Для обеспечения защиты конфиденциальной информации необходимо внедрить комплекс мер как внутри организации, так и в рамках договорных отношений с внешними сторонами. Внутри компании следует разработать внутренние нормативные акты, установить четкий порядок работы с информацией и определить ответственных лиц. Конкретный набор мер зависит от типа защищаемой информации, будь то персональные данные или коммерческая тайна.
Для обязательства контрагентов соблюдать конфиденциальность следует заключать соответствующие соглашения, предусматривающие штрафные санкции за разглашение, что позволит избежать необходимости доказывать размер понесенных убытков. Важно документально фиксировать все факты передачи контрагентам документов, содержащих секретные сведения.
1. Организационные и правовые меры защиты информации в компании
Надежная защита конфиденциальной информации требует применения комплекса мер, охватывающих правовые, организационные и технические аспекты. К техническим мерам относятся, например, хранение документов в сейфах, установка систем видеонаблюдения, ведение журналов учета документов, использование шифрования при электронной переписке, ограничение доступа в Интернет и блокировка USB-портов на компьютерах.
Правовые меры защиты дифференцируются в зависимости от характера информации. Для защиты персональных данных и коммерческой тайны применяются различные подходы.
1.1. Защита персональных данных
Для обеспечения защиты персональных данных необходимо соблюдать требования Закона о персональных данных и Трудового кодекса РФ. Несоблюдение этих требований может повлечь ответственность по статье 13.11 КоАП РФ.
В отношении персональных данных работников следует:
Установить порядок хранения и использования персональных данных, утвердив соответствующую политику обработки персональных данных.
Ознакомить каждого работника под подпись с утвержденной политикой, что является необходимым условием для привлечения к ответственности за нарушения.
Определить перечень лиц, имеющих доступ к персональным данным работников, с ограничением доступа только к необходимой для выполнения их функций информации.
1.1.1. Обработка персональных данных лиц, не являющихся сотрудниками
Организация, получающая персональные данные клиентов, партнеров или других физических лиц, выступает в роли оператора персональных данных и несет соответствующие обязанности. Необходимо уведомить Роскомнадзор о намерении обрабатывать персональные данные, за исключением случаев, предусмотренных законом.
В ряде ситуаций требуется получение согласия на обработку персональных данных от лиц, обращающихся в организацию, например, от кандидатов на вакантные должности.
При наличии веб-сайта, через который осуществляется сбор персональных данных (например, через формы обратной связи или подписки), необходимо опубликовать на нем политику обработки персональных данных и сведения о мерах по их защите, обеспечив свободный доступ к этим документам. Нарушение этого требования может привести к ответственности по части 3 статьи 13.11 КоАП РФ.
Важно отметить, что согласие на обработку персональных данных, разрешенных для распространения, оформляется отдельно от других согласий. Такие согласия могут быть предоставлены как непосредственно, так и через информационную систему Роскомнадзора в соответствии с установленными правилами.
1.2. Защита информации, имеющей коммерческую ценность
Режим коммерческой тайны вводится для защиты информации, обладающей коммерческой ценностью. Он считается установленным после принятия мер, предусмотренных законом.
К таким мерам относятся:
Определение перечня информации, составляющей коммерческую тайну, с рекомендацией отдельно фиксировать, какая именно информация содержится в конкретных документах.
Установление и контроль порядка обращения с этой информацией, например, путем разработки инструкции по работе с коммерческой тайной.
Ведение учета лиц, получивших доступ к коммерческой тайне, с предпочтительным составлением списка по должностям. Лица, получившие доступ, должны письменно обязаться сохранять конфиденциальность.
Урегулирование отношений по использованию информации, составляющей коммерческую тайну, работниками и контрагентами путем включения соответствующих положений в трудовые договоры и договоры с контрагентами.
Нанесение грифа "Коммерческая тайна" на материальные носители информации или включение его в реквизиты документов.
Непринятие любой из указанных мер приведет к тому, что режим коммерческой тайны не будет считаться введенным. Срок действия режима коммерческой тайны законодательно не установлен для большинства сведений, за исключением первичной и интерпретированной геологической информации о недрах.
Порядок использования грифа "Коммерческая тайна"
Гриф "Коммерческая тайна" применяется в организации при введении режима коммерческой тайны. Перечень документов, на которые ставится гриф, обычно утверждается организацией. Это могут быть документы, содержащие сведения о рецептурах, технологиях или особенностях производственных процессов.
Гриф может выглядеть как штамп с указанием "Коммерческая тайна" и реквизитов организации. Право ставить гриф имеют работники, получившие доступ к коммерческой тайне и чьи трудовые функции это предусматривают.
Обязательность разработки положения о коммерческой тайне
Разработка и утверждение отдельного документа под названием "положение о коммерческой тайне" не является обязательной. Закон о коммерческой тайне не содержит такого требования. Для введения режима коммерческой тайны необходимо определить перечень информации, составляющей коммерческую тайну, и ограничить доступ к ней путем установления порядка обращения и контроля за его соблюдением.
Важно иметь документы, фиксирующие перечень такой информации и порядок обращения с ней, чтобы иметь возможность доказать факт введения режима коммерческой тайны. На практике часто разрабатывают положение о коммерческой тайне, включающее оба аспекта, но эти положения могут быть интегрированы и в другие документы, например, в единое положение о порядке защиты конфиденциальной информации.
1.2.1. Реализация мер по защите информации в организации
Для предотвращения разглашения коммерческой тайны сотрудниками необходимо ознакомить их под подпись с перечнем такой информации, установленным режимом коммерческой тайны и ответственностью за его нарушение. Также следует создать условия для соблюдения этого режима, например, предоставить сейфы или установить программные средства защиты.
Рекомендуется включать обязанность работника не разглашать коммерческую тайну в трудовой договор или дополнительное соглашение. Возможно заключение отдельного соглашения о неразглашении конфиденциальной информации, определяющего конфиденциальные сведения, ответственность за разглашение и срок хранения тайны. Работник обязан не разглашать конфиденциальную информацию работодателя и его контрагентов и не использовать ее в личных целях в течение всего срока действия режима коммерческой тайны, в том числе после прекращения трудового договора.
Установление денежного штрафа за разглашение конфиденциальной информации работниками не рекомендуется, так как трудовое законодательство не предусматривает штраф как вид дисциплинарного взыскания. Вместо этого следует информировать работников о возможности увольнения за незаконное разглашение или использование сведений, составляющих коммерческую тайну, а также о возможной административной и уголовной ответственности.
2. Предотвращение разглашения конфиденциальной информации контрагентами
Для предотвращения разглашения конфиденциальной информации контрагентами следует заключать соглашения о конфиденциальности или включать соответствующие условия в договоры. Необходимо предусматривать штрафные санкции за нарушение таких условий и тщательно фиксировать факты передачи конфиденциальных данных, поскольку их разглашение может привести к существенным убыткам.
Важно документально подтверждать факты передачи конфиденциальной информации. Документы следует передавать по акту приема-передачи или направлять почтовым отправлением с объявленной ценностью и описью вложения, указывая все реквизиты передаваемых документов.