной информации, куда включите положения о коммерческой тайне согласно п. п. 1, 2 ч. 1 ст. 10 Закона о коммерческой тайне.
Как в организации реализовать меры по защите информации
Чтобы не допустить разглашения коммерческой тайны сотрудниками, нужно ознакомить их под подпись с перечнем информации, составляющей коммерческую тайну, установленным вами режимом коммерческой тайны и ответственностью за его нарушение. Кроме того, нужно создать сотрудникам необходимые условия для соблюдения ими режима коммерческой тайны (ч. 1 ст. 11 Закона о коммерческой тайне). Например, выдать сейф, установить программные средства защиты информации.
Рекомендуем включить обязанность работника не разглашать коммерческую тайну в трудовой договор или допсоглашение к нему (ч. 4 ст. 57 ТК РФ). Вы можете заключить также отдельное соглашение о неразглашении конфиденциальной информации, сделав его приложением к трудовому договору. В этом соглашении можно установить, какие сведения являются конфиденциальными, какая ответственность наступит в случае их разглашения, а также срок, в течение которого работник обязан хранить тайну. Учтите, что закон обязывает работника не разглашать конфиденциальную информацию, обладателями которой являются работодатель и его контрагенты, и без их согласия не использовать эту информацию в личных целях в течение всего срока действия режима коммерческой тайны, в том числе после прекращения трудового договора (п. 2 ч. 3 ст. 11 Закона о коммерческой тайне).
Пример условия в трудовом договоре о неразглашении коммерческой тайны
В целях охраны конфиденциальности информации, составляющей коммерческую тайну, Работник обязан:
Выполнять установленный Работодателем режим коммерческой тайны. Режим коммерческой тайны и перечень информации, составляющей коммерческую тайну, установлены утвержденным приказом Работодателя Положением о коммерческой тайне в ООО "Брод", с которым Работник ознакомлен под подпись.
Не разглашать информацию, указанную в п. 2.8.1 настоящего Договора, обладателями которой являются Работодатель и (или) его контрагенты, и без их согласия не использовать эту информацию в личных целях в течение всего срока действия режима коммерческой тайны, в том числе после прекращения действия трудового договора, в соответствии с п. 2 ч. 3 ст. 11 Федерального закона от 29.07.2004 N 98-ФЗ "О коммерческой тайне".
Передать Работодателю при прекращении настоящего Договора материальные носители, в том числе документы, диски, флеш-накопители USB, имеющиеся в пользовании Работника и содержащие информацию, указанную в п. 2.8.1 настоящего Договора.
В случае разглашения информации, указанной в п. 2.8.1 настоящего Договора, Работник может быть привлечен к ответственности в соответствии с законодательством Российской Федерации. В частности, он может быть привлечен к дисциплинарной и материальной ответственности в соответствии с Трудовым кодексом РФ.
Не рекомендуем устанавливать штраф за разглашение работниками конфиденциальной информации. Денежный штраф как вид дисциплинарного взыскания трудовым законодательством не предусмотрен. Вас могут привлечь к ответственности не только за применение штрафа, но и за сам факт его установления (ч. 4 ст. 192 ТК РФ). Если вы хотите стимулировать ответственное отношение работников, проинформируйте их о том, что за незаконные разглашение или использование сведений, составляющих коммерческую тайну, вы вправе их уволить на основании пп. "в" п. 6 ч. 1 ст. 81 ТК РФ. Кроме того, в этом случае им грозят административная ответственность по ст. 13.14 КоАП РФ и даже уголовное наказание вплоть до лишения свободы (ст. 183 УК РФ).