Положение о конфиденциальной информации оформляется в соответствии с установленным порядком для локальных нормативных актов. В документе необходимо четко определить перечень сведений, составляющих конфиденциальную информацию, порядок их использования, а также права и обязанности лиц, имеющих к ним доступ, включая условия передачи информации третьим лицам. Важно предусмотреть ответственность за несоблюдение установленных требований, что будет способствовать более ответственному отношению сотрудников к защите конфиденциальных данных. Следует учитывать, что различные виды конфиденциальной информации регулируются отдельными нормативными актами, что влечет за собой различия в порядке их обработки. В связи с этим, целесообразно разработать отдельные положения для каждого вида конфиденциальной информации, например, положение о персональных данных и положение о коммерческой тайне.
1. Классификация Конфиденциальной Информации
В положении рекомендуется перечислить виды информации, к которым оно распространяется. К таким видам относятся персональные данные, коммерческая, профессиональная и служебная тайна. В большинстве коммерческих организаций основное внимание уделяется защите персональных данных и коммерческой тайны. Необходимо конкретизировать, какие сведения относятся к каждому из указанных видов. Это позволит сотрудникам четко понимать, какая информация подлежит особой защите. Например, к персональным данным относятся любые сведения, относящиеся к физическому лицу (пункт 1 статьи 3 Закона о персональных данных), включая имена, даты рождения, сведения о трудовом стаже, заработной плате, номера телефонов и адреса. Перечень информации, составляющей коммерческую тайну, определяется организацией самостоятельно (часть 1 статьи 4 Закона о коммерческой тайне). Это могут быть договоры, сведения о ценообразовании и объемах товарооборота с контрагентами. Перечень может быть открытым, содержащим основные категории сведений, а распространение режима коммерческой тайны на другие сведения может осуществляться на основании приказа руководителя организации.
2. Применение Грифа Конфиденциальности
Гриф конфиденциальности наносится на документы (договоры, акты, письма и т.п.) и материальные носители информации (диски и т.д.) для обозначения секретности содержащихся в них сведений. В положении следует определить внешний вид грифа, а также порядок его проставления на различные документы. Не рекомендуется использовать в грифе обозначения "особой важности", "совершенно секретно" и "секретно", так как они применяются исключительно к документам, содержащим государственную тайну (части 2 и 4 статьи 8 Закона о гостайне). На документах и носителях с информацией, составляющей коммерческую тайну, должен быть проставлен гриф "Коммерческая тайна". Проставление данного грифа является обязательным условием для применения режима коммерческой тайны (пункт 5 части 1 статьи 10 Закона о коммерческой тайне). Законодательство не требует обязательного проставления грифа конфиденциальности на документах с персональными данными, поскольку такие сведения считаются конфиденциальными и без него (пункт 1 статьи 3, статья 7 Закона о персональных данных). Однако, по желанию организации, гриф может быть проставлен. В этом случае необходимо определить, кто и на какие документы будет его проставлять (трудовые договоры, анкеты сотрудников и т.д.), а также его внешний вид. Например, гриф может содержать слова "Конфиденциально (персональные данные)", наименование и ОГРН организации.
3. Ответственность за Организацию Работы с Конфиденциальной Информацией
В положении необходимо указать лиц, ответственных за организацию работы с конфиденциальной информацией. При большом объеме конфиденциальных сведений целесообразно распределить обязанности. Например, ответственность за работу с персональными данными работников может быть возложена на начальника отдела по персоналу, а за политику ценообразования и объемы товарооборота – на заместителя генерального директора. Также необходимо определить обязанности ответственных лиц, которые могут быть общими для всех видов конфиденциальной информации. К таким обязанностям относится принятие мер по обеспечению сохранности конфиденциальной информации, включая ее хранение в недоступном для третьих лиц месте (специальные помещения, запирающиеся шкафы, сейфы и т.д.), а также ограничение доступа к информации в электронном виде с помощью паролей. Ответственные лица также должны организовывать работу с вверенной им информацией, определяя круг лиц, имеющих к ней доступ, и согласовывая допуск с уполномоченными сотрудниками (например, начальником службы безопасности). Кроме того, они должны контролировать соблюдение положений о конфиденциальной информации, проводя плановые и внеплановые проверки.
4. Порядок Доступа к Конфиденциальной Информации
В положении следует указать должности работников, которым постоянно требуется доступ к определенной информации. Например, юристы должны иметь доступ к договорам, сотрудники отдела продаж – к клиентской базе, а менеджеры по персоналу – к персональным данным сотрудников. Для других лиц, которым конфиденциальная информация может потребоваться периодически, необходимо разработать особый порядок допуска, например, по заявкам, согласованным с ответственным за информацию лицом и утвержденным руководителем организации. Доступ может быть предоставлен на определенный срок или бессрочно. По истечении согласованного срока доступ прекращается автоматически. В случае бессрочного доступа, его прекращение может быть инициировано ответственным лицом или руководителем. Особое внимание следует уделить информации, составляющей коммерческую тайну. Если она понадобилась работнику, чьи трудовые обязанности не предусматривают работу с ней, необходимо предварительно получить его согласие на доступ (часть 2 статьи 11 Закона о коммерческой тайне), например, заключив отдельное соглашение о конфиденциальности.
5. Использование и Передача Конфиденциальной Информации
В положении необходимо указать, что обязаны делать лица, допущенные к конфиденциальной информации, и чего им делать нельзя. Например, лица, допущенные к конфиденциальной информации, должны немедленно информировать руководителя об утрате носителей с конфиденциальной информацией, возвращать полученные носители при прекращении трудового договора, не сообщать пароли третьим лицам и не копировать файлы на личные носители или отправлять их на личные адреса электронной почты. Также необходимо определить условия передачи конфиденциальной информации. В частности, информация, составляющая коммерческую тайну, может быть передана только с письменного согласия уполномоченного лица, а персональные данные – только с письменного согласия субъекта персональных данных (пункт 3 статьи 3, часть 1 статьи 9 Закона о персональных данных). Факт передачи конфиденциальной информации целесообразно фиксировать в специальном журнале учета, который может быть единым документом или отдельными журналами для различных видов конфиденциальной информации.