Понятие и виды конфиденциальной информации, классификация и характеристика. Перечень конфиденциальной информации

Конфиденциальность

Конфиденциальность. (англ. confidence - доверие) - необходимость предотвращения утечки (разглашения) какой-либо информации.

В англо-американской традиции различают два основных вида конфиденциальности: добровольную (privacy) и принудительную (secrecy). (См. Эдвард Шилз - The Torment of Secrecy: The Background & Consequences Of American Security Policies (Chicago: Dee ) В первом случае имеются в виду прерогативы личности, во втором случае имеется в виду информация для служебного пользования, доступная ограниченному кругу официальных лиц фирмы, корпорации, государственного органа, общественной или политической организации. Хотя privacy и secrecy схожи по значению, на практике они обычно противоречат друг другу: усиление secrecy ведёт к нарушению и уменьшению privacy. В тоталитарных и авторитарных государствах под конфиденциальностью, как правило, имеется в виду только secrecy.

Определения

Конфиденциальность информации - принцип аудита , заключающийся в том, что аудиторы обязаны обеспечивать сохранность документов , получаемых или составляемых ими в ходе аудиторской деятельности, и не вправе передавать эти документы или их копии каким бы то ни было третьим лицам, либо разглашать устно содержащиеся в них сведения без согласия собственника экономического субъекта, за исключением случаев, предусмотренных законодательными актами.

Конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определённой информации, требование не передавать такую информацию третьим лицам без согласия её обладателя .

Конфиденциальная информация - информация , доступ к которой ограничивается в соответствии с законодательством Российской Федерации и представляет собой коммерческую, служебную или личную тайны, охраняющиеся её владельцем.

Служебная тайна - защищаемая по закону конфиденциальная информация, ставшая известной в государственных органах и органах местного самоуправления только на законных основаниях и в силу исполнения их представителями служебных обязанностей, а также служебная информация о деятельности государственных органов, доступ к которой ограничен федеральным законом или в силу служебной необходимости. Однозначное определение понятия «служебная тайна» в действующем законодательстве РФ отсутствует. Служебная тайна является одним из объектов гражданских прав по гражданскому законодательству РФ. Режим защиты служебной тайны в целом аналогичен режиму защиты коммерческой тайны . В ряде случаев за разглашение служебной тайны закон предусматривает уголовную ответственность (например, за разглашение тайны усыновления , или за разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну, лицом, которому такие сведения стали известны по службе) .

Служебная тайна - информация с ограниченным доступом, за исключением сведений, отнесенных к государственной тайне и персональным данным, содержащаяся в государственных (муниципальных) информационных ресурсах, накопленная за счет государственного (муниципального) бюджета и являющаяся собственностью государства, защита которой осуществляется в интересах государства .

Защита конфиденциальности является одной из трёх задач информационной безопасности (наряду с защитой целостности и доступность информации).

Актуальность конфиденциальности

С момента начала использования компьютерных технологий во всех сферах деятельности человека, появилось много проблем, связанных с защитой конфиденциальности. Главным образом это связано с обработкой документов с применением компьютерных технологий. Многие административные меры по защите конфиденциальности частных лиц и организаций утратили свою силу в связи с переходом документооборота в абсолютно новую среду.

При получении личных писем, при заключении договоров, во время деловой переписки, при телефонных разговорах со знакомыми и незнакомыми людьми, человек пользовался различными средствами аутентификации . Личные письма отправлялись с указанием существующего почтового адреса или имели штамп именно тех почтовых отделений, где проводилась обработка таких писем. При заключении договоров применялись бланки, произведённые на типографиях , на которых с использованием пишущих машинок, имевших уникальные серийные номера, печатался текст, который затем подписывался должностным лицом и заверялся печатью организации. При разговорах по телефону, достоверно было известно, что разговор ведётся именно с тем человеком, голос которого был ранее известен. Многие сотни административных мер были направлены на защиту конфиденциальности при общении людей.

С внедрением компьютерных технологий в жизнь человека многое изменилось. При использовании, например, электронной почты появилась возможность указания несуществующего обратного адреса или имитации получения письма от знакомого человека. При повседневном общении через сеть Интернет многие признаки, идентифицирующие того или иного человека в обычной жизни (пол, возраст, степень образования), перестали быть таковыми. Появилась так называемая «виртуальная реальность ».

Быстро и эффективно решить проблемы связанные с защитой конфиденциальности в компьютерных системах невозможно. Появилась необходимость в комплексном подходе к решению данных проблем. Этот подход должен предполагать использование организационных и правовых мер, а также программно-аппаратных средств, обеспечивающих защиту конфиденциальности, целостности и доступности.

На сегодняшний день в организациях для обеспечения корректной работы со сведениями конфиденциального характера существует набор норм. Руководитель организации подписывает перечень сведений, имеющих конфиденциальный характер. В договоре, подписываемом работником и работодателем, существует пункт, в котором говорится об ответственности за некорректную работу с конфиденциальными сведениями, в результате чего при несоблюдении прописанных в договоре норм по работе с этими сведениями, появляется законное основание для привлечения таких сотрудников к административной или уголовной ответственности . А также в организациях имеется комплекс мер, направленных на обеспечение защиты конфиденциальных сведений. Например, такими мерами могут являться: подбор квалифицированного персонала, прогнозирование возможных угроз и проведение мероприятий по их предотвращению, использование различного уровня доступа персонала к информации с различной секретностью.

Так как невозможно детально изучить данную область в короткие сроки, было введено направление по подготовке специалистов в сфере информационной безопасности.

С помощью программно-аппаратных средств защиты информации, представленных различными производителями, можно достичь более высоких показателей эффективности, если применять их комплексно. К таким средствам относят оборудование для криптографической защиты речевой информации, программы для криптографической защиты текстовой или иной информации, программы для обеспечения аутентификации почтовых сообщений посредством электронной цифровой подписи, программы обеспечения антивирусной защиты , программы защиты от сетевых вторжений , программы выявления вторжений, программы для скрытия обратного адреса отправителя электронного письма.

Подобный перечень программно-аппаратных средств, как правило, разрабатывается специалистами в области защиты информации с учётом многих факторов, например характеристики автоматизированной системы, количества пользователей в этой системе, различия уровня доступа этих пользователей и т. д.

Конфиденциальность в законодательстве РФ

Примечания

Литература

• Большой юридический словарь. 3-е изд., доп. и перераб. / Под ред. проф. А. Я. Сухарева. - М.: ИНФРА-М, 2007. - VI, 858 с - (Б-ка словарей «ИНФРА-М»)

Ссылки

• Конфиденциальная информация в российском законодательстве

См. также

Wikimedia Foundation . 2010 .

Синонимы :

Антонимы :

Смотреть что такое "Конфиденциальность" в других словарях:

Секретность, тайность, доверительность, засекреченность. Ant. открытость, гласность Словарь русских синонимов. конфиденциальность см. секретность Словарь синонимов русского языка. Практический справочник. М.: Русский язык … Словарь синонимов

конфиденциальность - Свойство информации, состоящее в том, что она не может быть доступна для ознакомления неавторизованным пользователям и / или процессам. Содержание критической информации в секрете; доступ к ней ограничен узким кругом пользователей (отдельных лиц… … Справочник технического переводчика

КОНФИДЕН ИАЛЬНЫЙ [дэ], ая, ое; лен, льна (книжн.). Секретный, доверительный. К. разговор. Сообщить конфиденциально (нареч.). Толковый словарь Ожегова. С.И. Ожегов, Н.Ю. Шведова. 1949 1992 … Толковый словарь Ожегова

Конфиденциальность - Этическое требование, применяющееся как в экспериментальных исследованиях, так и в психотерапии. Согласно этому требованию участники или пациенты имеют право на то, чтобы информация, собранная во время исследования или сеанса лечения, не… … Большая психологическая энциклопедия

конфиденциальность - 2.6 конфиденциальность (confidentiality): Свойство информации быть недоступной и закрытой для неавторизованного индивидуума, логического объекта или процесса. [ИСО/МЭК 7498 2] Источник … Словарь-справочник терминов нормативно-технической документации

конфиденциальность - ▲ ограниченность доступ, к (предмету), сведения конфиденциальность. конфиденциальный не подлежащий широкой огласке; доступный узкому кругу лиц (# разговор). конфиденциально. доверительность. доверительный (# тон). доверительно. доверять (#… … Идеографический словарь русского языка

Информация – важнейший производственный фактор. Предприятия, которые ведут активную работу по накоплению и анализу данных, в современной экономической среде чувствуют себя гораздо увереннее. Благодаря анализу своей аудитории компания может повысить сумму среднего чека за счет бонусов, за которые готовы платить потребители.

Вы узнаете:

• Что такое конфиденциальность персональных данных.
• Какие ошибки сбора, хранения и конфиденциальности персональных данных наиболее часто допускаются в бизнесе.
• Как обеспечить безопасность хранения и конфиденциальности данных.
• Что такое политика конфиденциальности сайта и как ее составить.
• Какие предусмотрены штрафы за нарушение конфиденциальности персональных данных с 2017 года.

Сегодня информация является неотъемлемой составляющей эффективной работы предприятия. Однако следует также помнить, что крайне необходимо соблюдать конфиденциальность персональных данных.

Срочно проверьте своих партнеров!

Вы знаете, что налоговики при проверке могут цепляться к любому подозрительному факту о контрагенте ? Поэтому очень важно проверять тех, с кем Вы работаете. Сегодня, Вы можете бесплатно получить информацию о прошедших проверках Вашего партнера, а главное получить перечень выявленных нарушений!

Обработка, хранение и конфиденциальность персональных данных клиентов

Итак, в современных экономических условиях очень важна конфиденциальность персональных данных. Закон, регламентирующий отношения в рамках получения и обработки ПДн, – ФЗ «О персональных данных» №152 от 27.07.2006 г. В нем указана следующая информация:

• ключевые термины, касающиеся обработки ПДн;
• в соответствии с какими принципами и условиями должны обрабатываться персональные сведения;
• какими обязанностями наделен оператор ПДн;
• какими правами наделен субъект ПДн;
• какие типы ответственности предусмотрены за нарушение требований №152-ФЗ;
• какие госорганы контролируют соблюдение требований закона.

Персональные данные – это любые сведения, которые прямо или косвенно относятся к физическому лицу, которое называют субъектом персональных данных.

Оператор – это госорган, орган местного самоуправления, юридическое или физическое лицо, которое в отдельном порядке или вместе с иными лицами организует и (или) проводит обработку персональной информации, определяет, зачем это нужно, из чего должны состоять персональные данные, а также устанавливает, какие действия (операции) по отношению к ПДн необходимы.

Обработкой ПДн называют любую операцию или совокупность операций, которые совершают в отношении персональной информации с применением автоматизированных средств или без них. Если обрабатывают данные, значит, их собирают, записывают, систематизируют, копят, хранят, уточняют (обновляют, изменяют), извлекают, используют, передают (распространяют, предоставляют доступ), обезличивают, блокируют, удаляют, уничтожают.

Что такое конфиденциальность персональных данных, закон четко разъясняет. Однако он не уточняет, какая именно информация является персональной. Но, если отталкиваться непосредственно от названия «персональных данных», то это любые сведения, относящиеся к физическому лицу:

• дата рождения;
• адрес;
• телефон;
• e-mail;
• фотография;
• ссылка на персональный сайт;
• ссылка на аккаунт в соцсетях.

Словом, это любая информация, по которой можно точно определить гражданина. Если вам предоставляют персональные сведения, вы становитесь оператором ПДн.

Субъект ПДн – это физическое лицо, которое можно определить на основе персональной информации. То есть, это человек, сведения о котором должны находиться под защитой.

Какими правами №152-ФЗ наделяет субъекта персональных данных

1. Право на доступ к своим ПДн. Субъект вправе получать сведения об операторе, узнавать, с какой именно информацией он работает; наделен правом прямого доступа к этой информации.
2. Право субъекта при обработке ПДн. Обработку ПДн, необходимую для того, чтобы продвигать на рынке товары, услуги, работы, а также в политических целях, можно проводить только с разрешения субъекта. Она недействительна, если субъект не давал на нее разрешения, только если оператор не доказал обратное. Если субъект требует завершить обработку ПДн, то оператор обязан сразу же выполнить это требование.
3. Права субъекта при вынесении решений на основании исключительно автоматизированной обработки его персональной информации. По закону РФ, недопустимо принимать решения относительно субъекта ПДн лишь на основании автоматизированной обработки, если нет его письменного согласия или же в ситуациях, описанных в федеральных законах.
4. Право субъекта обжаловать действия или бездействие оператора. Если, по мнению носителя персональных данных, оператор некачественно обрабатывает ПДн, чем нарушает его свободы и права, то гражданин всегда может обратиться в инстанцию, специализирующуюся на защите прав субъектов ПДн, или в судебный орган.

Субъект имеет право требовать возместить ему финансовые потери и компенсировать моральный ущерб через суд. Оператор персональных данных должен сообщать в Роскомнадзор об обработке и защищать эту информацию.

В законе также определено, когда оператор может не сообщать в службу об обработке ПДн:

• если оператор и носитель персональных данных состоят в трудовых отношениях;
• если оператор и субъект ранее заключили между собой договор, и ПДн требуются для исполнения обязательств по нему;
• если ПДн относятся к членам религиозных и общественных организаций, и обработка ведется в соответствии с учредительной документацией и законодательством РФ;
• если ПДн находятся в общем доступе;
• если ПДн состоят только из ФИО;
• если ПДн необходимы, чтобы получить однократный пропуск на территорию или для решения подобных задач;
• если ПДн являются частью федеральных автоматизированных информационных систем и государственных информационных систем персональных данных;
• если ПДн обрабатываются без использования автоматизированных средств в соответствии с законодательством РФ.

Статья 7 (конфиденциальность персональных данных) №152-ФЗ гласит, что операторам и иным лицам, которым доступны персональные данные, запрещено распространять эту информацию посторонним людям, если субъекты не давали на это своего согласия, или же это не предусмотрено законодательством.

Но множество компаний неверно полагают, что, если они не обязаны сообщать уполномоченной инстанции об обработке, то и действия, которые по закону должны выполнять операторы ПДн, тоже не обязательны к исполнению. Но это мнение ошибочно. Если операторы нарушают законодательные требования, касающиеся обработки, это расценивается как неисполнение законодательных норм. За подобные действия предусмотрено наказание.

Конфиденциальность персональных данных – это обязательное требование, которое должен соблюдать как оператор, так и любой другой человек, получивший доступ к ПДн. Конфиденциальность не обеспечивается лишь в том в случае, если:

• персональная информация обезличена;
• персональная информация находится в общем доступе.

Персональные данные перестают считаются конфиденциальными, если они обезличиваются, или же если с момента начала их хранения проходит 75 лет, если об ином не сказано в законодательстве РФ.

На основании №152-ФЗ, оператор персональных данных должен:

1. Обеспечивать безопасную обработку ПДн, то есть проводить необходимые мероприятия организационного и технического характера, направленные на конфиденциальность персональных данных и их защиту от взлома, уничтожения, внесения изменений, блокирования, копирования, распространения и иных незаконных действий.
2. Уведомлять уполномоченную инстанцию по защите прав носителей ПДн (Роскомнадзор) о том, что он намерен обработать персональную информацию. Роскомнадзор заносит в реестр операторов данные об операторе. Сведения в этом реестре общедоступны. Исключение составляет лишь информация о средствах обеспечения безопасности ПДн в ходе обработки.
3. Получать у носителей ПДн разрешение в письменном виде на обработку информации. Делать это оператор обязан, когда получает персональные данные (в том числе, от третьих лиц). Лишь после наличия разрешения он может приступить к обработке. Исключение составляют случаи, когда оператор получил ПДн в порядке, предусмотренном ФЗ, или же эта информация общедоступна. Следует подчеркнуть, что носитель данных вправе запретить обработку сведений о себе.
4. Предоставлять носителю ПДн по требованию всю имеющуюся о нем информацию, методах ее защиты, а также сообщать, с какой целью и в каких условиях будет проводиться обработка.

В обязанности оператора также входит уничтожение, блокировка соответствующих персональных данных, внесение в них изменений, которые предоставляет носитель ПДн или его законный представитель в связи с тем, что информация неполная, неверная, неактуальна, получена противозаконным путем или не соответствует обозначенной цели обработки.

Также оператор должен доказать, что субъект не возражает против обработки его ПДн. Если же обрабатываются общедоступные персональные данные, оператор обязан предъявить доказательства в пользу того, что информация открыта для всех.

1. Предоставлять уполномоченной инстанции по защите прав субъектов персональных данных по запросу сведения, необходимые для ее деятельности. В России работу операторов ПДн контролируют Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций, Федеральная служба по техническому и экспортному контролю и Федеральная служба безопасности.

В законе также указано, когда разрешение носителя ПДн не требуется. Это ситуации, когда:

• данные обрабатываются в соответствии с иными ФЗ;
• между оператором и субъектом ПДн заключен договор, положения которого предполагают обработку информации об этом субъекте;
• необходимо обработать ПДн, чтобы защитить жизнь, здоровье и иные жизненно важные интересы субъекта, но получить его согласие не представляется возможным, к примеру, из-за того, что физическое лицо госпитализировано;
• необходимо обработать персональные данные, чтобы почтовые предприятия смогли доставить посылку;
• данные нужно обработать журналисту в профессиональных целях, или же в целях научной, литературной или другой творческой деятельности. Но при этом интересы и права носителя ПДн должны быть соблюдены;
• нужно обработать персональные данные для последующей публикации на основании ФЗ.

В иных ситуациях оператор обязан действовать в соответствии с нормами закона РФ по обработке информации и соблюдать конфиденциальность персональных данных. При нарушении законодательных норм в отношении оператора применяют уголовную, административную, гражданскую, дисциплинарную или иную ответственность.

Интересные факты про конфиденциальность персональных данных

1. В российском законодательстве отсутствует четко определенный перечень.

В №152-ФЗ персональные данные трактуются как любые сведения, относящиеся к определенному или определяемому на их основании физическому лицу (субъекту ПДн). Данное определение малоинформативно.

1. Различают три вида персональных данных.

• Общие ПДн – это ФИО, адрес, номер телефона физического лица.
• Специальные ПДн – это информация о расе, национальности субъекта, его политической позиции, философской и религиозной точки зрения, здоровье и половой жизни.
• Биометрические ПДн – это физиологические особенности, анатомические характеристики, отпечатки ладоней, пальцев, сетчатка глаз, анализ ДНК и т. п.

1. Судебная практика по персональным данным.

В соответствии с имеющейся сегодня судебной практикой, к персональным данным относят:

• ФИО физического лица, дату рождения (день, месяц, год), адрес. Речь в данном случае также идет о семейном, социальном, имущественном положении, образовании, профессии, доходах (Постановление по делу № А15-2016/2009 от 05.10.2010 г. Президиум ВАС РФ, Постановление по делу № А36-5713/2014 от 29.04.2015 г. 19-й ААС).
• Паспортные данные (см., например, Апелляционное определение Мосгорсуда от 22.05.2014 г. № 33-14709).

Некоторые суды придерживаются мнения, что по серии и номеру паспорта можно идентифицировать бланк документа, но не физическое лицо. Соответственно, это не ПДн (более подробно с этой информацией вы можете ознакомиться из определения Мосгорсуда от 29.02.2012 г. № 33-6709; Постановления Тринадцатого арбитражного апелляционного суда от 21 июня 2010 г. по делу № А56-4788/2010).

Однако сложно признать эту позицию верной и обоснованной, поскольку по номеру и серии паспорта можно легко определить физическое лицо.

• E-mail (это подтверждает, к примеру, Решение по делу № 12-253/2015 от 26.05.2015 г. Калининский районный суд (г. Санкт-Петербург).

Роскомнадзор неоднозначно подходит к вопросу, связанному с отнесением e-mail к персональным данным. На эту тему существуют разъяснения этой службы, где указано, что если в e-mail содержится ФИО, то его можно отнести к персональным данным. Если же адрес электронной почты состоит из набора букв и знаков, то это неправомерно.

• Данные техпаспорта на дом (см., например, Определение Приморского краевого суда от 28.04.2014 г. № 33-3718).
• Адреса мест проживания индивидуальных предпринимателей, которые в себе содержит план проведения проверок юридических лиц и индивидуальных предпринимателей. План является общедоступным и должен находиться на официальном сайте администрации (см., к примеру, Апелляционное определение Волгоградского облсуда от 24.04.2014 г. № 33-4427/2014).
• Информацию о пересечении госграницы (см., к примеру, Апелляционное определение Мосгорсуда от 10.04.2014 г. № 33-11688).
• Адрес, по которому зарегистрировано должностное лицо, информация о его доходах, собственности, распространяемая в форме, не предусмотренной для официальной процедуры (к примеру, Определение Санкт-Петербургского городского суда от 31.03.2014 г. № 33-4198/14).
• Сведения о работнике, прописанные в трудовом договоре (см., к примеру, Апелляционное определение ВС Республики Саха (Якутия) от 23.10.2013 г. № 33-4172/13).

При отнесении информации к персональной нужно также учитывать и следующие моменты:

• Подтверждение и проверка того, что сведения относятся к определенному физическому лицу, не требуются (в законе о подобных мероприятиях ничего не сказано). В связи с этим оператор фактически не имеет представления о том, реальная это информация или вымышленная. Однако обрабатывать ПДн он в любом случае обязан.
• К персональной относят лишь ту информацию, по которой возможна идентификация физического лица (см., к примеру, определение Санкт-Петербургского городского суда от 26 марта 2013 г. № 33-3815/13, Апелляционное определение Мосгорсуда от 28.01.2014 г. №33-5461/14).

1. Более сложные категории ПДн.

Простыми персональными данными называют имя, фамилию и т. п. Однако есть и более сложные группы ПДн. К таковым относится IP-адрес, профиль в социальной сети и др.

По поводу данных групп ПДн даже у судов различные позиции.

• Относительно IP-адреса в одном судебном решении есть неплохой правовой анализ, где говорится следующее: "Правовые последствия при идентификации юзера через установление его ПДн по статическому IP-адресу, который назначает оператор связи, постоянно закрепленному за конечным пользовательским оборудованием при заключении договора на предоставление услуг доступа к интернету (если используется статический IP-адрес, то идентификация всех подключений пользователя всегда ведется по этому IP-адресу в сети связи) должны быть аналогичны правовым последствиям в тех случаях, когда оператор связи назначает IP-адрес пользовательскому оборудованию в автоматическом порядке, на время его подключения (период сессии) к интернету (динамический IP-адрес)". (Решение по делу № 2-5354/2015 от 24.09.2015 г. Октябрьский районный суд г. Самары (Самарская область)).

Отметим, по мнению одних судов IP-адрес не относится к ПДн (см., например, Постановление по делу № А56-75017/2014 от 01.06.2015 г. 13-й ААС), а другие, напротив, считают, что относится (Решение по делу № А76-29008/2015 от 11.02.2016 г. АС Челябинской обл.).

Отнесение статичного IP-адреса к персональным данным достаточно логично, поскольку идентификация пользователя по нему очень проста. Однако у оператора может не быть сведений о том, какой IP-адрес является статичным. В подобных ситуациях следует считать все такие адреса персональной информацией. Соответственно, конфиденциальность персональных данных такого характера должна быть сохранена.

• По поводу логина и пароля (от e-mail и социальной сети) разногласий меньше. По мнению Роскомнадзора, считать их ПДн неправомерно. Эту позицию он озвучивал много раз.

Некачественное обеспечение конфиденциальности персональных данных и другие ошибки, за которые штрафуют бизнес

Ошибка 1. Наличие формы обратной связи без политики конфиденциальности.

Сотрудники Роскомнадзора выяснили, что предприятие ТГЮК разместило на своем сайте форму обратной связи. Но документа о политике конфиденциальности, касающегося обработки персональной информации, на сайте не было. В итоге, на основании ст. 13.11 КоАП РФ, фирме выписали штраф, после чего она подала исковое заявление в суд.

Позиция компании заключалась в следующем: идентификация физического лица была невозможной, так как форма обратной связи состояла лишь из 3 элементов: имени, темы и текста сообщения. Соответственно, конфиденциальность персональных данных была соблюдена. При этом графу «имя» пользователи не обязаны были заполнять. Но судебный орган не принял эти аргументы во внимание и все же наложил на ТГЮК штраф (постановление Тамбовского областного суда от 04.10.2016 г. по делу №4А-288).

Как избежать штрафа: Если компания размещает на сайте подобную форму, то это считается сбором данных о физических лицах. Соответственно, фирма обязана действовать так, как оператор ПДн – сообщать в Роскомнадзор, что она намерена заняться сбором и обработкой персональной информации, получить разрешение носителя данных, выработать политику конфиденциальности и позаботиться о неограниченном доступе к ней. Если вы вырабатываете форму обратной связи, то в ней должна присутствовать функция получения согласия. То есть, перед тем как отправить анкету, пользователь обязан проставить галочку, подтвердив тем свое согласие на обработку персональных данных.

Ошибка 2. Передача личной информации третьим лицам.

Как осуществляется конфиденциальность персональных данных в договоре? Рассмотрим следующий пример. У гражданина образовался долг банковскому учреждению по кредиту. Банк заключил с коллекторским предприятием агентский договор «Морган энд Стаут». В соответствии с его условиями, банковская организация передала персональную информацию о должнике, и коллекторы начали звонить ему и его родственникам, обращаясь с требованием о погашении задолженности. Но при этом обрабатывать и передавать свои ПДн сторонним лицам гражданин не разрешал.

Заемщик потребовал прекращения противоправных действий и уничтожения всех персональных данных, но безрезультатно. Тогда он подал в суд иск с целью компенсации морального ущерба. Как отметил должник, у него требовали погасить долг в агрессивной форме, а потому он начал беспокоиться о здоровье, безопасности и жизни себя и своих родных.

Изучив все материалы дела, суд признал, что банк действовал незаконно, не обеспечил конфиденциальность персональных данных и постановил уничтожить всю персональную информацию о гражданине. Оба учреждения суд обязал компенсировать моральный вред (определение Ярославского областного суда от 05.03.2012 г. по делу №33-939/2012).

Как избежать штрафа: Передача персональных данных возможна исключительно с согласия физического лица, к которому они относятся. Исключения составляют случаи продажи предприятием долга на основании договора переуступки. В данном случае уже новый кредитор должен сообщать носителю ПДн о том, что личные сведения получены.

Ошибка 3. Обработка персональных данных без согласия.

Внеплановая проверка предприятия, проводимая сотрудниками Роскомнадзора, показала, что в листе кандидата на должность отсутствует поле для отметки о согласии на обработку ПДн. Генеральному директору вынесли предупреждение, с которым он не согласился и обратился в суд для обжалования. По словам руководителя, в компании сформировали комиссию, в обязанности которой вошла обработка данных. Он отметил, что при заполнении своих карточек сотрудники присутствуют лично. Помимо этого, в трудовом договоре указано, что работник согласен на обработку. Но эти аргументы, по мнению суда, явились недостаточными для отмены решения, а потому административное наказание все же было применено (постановление Самарского облсуда от 22.08.2016 г. №4а-907/2016).

Как избежать штрафа: Каждая типовая форма документации, предполагающая включение ПДн, должна содержать в себе поле для согласия на обработку. Вам следует провести аудит кадровой документации, чтобы удостовериться, что в бумагах проставлена соответствующая отметка.

Ошибка 4. Предприятие игнорирует отказы клиента получать рекламные сообщения.

Один из клиентов Сбербанка отменил свое согласие на обработку ПДн через «Почту России». Но прошел месяц, и гражданину на телефон пришло рекламное сообщение из банка с предложением оформить кредит. В ответ гражданин подал исковое заявление в суд о незаконной обработке ПДн. Он счел, что банк не обеспечил конфиденциальность персональных данных.

Позиция ответчика заключалась в том, что сообщение содержало в себе не рекламу, а индивидуальное предложение. Помимо этого, текст сообщения не включал в себя информацию, на основании которой была бы возможна идентификация физического лица. Соответственно, использования личных сведений не было, и конфиденциальность была соблюдена.

Но суд принял сторону истца – банковское учреждение знало его номер телефона и ФИО. В соответствии с решением суда, Сбербанк обязали компенсировать истцу моральный ущерб в размере 100 тыс. руб. (определение Новосибирского облсуда от 02.04.2015 г. по делу №33-2662/2015).

Как избежать штрафа: не следует игнорировать разного рода обращения физических лиц – субъектов ПДн. С 1 июля 2017 г. за это предусмотрен штраф в размере 40 тыс. руб. Физическое лицо имеет право отозвать согласие на обработку своих персональных данных, а также узнать, кто работает с его данными, с какой целью, какими способами, в какие сроки осуществляется обработка, какая именно информация о нем хранится. Назначьте работника, предоставляющего сведения по запросам физических лиц. Его контактная информация должна быть общедоступной.

Ошибка 5. Сбор сведений о физлицах без локализации.

Сотрудники Роскомнадзора в рамках анализа нарушений в интернете определили, что известная социальная сеть LinkedIn не выполняет требований по обеспечению записи, систематизации, накоплению, хранению и извлечению ПДн россиян, то есть, не соблюдает конфиденциальность персональных данных. Специалисты службы обязали компанию устранить нарушение, однако требование выполнено не было. Организация аргументировала свой отказ тем, что персональные данные граждан обрабатываются и хранятся за рубежом. Однако суд заметил, что если сайт имеет русскоязычную версию, он занимается сбором ПДн россиян, и, соответственно, обязан выполнять нормы действующего законодательства, в частности, обеспечивать конфиденциальность персональных данных. В итоге суд признал, что сайт ведет незаконную деятельность, к нему ограничили доступ, а саму организацию занесли в реестр нарушителей прав субъектов ПДн (определение Мосгорсуда от 10.11.2016 г. по делу №33-38783/2016).

Как избежать штрафа: В обязанности оператора при сборе персональной информации входит обеспечение локализации ПДн субъектов. Соответствующий закон действует с 1.09.2015 г. Проверьте информационные системы/базы данных, выявите их месторасположение и сформируйте список. Требование, связанное с локализацией ПДн, является обязательным и действует в отношении первичного сбора данных. Обрабатывать и хранить информацию можно за границей.

Рассказывает практик

Обработка персональных данных – дополнительная зона ответственности

Елена Денисова ,

руководитель коммерческой практики, CLIFF

По мнению многих предпринимателей, их деятельность напрямую не связана с обработкой ПДн, так как они просто собирают такую информацию, чтобы знать свою аудиторию. Также значительная часть бизнесменов полагает, что сайт в интернете – это не инструмент автоматизированной обработки, а потому они не собирают личную информацию о пользователях, соответственно, не должны обеспечивать конфиденциальность персональных данных. Но в соответствии с Законом, оператор ПДн – это любое лицо, как физическое, так и юридическое, организующее и осуществляющее обработку персональных сведений и определяющее цели их сбора.

Чтобы не столкнуться с проблемами хранения и применения ПДн и следовать законодательным требованиям, необходимо:

1. Выявить, в каком порядке, объеме и в какое время вы получаете информацию о своих потребителях. Если сведений, по которым можно точно определить клиента, вы не получаете (а получаете лишь e-mail и при этом не предлагаете пройти регистрацию и оставить контактную информацию, то есть, не получаете никаких данных от клиента и работаете на конфиденциальных условиях), то вы не имеете дела с ПДн. Во всех иных ситуациях вам следует четко соблюдать законодательные требования, касающиеся обеспечения конфиденциальности персональных данных.
2. Определить, как ваша компания будет получать от клиента согласие на обработку его персональной информации. Согласие субъекта необходимо, если вы планируете проводить торговые операции и вести любую деятельность по продвижению товаров, услуг, работ на рынке, используя прямой контакт клиента (посредством SMS-сообщений, телефонных звонков, e-mail и проч.). Отметим, при возникновении спорной ситуации оператор, то есть, ваше предприятие, обязан доказать факт получения от клиента согласия (в любой форме, не обязательно в письменном виде). В связи с этим следует выработать правила, в соответствии с которыми нужно собирать, обрабатывать, хранить и уничтожать ПДн, а также специальную форму согласия на проведение этих мероприятий (см. материал для скачивания). При этом клиент может не давать своего согласия, если данные обрабатываются с целью выполнения условий договора, участником которого он выступает, то есть, если сведения использует лишь ваша фирма, не передает ее посторонним лицам и только для того, чтобы оформить сделку купли-продажи с покупателем.
3. Убедиться, что в будущем удастся доказать факт получения согласия от клиента. Мало просто разместить на сайте правила и форму согласия на обработку ПДн. В случае спора это не поможет вам избежать штрафов контролирующих инстанций. У вас должен быть подписанный клиентом документ, из которого будет ясно прослеживаться его согласие на использование ПДн. Также в нем должно быть упомянуто о видах и целях обработки персональной информации. Если вы не будете располагать таким документом, то вас могут привлечь к ответственности. Безусловно, в качестве доказательства может выступать бумажная анкета с подписью покупателя, однако для торговли в интернете этот вариант не подходит.

Роскомнадзор считает, что в качестве согласия на использование персональной информации на сайте может выступать файл электронной цифровой подписи. Помимо этого, предложения оператора о продаже товара в некоторых ситуациях могут быть рассмотрены в качестве публичной оферты. То есть, когда носитель ПДн соглашается на оферту в момент оформления заказа или регистрации, то одобряет использование своих персональных сведений, оставленных продавцу. Судебные органы считают, что компаниям лучше позаботиться о наличии на своем сайте веб-метки, которая означает, что клиент согласен с правилами и порядком обработки ПДн (постановление ФАС СЗО от 13.12.2010 г. по делу №А56-73636/2009, постановление ФАС УО от 18.03.2010 г. по делу №Ф09-1736/10-С1, определение Мосгорсуда от 14.02.2011 г. по делу №33-2064).

Конфиденциальность и защита персональных данных: 4 инструмента

Конфиденциальность персональных данных может быть обеспечена исключительно в той информационной среде, в которой злоумышленники не могут вмешаться в работу ее основных элементов, таких как сетевые устройства, операционные системы, приложения и система управления базами данных (СУБД).

1. Антивирусы.

Один из действенных методов борьбы с утечкой конфиденциальных данных – защита от вирусов. Нередко из-за влияния вирусов, червей и иных вредоносных программ происходит утрата информации по скрытым каналам. В современные антивирусы включена не только сигнатурная защита, но и более инновационные методы. Речь идет, в частности, о поведенческом анализе программ, экранах уровня приложений, контроле над целостностью критической для операционной системы информации и иных способах защиты, которые обеспечивают конфиденциальность персональных данных.

1. Межсетевые экраны.

Необходимо обеспечить эффективную защиту не только всей корпоративной сети, но и каждому отдельному рабочему месту от массовых вирусных атак, а также от целенаправленных атак в сети. Здесь достаточной будет установка системы блокировки неиспользуемых сетевых протоколов и сервисов. Отметим, что именно эти функции и выполняет межсетевой экран. Нередко к его функциональности добавляют также средства организации виртуальных частных сетей – VPN.

1. Системы предотвращения вторжений.

Системы предотвращения вторжений (Intrusion Prevention System, IPS) устанавливают в разрыв сети. Такие сети предназначены для того, чтобы выявлять в проходящем трафике признаки нападения и блокировать обнаруженную наиболее популярную атаку. Это обеспечивает в конечном итоге конфиденциальность персональных данных.

IPS отличаются от шлюзовых антивирусов тем, что выполняют анализ не только содержимого IP-пакетов, но и применяемых протоколов и корректности их использования. IPS способны обеспечить защиту от большего числа атак, в отличие от шлюзовых антивирусов. Системы предотвращения вторжений выпускают фирмы, основная специализация которых – сетевая защита, например, Check Point и McAfee (продукт Network Security Platform), так и компании, производящие сетевое оборудование – Juniper и Cisco.

1. Сканеры уязвимостей.

Общие средства защиты – это и сканеры уязвимости, проверяющие операционные системы и программное обеспечение на наличие разного рода «брешей». Обычно это самостоятельные программы или устройства, которые тестируют систему следующим образом: направляют специальные запросы, имитирующие атаку на протокол или приложение. Среди самых популярных продуктов в этой категории можно выделить MaxPatrol, группу продуктов IBM ISS, Symantec и McAfee (Vulnerability Manager). Однако сейчас выпускают и пассивные сканеры, просто сканирующие трафик и выявляющие вероятные уязвимые места.

Вышеперечисленные инструменты – общие для всей сети и напрямую не относятся к защите персональных сведений. Но их наличие обговаривают в отдельном порядке, а потому этими основными средствами должен располагать каждый оператор персональных данных, причем даже для минимального уровня К4, где сам оператор может выбирать средства защиты.

В данный момент комплект инструментов для защиты от утечки персональной информации только формируется. Существует 3 категории таких продуктов:

• Системы контроля периферийных устройств.

Зачастую утечки ПДн происходят через съемные информационные носители и несанкционированные каналы связи, среди которых флэш-память, USB-диски, Bluetooth или Wi-Fi, в связи с чем необходимо контролировать и периферийные устройства. Это позволяет избегать утечек и обеспечить конфиденциальность персональных данных. На рынке есть определенные инструменты, относящиеся к данной категории, к примеру, от производителей SmartLine и SecureIT.

• Системы защиты от утечек (Data Leak Prevention, DLP).

Благодаря системам защиты от утечек можно при помощи особых алгоритмов вычленить из потока информации конфиденциальную и предотвратить ее несанкционированную передачу, поставив блок. В DLP-системах существует ряд механизмов контроля различных каналов передачи данных – e-mail, мгновенных сообщений, web-почты, печати на принтере, сохранения на съемном диске и проч. При этом такие системы ставят блок на утечку только конфиденциальной информации, так как оснащены встроенными механизмами для определения степени секретности данных, благодаря чему достигается высокая конфиденциальность персональных данных.

• Методы шифрования.

Методы шифрования применяются в процессе передачи персональной информации по сети в распределенной системе. Вы можете пользоваться продуктами класса VPN, основой которых обычно является шифрование. Но системы данного типа должны быть сертифицированными и тесно интегрированными с базами данных, в которых хранится персональная информация.

Благодаря инструментам, перечисленным выше, можно избежать утечек информации, в том числе персональной, то есть, обеспечить конфиденциальность персональных данных. При этом методы могут быть использованы и для того, чтобы защищать иную, критическую для организации, информацию. Но стоит учитывать, что для исполнения требований закона «О персональных данных» необходимо использовать сертифицированные средства защиты, одобренные ФСТЭК.

Политика о конфиденциальности персональных данных на сайте : пошаговая инструкция

Политика конфиденциальности – это тоже оферта (соглашение), но только касающаяся вопросов использования персональной информации пользователей. Если юзер принял (акцептовал) предложенные ему условия и правила, значит, дал согласие на обработку персональных данных.

То есть, пользователь может:

• зарегистрироваться/авторизоваться;
• проставить в полях соответствующие отметки;
• выполнить действия в определенной последовательности;
• использовать функционал сайта.

Все эти действия будут свидетельствовать о том, что пользователь принял правила обработки его ПДн.

Лучше применять описание не одной формы акцепта, а их совокупность, указывая, к примеру, что пользователь согласился с правилами Политики конфиденциальности, нажав соответствующую кнопку или проставив отметку в поле для Регистрации на любой стадии регистрации или в любой момент пользования интернет-ресурсом.

Универсальный шаблон Политики конфиденциальности пока не выработан. Когда вы ее разрабатываете, то так или иначе должны принимать во внимание особенности работы ресурса, его назначение, функциональные особенности, численность целевой аудитории, то, в каких объемах клиенты оставляют сведения о себе.

На основе анализа существующего законодательства в области обработки персональной информации появилась возможность сформулировать ряд рекомендаций для владельцев сайтов по содержанию Политики конфиденциальности:

Шаг 1. Если хотите, в Политику конфиденциальности можете включать главу с терминами и определениями. Однако это необязательно. Чтобы обеспечить удобство юзеров и унифицировать документацию на сайте, вы можете включить соответствующую главу с терминами и их расшифровкой – едиными как для Политики конфиденциальности, так и для Пользовательского соглашения (например, «сайт», «владелец сайта», «пользователь», «личный кабинет» и проч.).

Если даже у вас на сайте отсутствует такой раздел в Политике конфиденциальности, вы, как владелец, никаких рисков из-за этого не несете.

Шаг 2. Выделите общие положения и опишите у них:

• Предмет регулирования Политики.
• Формы акцепта юзера с правилами Политики и обработкой ПДн.
• Место разрешения спорных ситуаций, которые вытекают из Политики, с оговоркой (к примеру, вы можете указать, что все возможные споры по поводу Политики конфиденциальности и отношений между гражданином и владельцем интернет-ресурса будут разрешаться через суд по месту пребывания владельца сайта в соответствии с нормативами РФ, если об ином не сказано в федеральном законе). Оговорка требуется в целях соблюдения действующих норм законодательства. Если же в Политике указано, что споры должны разрешаться по месту пребывания Администрации сайта, пользователь заблаговременно будет знать об этом.
• Порядок внесения изменений в Политику и обновления данного документа (к примеру, «Администрация сайта вправе менять и (или) вносить дополнения в Политику конфиденциальности, при этом специально не уведомляя пользователя об этом. Политика конфиденциальности в новой редакции вступает в силу с того момента, как размещается на странице сайта, если об ином не сказано в новой редакции Политики конфиденциальности. Действующая редакция Политики конфиденциальности всегда находится на странице сайта по адресу…»). Если пользователь никак не реагирует, это означает, что он согласен с изменениями и (или) дополнениями в Политике конфиденциальности.
• Отсутствие доступа к информации, которую гражданин оставляет на сайтах третьих лиц. Это может быть связано с тем, что пользователь оплачивает услуги и предоставляет свои платежные данные.

Здесь следует четко прописать, к примеру, следующее: «пользователь признает и подтверждает, что любую информацию, включая, например, данные банковских карточек, напрямую или косвенно связанные с оплатой услуг или сервисов, он размещает на страницах сайтов третьих лиц, которые не имеют отношения к владельцу сайта; Администрации сайта такая информация недоступна, она не собирает, не систематизирует, не хранит, не уточняет, не обновляет и не изменяет, не использует, не распространяет (в том числе, не передает), не обезличивает, не блокирует, не уничтожает такие данные, не осуществляет трансграничную передачу – словом, не проводит в их отношении никаких операций.

Шаг 3. Вам следует зафиксировать тот факт, что вы предоставили согласие пользователю на использование его ПДн. Это крайне необходимо в любой политике конфиденциальности. Укажите, что когда пользователь соглашается на обработку своих данных, то руководствуется собственными интересами и делает это по собственной воле. Пользователь соглашается на обработку информации с того момента, как регистрируется на сайте и (или) совершает иные действия, связанные с пользованием сервисами или возможностями интернет-ресурса.

Шаг 4. Необходимо обозначить, с какой целью вы предоставляете согласие, например, чтобы:

• заключать с Администрацией интернет-ресурса соглашения, договоры, которые напрямую предусматривает Политика, а также иные соглашения, размещенные на сайте, и их последующее исполнение;
• участвовать в организуемых акциях, а также принимать решения и выполнять иные мероприятия с разного рода юридическими последствиями в отношении пользователя или иных лиц;
• принимать и обрабатывать запросы;
• информировать клиентов о состоянии запроса и услугах, к примеру, при помощи сообщений по e-mail или по SMS;
• улучшать качество работы интернет-ресурса;
• проводить статистические и иные исследования на основании обезличенной информации.

Вполне могут иметь место любые варианты, причем одновременно. Но основная в данном случае цель – первая в данном списке. То есть она заключается в использовании персональных данных, чтобы заключать соглашения, договоры с владельцем интернет-ресурса и исполнять их. Благодаря этому варианту можно будет объяснить отсутствие согласия на обработку персональной информации «на бумаге» в случае проблем с Роскомнадзором, и разъяснить, почему владелец не направил в данную инстанцию уведомления.

Шаг 5. Следует описать, из чего состоят персональные данные.

К персональной относится далеко не вся информация о пользователе. Персональные данные, как уже было отмечено, позволяют точно определить гражданина. К ним относятся, к примеру, ФИО, адрес места проживания, а также паспортные данные. Конфиденциальность персональных данных клиентов – обязательное к соблюдению условие для всех организаций.

В Политике конфиденциальности вы можете указать, что согласие пользователя распространяется на ФИО, адрес места проживания, телефонный номер и любые другие данные, относящиеся к личности человека, которыми сейчас располагает Администрация сайта.

Шаг 6. Обозначьте период, в течение которого действует согласие.

Вы можете указать, что согласие гражданина действует до тех пор, пока не истекут сроки хранения соответствующих сведений или документации, в которых содержится обозначенная выше информация. Эти сроки определяет законодательство РФ. По истечении указанного периода пользователь может отозвать свое согласие, направив соответствующее уведомление (в письменном виде) владельцу сайта. Сделать это он обязан не менее чем за 3 месяца до момента отзыва согласия.

Шаг 7. Зафиксируйте объем возможных действий по обработке.

Помните, что чем больше возможных действий с персональной информацией вы опишете, тем лучше. Вы можете указать, что согласие предоставляется на проведение любых операций без ограничений персональными данными, необходимыми или желаемыми для решения обозначенных выше задач. То есть, вы, как владелец сайта, получая персональные данные пользователя, с его согласия можете собирать, систематизировать, копить, хранить, уточнять (обновлять, изменять), использовать, распространять (в том числе, передавать), обезличивать, блокировать, уничтожать, осуществлять трансграничную передачу ПДн, а также выполнять иные процедуры с личной информацией гражданина в соответствии с действующими законодательными нормами РФ.

Шаг 8. Обозначьте методы обработки ПДн.

Укажите, как вы собираетесь использовать персональные данные пользователя – хранить, записывать на электронные носители с их последующим хранением, формировать перечни или как-то иначе.

Шаг 9. Обозначьте, что у вас есть право раскрытия персональных данных третьим лицам.

Зафиксируйте свое право, как владельца сайта, передавать данные третьим лицам, если необходимо достичь той или иной цели, обозначенной в Политике. Также вам следует обозначить, что пользователь не возражает против передачи его данных.

Шаг 10. Установите, в каком порядке будут отправляться юридически значимые сообщения.

Чтобы урегулировать поток обращений от пользователей, связанных с обработкой информации, необходимо усложнить процесс взаимодействия с Администрацией интернет-ресурса. Как? Например, определить письменную форму подобных обращений и способ их отправки – по e-mail или через курьера. В дополнительном порядке укажите, что если формат обращений не будет соблюден, обращения и уведомления пользователя останутся нерассмотренными.

Какие предусмотрены штрафы за нарушение конфиденциальности персональных данных с 2017 года

С 1.07.2017 г. в силу вступил ФЗ от 07.02.2017 г. № 13-ФЗ, вносящий поправки в ст. 13.11 Кодекса об административных правонарушениях. Так, на основании данного ФЗ предусмотрено расширение списка оснований, по которым на нарушителей могут наложить административное взыскание за незаконную обработку персональной информации и существенно повысить штрафы.

Основание	Размер штрафа
	Физические лица	Должностные лица	Юридические лица
Обработка ПДн в случаях, не предусмотренных законодательством РФ; обработка ПДн, несовместимая с целями сбора ПДн	предупреждение или штраф - от 1000 до 3000 руб.	предупреждение или штраф - от 5000 до 10 000 руб.	предупреждение или штраф - от 30 000 до 50 000 руб.
Обработка ПДн без письменного согласия на то их субъекта	от 3000 до 5000 руб.	от 10 000 до 20 000 руб.	от 15 000 до 75 000 руб.
	от 700 до 1500 руб.	от 3000 до 6000 руб.	от 15 000 до 30 000 руб.	от 5000 до 10 000 руб.
Непредоставление субъекту ПДн информации по их обработке	предупреждение или штраф - от 1000 до 2000 руб.	предупреждение или штраф - от 4000 до 6000 руб.	предупреждение или штраф - от 20 000 до 40 000 руб.	предупреждение или штраф - от 10 000 до 15 000 руб.
Невыполнение оператором требования субъекта ПДн или его представителя об уточнении, блокировке, уничтожении (если ПДн неполные, устаревшие, неточные, незаконно получены, не являются необходимыми для заявленной цели обработки)	предупреждение или наложение штрафа в размере от 1000 до 2000 руб.	предупреждение или штраф - от 4000 до 10 000 руб.	предупреждение или штраф - от 25 000 до 45 000 руб.	предупреждение или штраф - от 10 000 до 20 000 руб.
Необеспечение оператором при обработке ПДн без средств автоматизации обязанности по сохранности ПДн, что привело к неправомерному или случайному доступу к ПДн и стало причиной их уничтожения, изменения, блокирования, копирования	от 700 до 2000 руб.	от 4000 до 10 000 руб.	от 25 000 до 50 000 руб.	от 10 000 до 20 000 руб.
Невыполнение оператором (гос. или муниципальным органом) обязанности по обезличиванию ПДн; несоблюдение требований по обезличиванию ПДн		предупреждение или наложение административного штрафа - от 3000 до 6000 руб.

Конфиденциальность персональных данных за рубежом

• США.

В Штатах намеренно не принимают федеральный закон о защите ПДн, отдавая предпочтение законам, касающимся отдельных областей жизни. В 1988 г. видеопрокатам в США запретили публичное разглашение информации о том, какие видеокассеты берут клиенты. Такой запрет на прокаты наложили после утечки в СМИ списка видеокассет, арендованных кандидатом в судьи ВС РФ Робертом Броком. Отметим, в списке значились вполне приличные фильмы.

Очень важное значение в США имеет конфиденциальность персональных данных, передаваемых за границу. В Штатах в этом отношении действует то же правило, что и в Европе – принимающее государство должно защищать персональную информацию на должном уровне.

Непринятие общего закона о защите персональных данных в США связано со специфической экономической и политической культурой, где власти способствуют саморегуляции бизнеса. Например, свободу слова в конституции гарантирует первая поправка. Что же касается права на неприкосновенность частной жизни, то она в ней прямо не прописана и лишь подразумевается. Однако все это не мешает отдельным штатам выдвигать инициативы. С 2014 г. в Калифорнии действует закон, обязывающий сайты оповещать пользователей, отслеживаются их действия или нет. С 2015 г. поведение несовершеннолетних граждан в США не отслеживают, как и в Европе.

• Азия.

Сегодня в странах Азии действует закон о защите персональной информации в интернете. Исключение составляет лишь Китай и большая часть государств Ближнего Востока. В Индии закон о соблюдении конфиденциальности персональных данных не имеет силы за пределами страны. И, заметим, он не очень жесткий. Большую часть граждан Индии не волнует конфиденциальность персональных данных. Из информации на сайтах знакомств можно легко узнать, какую группу крови имеет тот или иной пользователь, кто ВИЧ-инфицирован. При этом правительство наделено обширными полномочиями доступа к персональной информации, а для поиска номера мобильного телефона нередко достаточно вбить имя гражданина в строку поиска.

Закон о защите персональных данных, в том числе, в интернете, приняли в 2005 году. Иностранные организации с офисом в Японии должны детально разъяснять, с какой целью они хранят ПДн, если эти сведения касаются хотя бы 5 тыс. клиентов и работников.

Отметим, японцы очень осторожно относятся к распространению своих персональных данных, даже если случаются природные катаклизмы – землетрясения или госпитализации человека. Конфиденциальность персональных данных крайне важна для них. При этом время от времени происходят крупные утечки информации и незаконные сделки по их продаже. В последние годы развитие интернета опережает закон. Нормы, выработанные лет десять назад, не учитывают существования облачных сервисов и социальных сетей.

В Сингапуре в 2013 г. приняли закон, подобный тому, что в данный момент рассматривает Совет Европы. Сегодня законодательство именно этого государства наиболее прогрессивно во всей Азии в отношении хранения ПДн.

• Южная Америка.

В Южной Америке был громкий скандал с Эдвардом Сноуденом, отчасти приведшим к принятию закона Marco Civil da Internet. Значительное место в законе отведено вопросу защиты персональной информации. Жители Бразилии относятся к конфиденциальности ПДн практически так же, как в Европе, но с некоторыми нюансами.

Совместно с Германией Бразилия продвинула в ООН первую резолюцию о защите ПДн в сети. В резолюции было сказано о том, что право на конфиденциальность персональных данных должно быть обеспечено и в реальной жизни, и в интернете. Отметим, в Бразилии электронная переписка защищается в таком же порядке, что и обычная.

Что же касается остальной Южной Америки, там законопроекты о конфиденциальности персональных данных обычно рассматривают в течение нескольких месяцев, а то и лет.

Единственная страна, где требования о защите персональной информации в интернете выполняются в полном объеме? – это Аргентина.

Информация об экспертах

Елена Денисова , руководитель коммерческой практики, CLIFF. Елена Денисова окончила Московский государственный открытый университет и Московский финансово-юридический университет. Специализируется в области коммерческого права, занимается решением задач, связанных с электронной коммерцией, включая судебную защиту ее субъектов. Обеспечивала юридическое сопровождение ряда стартапов в этой области. CLIFF - группа компаний, оказывающая юридические услуги широкого спектра. Основана в 1994 году. Штат - более 50 юристов. Одна из первых компаний, которая занялась работой с проектами в сфере электронной коммерции - от разработки платежных систем до создания с нуля интернет-проектов разных направлений. Официальный сайт - www.cliff.ru

"Кадровик.ру", 2012, N 7

В любой компании существует конфиденциальная информация, которая особенно тщательно оберегается от не имеющих к ней доступа сотрудников, а также конкурентов и поставщиков. Вместе с тем определить степень секретности данных достаточно сложно. В итоге все сведения, связанные с деятельностью организации, начинают считать конфиденциальными. В результате возникают судебные споры как с работниками, так и с другими компаниями.

Перечень соответствующих данных приведен в нескольких законодательных актах, однако и компания может самостоятельно ограничить доступ к некоторым сведениям. Вместе с тем основным документом, позволяющим определить, относится ли информация к конфиденциальной, является Федеральный закон от 29.07.2004 N 98-ФЗ "О коммерческой тайне" (далее - Закон N 98-ФЗ). Однако перечень, содержащийся в этом Законе, является неполным, а иные сведения о конфиденциальной информации содержатся в других нормативных правовых актах.

Перечень конфиденциальных данных, определенных законодательством

Вид конфиденциальной информации	Перечень сведений	Законодательная норма
Информация, составляющая коммерческую тайну	Сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно- технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам	Статья 3 Федерального закона от 29.07.2004 N 98-ФЗ "О коммерческой тайне"
Банковская тайна	Сведения об операциях, о счетах и вкладах организаций - клиентов банков и корреспондентов	Статья 26 Федерального закона от 02.12.1990 N 395-1 "О банках и банковской деятельности"
Адвокатская тайна, нотариальная тайна	Сведения, связанные с оказанием адвокатом юридической помощи своему доверителю; сведения, которые стали известны нотариусу в связи с его профессиональной деятельностью	Основы законодательства Российской Федерации о нотариате (утв. ВС РФ 11.02.1993 N 4462-1); ст. 8 Федерального закона от 31.05.2002 N 63-ФЗ "Об адвокатской деятельности и адвокатуре в Российской Федерации"
Сведения, связанные с аудитом организации	Любые сведения и документы, полученные и (или) составленные аудиторской организацией и ее работниками, а также индивидуальным аудитором и работниками, с которыми им заключены трудовые договоры, при оказании услуг, предусмотренных настоящим Федеральным законом, за исключением: 1) сведений, разглашенных самим лицом, которому оказывались услуги, предусмотренные настоящим Федеральным законом, либо с его согласия; 2) сведений о заключении с аудируемым лицом договора о проведении обязательного аудита; 3) сведений о величине оплаты аудиторских услуг	Статья 9 Федерального закона от 30.12.2008 N 307-ФЗ "Об аудиторской деятельности"

На практике режим конфиденциальности определяется:

• перечнем сведений, составляющих коммерческую тайну; перечнем конфиденциальной информации в организации;
• договорным регулированием отношений с работниками;
• договорным регулированием отношений с контрагентами путем установления соответствующих положений в договоре;
• нанесением на материальные носители конфиденциальной информации ограничительных отметок и грифа конфиденциальности с указанием ее обладателя.

Кроме указанных мер в компании могут при необходимости применяться средства и методы технической защиты конфиденциальной информации, а также другие меры, не противоречащие законодательству Российской Федерации.

Режим коммерческой тайны не может быть установлен в отношении следующих сведений:

• содержащихся в учредительных документах юридического лица и документах, подтверждающих факт внесения записей о юридических лицах в государственные реестры;
• содержащихся в документах, дающих право на осуществление предпринимательской деятельности;
• о загрязнении окружающей среды, состоянии противопожарной безопасности, санитарно-эпидемиологической и радиационной обстановке, безопасности пищевых продуктов и других факторах, оказывающих негативное воздействие на обеспечение безопасного функционирования производственных объектов, безопасности каждого гражданина и безопасности населения в целом;
• о численности, составе работников, системе оплаты труда, об условиях труда, в том числе об охране труда, о показателях производственного травматизма и профессиональной заболеваемости, наличии свободных рабочих мест;
• о задолженности работодателей по выплате заработной платы и по иным социальным выплатам;
• о нарушениях законодательства РФ и фактах привлечения к ответственности за их совершение;
• о размерах и структуре доходов некоммерческих организаций, о размерах и составе их имущества, об их расходах, о численности и об оплате труда их работников, об использовании безвозмездного труда граждан в деятельности некоммерческой организации;
• о перечне лиц, имеющих право действовать без доверенности от имени юридического лица;
• сведений, обязательность раскрытия которых или недопустимость ограничения доступа к которым установлена федеральными законами до вступления в силу Закона N 98-ФЗ.

Рассмотрим порядок установления перечня в конкретной компании.

Как поступать с сотрудником, разгласившим конфиденциальную информацию?

Во многих компаниях к сотруднику, разгласившему секретные сведения, применяют следующие меры: налагают дисциплинарное взыскание, взыскивают убытки в суде. Некоторые работодатели просто увольняют провинившихся, считая, что распространение конфиденциальной информации является серьезным проступком. Действительно, такая возможность есть. Согласно пп. "в" п. 6 ч. 1 ст. 81 ТК РФ трудовой договор может быть расторгнут работодателем даже в случае однократного разглашения коммерческой тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей.

При возникновении спора о восстановлении на работе лица, уволенного по рассматриваемому основанию, именно на работодателя возлагается бремя доказывания всех обстоятельств разглашения коммерческой тайны. Необходимо тщательно рассмотреть все обстоятельства конкретного дела, проанализировать, имеются ли законные основания для увольнения работника, заподозренного в разглашении конфиденциальной информации, а также оценить возможные риски в случае оспаривания сотрудником увольнения.

Приведем следующий пример: работник использовал флэш-накопитель для распечатки документа на принтере. Однако работодатель посчитал данные действия разглашением коммерческой тайны, поскольку запрет на использование флэш-накопителя для передачи конфиденциальной информации содержался в локальном акте. Однако в организации не было точного перечня таких секретных данных. В результате работник обратился в трудовую инспекцию, и после проверки ему удалось добиться снятия дисциплинарного взыскания.

Таким образом, налагая дисциплинарное взыскание, работодатель должен:

• доказать, что работник нанес материальный вред организации;
• установить, что работник разгласил конфиденциальные данные, включенные в перечень;
• подтвердить факт разглашения и ознакомления работника со списком конфиденциальных сведений.

Если компания захочет взыскать убытки в суде (допустим, менеджер уволился и продал конфиденциальную базу данных конкурентам), то потребуется оценить материальный ущерб. Ключевым условием, позволяющим сформировать доказательственную базу, является наличие перечня конфиденциальной информации.

Перечень конфиденциальной информации в отдельной организации

В каждой организации составляется свой перечень конфиденциальной информации. Как правило, в него входят:

• сведения о производстве и управлении;
• данные об уровне заработной платы сотрудников;
• персональные данные сотрудников;
• управленческие решения, планы развития производства, инвестиционные программы;
• протоколы совещаний;
• конфиденциальные договоры;
• сведения о переговорах;
• сведения о кадровом составе, штатном расписании;
• стоимость и цены;
• бухгалтерская отчетность, первичная документация;
• сведения об уплаченных налогах и сборах;
• отчеты аудиторов.

Обратите внимание: персональные данные и конфиденциальная информация - не равнозначные понятия. Последнее является более широким и может включать в себя различные бухгалтерскую отчетность, данные о кадровом составе организации и иные сведения, которые охраняются компанией в соответствии с установленным режимом коммерческой тайны.

Информация, составляющая коммерческую тайну (секрет производства), - это сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны. Разглашение информации, составляющей коммерческую тайну, - это действие или бездействие, в результате которых такие сведения в любой возможной форме (устной, письменной, иной, в том числе с использованием технических средств) становятся известны третьим лицам без согласия обладателя либо вопреки трудовому или гражданско-правовому договору (Определение Мосгорсуда от 14.11.2011 по делу N 33-36486).

Понятие персональных данных установлено в Федеральном законе от 27.07.2006 N 152-ФЗ "О персональных данных". Это любые сведения, относящиеся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

То есть, если конфиденциальная информация может относиться и к физическим, и к юридическим лицам, персональные данные - только к физическим. Перечень конфиденциальных данных, отнесенных к таковым на законодательном уровне, приведен в приложении.

Необходимо обратить внимание на тот факт, что информация, признанная в компании конфиденциальной, может и не быть отнесена к таковой. К конфиденциальным могут быть причислены документы бухгалтерской отчетности, предоставляемые участникам общества лишь для ознакомления (Постановление ФАС Поволжского округа от 05.04.2005 N А12-12462/04-С56). Аналогичный вывод сделан и в Постановлении ФАС Дальневосточного округа от 16.05.2007, 08.05.2007 N Ф03-А73/07-1/1090 по делу N А73-9822/2006-9, в котором суд признал, что ни нормами Федерального закона от 21.11.1996 N 129-ФЗ "О бухгалтерском учете", ни ст. 89 Федерального закона от 26.12.1995 N 208-ФЗ "Об акционерных обществах" не предусмотрено обязательное предоставление акционеру копий первичных учетных документов, оборотных ведомостей аналитического учета и электронной базы данных бухгалтерской программы общества. Вместе с тем, например, сведения об исполнении налогоплательщиками своих обязательств по уплате налогов не являются налоговой тайной и могут быть разглашены (Постановление ФАС Западно-Сибирского округа от 27.07.2010 по делу N А27-25441/2009).

Таким образом, работодатель самостоятельно должен составить перечень конфиденциальных сведений и установить их распорядительным документом в зависимости от важности данной информации. Однако признание данных конфиденциальными может быть оспорено в суде. При этом важным моментом также являются не только установление самого перечня конфиденциальной информации, но и порядка ее защиты.

Порядок защиты конфиденциальной информации

В соответствии со ст. 10 Закона N 98-ФЗ меры по охране конфиденциальности информации, принимаемые ее обладателем, должны включать в себя:

• определение перечня данных, составляющих коммерческую тайну;
• ограничение доступа к таким сведениям путем установления порядка обращения с ними и контроля за соблюдением этого порядка;
• учет лиц, получивших доступ к конфиденциальной информации, и (или) лиц, которым она была предоставлена или передана;
• регулирование отношений по использованию данных, составляющих коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;
• нанесение на материальные носители, содержащие конфиденциальную информацию, или включение в состав реквизитов документов, содержащих такую информацию, грифа "Коммерческая тайна" с указанием обладателя такой информации.

В целях охраны конфиденциальности информации работодатель обязан:

• ознакомить под расписку работника, которому доступ к таким сведениям необходим для выполнения трудовых обязанностей, с перечнем информации, составляющей коммерческую тайну, обладателями которой являются работодатель и его контрагенты;
• ознакомить сотрудника под расписку с установленным работодателем режимом коммерческой тайны и с мерами ответственности за его нарушение;
• создать работнику необходимые условия для соблюдения установленного режима (ст. 11 Закона N 98-ФЗ).

Трудовой договор с руководителем организации должен предусматривать обязательства этого сотрудника по обеспечению охраны конфиденциальности информации, обладателем которой являются организация и ее контрагенты, и ответственность за соответствующие меры.

Признание данных конфиденциальными может быть оспорено в суде

При этом в компании могут быть предприняты следующие действия:

• реализация разрешительной системы допуска исполнителей (пользователей, обслуживающего персонала) к информации и связанным с ее использованием работам, документам;
• ограничение доступа персонала и посторонних лиц в защищаемые помещения и помещения, где размещены средства информатизации и коммуникации, а также хранятся носители информации;
• стенографирование совещаний;
• разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты данных;
• учет и надежное хранение бумажных и машинных носителей информации, ключей (ключевой документации) и их обращение, исключающее их хищение, подмену и уничтожение;
• резервирование технических средств и дублирование массивов и носителей информации;
• защита от копирования информации, применение сертифицированных средств ее защиты;
• использование защищенных каналов связи;
• криптографическое преобразование данных, обрабатываемых и передаваемых средствами вычислительной техники и связи.

Очень важно установить в локальном акте организации не только перечень конфиденциальных сведений, но и порядок их использования.

Во взаимоотношениях с работниками компании используют обычно две тактики: защиту интересов в суде, защиту интересов в досудебном порядке путем расторжения договора с работником. Рассмотрим первый способ. В качестве примера можно привести Определение Мосгорсуда от 22.12.2011 по делу N 4г/8-10945/11. Разрешая заявленные исковые требования, руководствуясь ст. 81 ТК РФ, Федеральным законом "О коммерческой тайне", суд пришел к выводу о том, что увольнение истца является законным и обоснованным, поскольку он разгласил коммерческую тайну. Истец направил в адрес сторонней организации по электронной почте документы, к которым у третьих лиц не было свободного доступа и в отношении которых работодатель ввел режим коммерческой тайны.

В суде компания доказала следующие факты: ознакомление работника с положением "О коммерческой тайне", соблюдение процедуры привлечения к дисциплинарной ответственности, факт отправки документов в адрес заместителя генерального директора сторонней организации - данных о контрагентах, сведений о сроках и способах оказания услуг, размерах вознаграждения.

Но, если конфиденциальная информация не передается третьим лицам, факт копирования сведений без передачи третьим лицам не может расцениваться как разглашение. Так, в Определении от 12.12.2011 по делу N 4г/8-10961/2011 Мосгорсуд пришел к выводу о том, что информация, скопированная истицей на флэш-карту, составляла коммерческую тайну общества, однако доказательств того, что данные сведения были переданы ею третьим лицам, сторона ответчика не представила, а истица совершение подобных действий отрицала. Доказательств пересылки истицей указанных сведений на электронные почтовые ящики третьих лиц, а равно фактов размещения в сети Интернет суд также не получил. При осмотре домашнего компьютера истицы и удалении из него скопированной информации таковых фактов ответчик не зафиксировал. Отметок об этом в акте об удалении информации не было. Действия работника, в результате которых указанная информация становится доступна иным сотрудникам, осуществляющим контроль за соблюдением режима коммерческой тайны в организации, не могут быть квалифицированы по пп. "в" п. 6 ч. 1 ст. 81 ТК РФ. При таких обстоятельствах, когда конфиденциальная информация не была разглашена третьим лицам, физическое лицо может быть восстановлено на работе с выплатой компенсации за время вынужденного прогула.

Распространение несекретной информации не является разглашением конфиденциальных сведений. Такой вывод следует из Определения Мосгорсуда от 14.11.2011 по делу N 33-36486. Суд пришел к выводу о том, что сведения о наличии оборудования, его стоимости, данные о дистрибьюторах не представляют коммерческой тайны, т.к. размещены в прайс-листах, каталогах и буклетах. Таким образом, конфиденциальность не была нарушена. Аналогичный вывод сделал Мосгорсуд в Определении от 18.10.2011 по делу N 33-33741. Разрешая спор и частично удовлетворяя исковые требования, суд обоснованно исходил из того, что обязанность доказать наличие законного основания увольнения и соблюдение установленного порядка увольнения возлагаются на работодателя. Работодатель не представил как доказательств того, что система B2B содержала конфиденциальную информацию, так и доказательств распространения истцом данных, составляющих коммерческую тайну.

Конечно, многие компании в суде не могут доказать свою правоту, поскольку в нормативно-правовой базе отсутствует конкретный перечень документов, которыми можно подтвердить убытки, связанные с незаконным раскрытием конфиденциальной информации. Кроме того, очень сложно оценить именно материальную составляющую, например, утечки информации о контрагентах или финансовых показателях, а также сам факт разглашения. Ведь разглашение может быть осуществлено как в письменной форме, так и в устной. В связи с этим многие компании вынуждены использовать такие методы наказания нерадивых работников, как дисциплинарные взыскания.

Однако иногда компании предпочитают не выносить сор из избы и расстаются с такими работниками по-хорошему. В подобных ситуациях предпочтительнее оформить увольнение по соглашению сторон, предусмотренному ст. 78 ТК РФ. Одно из существенных преимуществ заключается в том, что оспорить такое увольнение практически невозможно, поскольку наличествует взаимная договоренность сторон.

В заключение следует отметить, что от того, насколько четко компания определяет перечень конфиденциальных сведений, а также порядок их охраны, зависят целостность коммерческой тайны, защита интересов организации и возможность восстановления справедливости в суде.

Приложение

Пример перечня конфиденциальных данных Перечень сведений, отнесенных к конфиденциальной (служебной) информации в центральном аппарате Федерального агентства железнодорожного транспорта и подведомственных ему предприятиях и учреждениях, утв. Приказом Федерального агентства железнодорожного транспорта от 24.01.2011 N 18

N п/п	Сведения, отнесенные к конфиденциальной (служебной) информации
I. Сведения об отраслевой управленческой деятельности
1	Отдельные материалы заседаний Федерального агентства железнодорожного транспорта (далее - Росжелдора) и сведения, содержащиеся в них, ограничение доступа к которым установлено решением заседания ПДТК Росжелдора
2	Сведения (информация), подготовленные Росжелдором на поступающие из органов государственной власти, предприятий, учреждений и организаций, независимо от организационно-правовой формы и формы собственности с пометкой "Для служебного пользования", "Коммерческая тайна", "Конфиденциально" и другие в части, не содержащей сведений, составляющих государственную тайну
3	Сведения, содержащие показатели государственного оборонного заказа в части, не содержащей сведений, составляющих государственную тайну
4	Сведения, содержащиеся в материалах служебной проверки (расследования), до утверждения акта (заключения) по проверке, а также если сведения, полученные в результате проверки (расследования), могут быть использованы в дальнейшем для противоправного действия (нанесения ущерба)
5	Сведения об организации работы, о конкретных мерах или проводимых мероприятиях, направленных на обеспечение информационной безопасности при осуществлении международного сотрудничества с участием представителей Росжелдора, а также содержащиеся в подготовительных или отчетных документах (формах) о проведении встречи
II. Сведения об административно-хозяйственной деятельности
6	Сведения о персональных данных работника Росжелдора, содержащиеся в личном деле работника, кроме случаев, предусмотренных законодательством Российской Федерации
7	Сведения, получаемые при приеме гражданина на государственную гражданскую службу, необходимые для оформления допуска к государственной тайне
8	Сведения об осведомленности работника со сведениями, составляющими государственную тайну
9	Протоколы заседаний конкурсных комиссий по проведению конкурсов на замещение вакантных должностей государственной гражданской службы
10	Акты проверок деятельности территориальных управлений и подведомственных организаций
11	Сведения о штатном расписании Росжелдора
12	Сведения о расположении структурных подразделений в здании
13	Протоколы заседаний жилищной комиссии
14	Протоколы заседаний конкурсной комиссии по проведению квалификационного экзамена и аттестации
III. Сведения о режиме секретности, мобилизационной подготовке, гражданской обороне, чрезвычайных ситуациях и транспортной безопасности
15	Акты проверок обеспечения пропускного режима в административное здание Росжелдора
16	Сведения о результатах оценки уязвимости объектов транспортной инфраструктуры и транспортных средств, кроме тех, обеспечение безопасности которых осуществляется исключительно федеральными органами исполнительной власти
17	Сведения, содержащиеся в планах обеспечения транспортной безопасности объекта транспортной инфраструктуры и транспортного средства
18	Сведения, являющиеся информационными ресурсами единой государственной информационной системы обеспечения транспортной безопасности, подготовленные Росжелдором, за исключением выписок из реестра категорированных объектов транспортной инфраструктуры и транспортных средств
IV. Сведения о защите информации
19	Сведения об организации обработки служебной информации на средствах вычислительной техники Росжелдора
20	Сведения, раскрывающие организацию, состояние защиты информации, или носителей информации, или информационного процесса
21	Сведения о методах, средствах или эффективности (состоянии защиты) конфиденциальной информации в автоматизированных информационных системах, средствах вычислительной техники, других технических средствах
22	Обобщенные сведения, содержащиеся в схеме локальной вычислительной сети Росжелдора, с указанием организационно-технологических параметров или технических характеристик и мест расположения ее ответственных составных частей, информационных узлов (определены на схеме)
23	Сведения о конкретных проводимых и (или) планируемых мероприятиях по информационной безопасности конфиденциальной информации
V. Прочие сведения
24	Сведения об организации, состоянии или расположении инженерных систем видеонаблюдения, пожарной или охранной сигнализации здания Росжелдора
25	Сведения, раскрывающие содержание планов и конкретных мероприятий по охране здания Росжелдора, помещений, в которых выполняются работы, хранятся материалы, ведутся переговоры конфиденциального характера
26	Данные охранного видеонаблюдения, фиксации системы охраны помещений, электронной системы прохода в здание

Процесс выявления и регламентации реального состава информации, представляющей ценность для предпринимателя, в том числе составляющей тайну фирмы, является основополагающей частью системы защиты информации.

Принимая во внимание, что система защиты ценной и конфиденциальной информации является дорогостоящей технологией, определение состава сведений, подлежащих защите, должно базироваться на принципе экономической целесообразности их защиты. Поэтому анализ информационных ресурсов фирмы осуществляется с учетом двух основных критериев: степени заинтересованности конкурентов в информации и степени ценности информации (стоимостной, правовой, деловой).

Для анализа необходимо иметь не только полный перечень реальных и потенциальных конкурентов, но и знать слабые и сильные стороны их деятельности, обладать информацией о состоянии дел у каждого конкурента, разрабатываемых новшествах, сотрудничестве со структурами промышленного шпионажа или криминальными структурами. На этой основе можно с полной уверенностью определить, какую информацию фирма не хотела бы раскрывать конкурентам. Необходимо также определить экономическую значимостью новшества, рассчитать величину ущерба от его утраты и на этой основе сделать вывод о том, является ли оно предметом коммерческой тайны и объектом защиты.

Следует учитывать, что вопрос о конфиденциальности информации возникает в случаях: принятия фирмой новой стратегии развития, заключения выгодных контрактов, появления технического или технологического новшества, установления факта потенциальной или реальной угрозы этому новшеству со стороны конкурента. При определении размера ущерба от возможной утраты информации учитывается стоимость продукции, которая не будет произведена, потери от замораживания капитальных вложений, стоимость произведенных научно-исследовательских работ и другие убытки.

В процессе анализа выделяются главные элементы информации, отражающие фирменный секрет. Это дает возможность удешевить системы защиты и сделать ее максимально целенаправленной, динамичной и эффективной. Защита новшества, включая общественные его составляющие, как правило, желаемого результата не дает за счет громоздкости системы защиты и трудности контроля больших объемов конфиденциальной информации. Массовость засекречивания ведет к росту штатной численности служб безопасности и, в конечном счете, к снижению эффективности защиты и утрате информации. Например, есть смысл защищать новую формулу в известном рецепте производимого продукта, новый алгоритм известных действий, новый прибор в производимом оборудовании и т.п.

Информация может быть отнесена к коммерческой (предпринимательской) тайне и стать конфиденциальной при соблюдении следующих условий:

Информация не должна отражать негативные стороны деятельности фирмы, нарушения законодательства, фальсификацию финансовой деятельности с целью неуплаты налогов и другие подобные факты;

Информация не должна быть общедоступной или общеизвестной;

Возникновение или получение информации предпринимателем должно быть законным и связано с расходованием материального, финансового или интеллектуального потенциала фирмы;

Персонал фирмы должен знать о ценности такой информации и быть обучен правилам работы с ней;

Предприниматель должен быть в состоянии выполнить реальные действия по защите этой информации, т.е. иметь, например, средства для закупки или разработки системы защиты информации.

В соответствии с постановлением Правительства РСФСР «О перечне сведений, которые не могут составлять коммерческую тайну» от 5 декабря 1991 г. к конфиденциальным не могут быть отнесены следующие сведения и документы:

Учредительные документы (решение о создании предприятия или договор учредителей) и устав;

Документы, дающие право заниматься предпринимательской деятельностью (регистрационные удостоверения, лицензии, патенты);

Сведения по установленным формам отчетности о финансово-хозяйственной деятельности и иные сведения, необходимые для проверки правильности исчисления и уплаты налогов и других обязательных платежей в государственную бюджетную системы РФ;

Документы о платежеспособности;

Сведения о численности, составе работающих, их заработной плате и условиях труда, а также о наличии свободных рабочих мест;

Документы об уплате налогов и обязательных платежей;

Сведения о загрязнении окружающей среды, нарушении антимонопольного законодательства, несоблюдения безопасных условий труда, реализации продукции, причиняющей вред здоровью населения, а также других нарушениях законодательства РФ и размерах причиненного при этом ущерба;

Сведения об участии должностных лиц предприятия в кооперативах, малых предприятиях, товариществах, акционерных обществах, объединениях и других организациях, занимающихся предпринимательской деятельностью.

В отличие от государственной тайны состав сведений, составляющих коммерческую тайну, государством централизованно не регламентируется и определяется индивидуально каждой фирмой. Одновременно фирма устанавливает необходимый уровень конфиденциальности этих сведений, степень требуемой их защиты, длительность защиты, ее стоимость и технологию. Состав ценной и конфиденциальной информации, подлежащей защите, определяется собственником или владельцем этих сведений и фиксируется в специальном перечне. В основе перечня лежит типовой состав защищаемых сведений фирм данного профиля.

Перечень конфиденциальных сведений фирмы представляет собой классифицированный список типовой и конкретной ценной информации о выполняемых работах, производимой продукции, научных и деловых идеях, технологических новшествах. В нем закрепляется факт отнесения сведений к защищаемой информации и определяется период (срок) конфиденциальности (т.е. недоступности для всех) этих сведений, уровень (гриф) их конфиденциальности, список должностей сотрудников фирмы, которым дано право использовать эти сведения в работе. В перечень включаются действительно ценные сведения («изюминки») о каждой работе фирмы.

Перечень является постоянным рабочим материалом руководства фирмы, служб безопасности и конфиденциальной документации. Поэтому он должен регулярно обновляться и корректироваться. Ограничение доступа к информации, относящейся к новой продукции, но не обладающей ценностью, применяться не должно.

Важной задачей перечня является дробление коммерческой тайны на отдельные информационные элементы, известные разным лицам. Закрепление части информации за конкретными должностями позволяет снизить вероятность раскрытия секрета сотрудниками и предотвратить возможность включения ими в документы конфиденциальной информации.

Перечень необходим также для выделения конфиденциальных документов из общего документопотока, соответствующего их маркирования (грифования) и автономной обработки, использования и хранения. При рассмотрении в судах дел о краже сотрудниками информации и понесенных фирмой в связи с этим убытках перечень используется в качестве доказательства отнесения этих сведений к разряду конфиденциальных.

Ведение перечня заключается в регулярной его корректировке и обновлении, отражающих новые перспективные разработки фирмы, переход на выпуск нового вида продукции, изменение тематики работы, направлений деятельности, конъюнктуру рынка и т.п. В процессе ведения в перечень включается конфиденциальная информация, отражающая реальные новшества, разработки и изобретения. С этой целью руководители структурных подразделений фирмы или направлений ее деятельности должны регулярно составлять реестры новой индивидуальной конфиденциальной информации и информации, потерявшей свою конфиденциальность. Реестры представляются в комиссию для внесения изменений в перечень.

Перевод сведений, включенных в перечень, из категории конфиденциальных в категорию открытых, т.е. исключение сведений из перечня, осуществляется комиссией по представлению руководства фирмы, структурных подразделений и службы безопасности.

На основании перечня конфиденциальных сведений служба безопасности или служба КД фирмы составляет и ведет классифицированный перечень ценных и конфиденциальных документов фирмы, подлежащих защите, с указанием обозначаемого на них грифа ограничения доступа и состава сотрудников, допущенных к этим документам. Перечень составляется в рамках структурных подразделений или направлений деятельности фирмы и регламентирует два аспекта работы сотрудников фирмы с конфиденциальными документами: а) состав создаваемых подразделением документов и документов, направляемых в подразделение для работы, и б) состав конфиденциальных сведений, которые могут быть включены в каждый указанный в перечне документ. Утверждается перечень первым руководителем фирмы.

В перечень включаются также документы, не содержащие защищаемую информацию, но представляющие ценность для фирмы и подлежащие охране. Часто обычный открытый правовой акт важно сохранить в целостности и безопасности от похитителя или стихийного бедствия. Перечни формируются индивидуально каждой фирмой в соответствии с рекомендациями специальной комиссии и утверждаются первым руководителем фирмы. Эта же комиссия регулярно вносит текущие изменения в перечни в соответствии с динамикой выполнения фирмой конкретных работ.

В перечне должно быть положение о том, что сохранение коммерческой тайны партнеров является неотъемлемой частью деятельности фирмы. Открытая публикация сведений, полученных на договорной или доверительной основе или являющихся результатом совместной производственной деятельности, допускается лишь с общего согласия партнеров. При заключении любого договора (контракта) стороны должны брать на себя взаимные письменные обязательства по защите конфиденциальной информации другой стороны и документов, полученных при переговорах, и исполнению условий договора.

Следовательно, в целях определения состава защищаемых сведений и документов каждая фирма должна составлять и регулярно обновлять соответствующие перечни, без которых система защиты информации фирмы не может функционировать. Важно, что эти перечни носят индивидуальный характер для каждой фирмы и отражают реальную информационную сферу направлений ее деятельности, требования собственника информации по ограничению доступа персонала к информации, составляющей интеллектуальную собственность фирмы.

Формирование перечня конфиденциальных сведений

Для формирования перечня сведений, подлежащих защите, целесообразно создать группу из следующих специалистов: занимающихся финансовыми вопросами, конъюнктурой рынка и сведениями о конкурентах, занимающихся связями с другими организациями, ведущими разработку новых видов товаров, обладающих высокой конкурентоспособностью, юриста и др. Можно привлечь к этой работе сторонних экспертов, но не следует им раскрывать все конкретные сведения, составляющую предпринимательскую тайну.

В зависимости от вида осуществляемой деятельности, сферы предпринимательства, поставленной цели перечень сведений может изменяться. Так, должны иметь защиту сведения: технологического характера - конструкторская документация, чертежи, схемы; описания технологических испытаний; точные данные конструкционных характеристик создаваемой продукции и характеры разрабатываемых технологических процессов; сведения о материалах, из которых изготовлены отдельные детали; описания новых технологических процессов; используемые новые приборы, станки, оборудование; рецептура создаваемых продуктов и др.; научно-технического характера - идеи, открытия, изобретения; ноу-хау; патенты; промышленные образцы; отдельные формулы; новые методы организации производства и труда; тематика важнейших научных исследований; результаты научных исследований; программное обеспечение ЭВМ и другие научные разработки; делового характера - сведения о заключенных договорах (контрактах); о подготовленных к заключению договорах; данные о поставщиках ресурсов и клиентах (потребителях); обзоры рынка, материалы маркетинговых исследований; информация о конфиденциальных переговорах; калькуляция себестоимости товаров, структуры и размер цен, уровень планируемой прибыли; планы инвестиций; стратегические планы развития фирмы; данные об отдельных категориях персонала фирмы и другие сведения.

По мере изменения характера деятельности фирмы перечень сведений, составляющих предпринимательскую тайну, должен изменяться. Данный перечень должен быть в установленном порядке доведен до сотрудников. При этом необходимо установить меры заинтересованности ответственных исполнителей за сохранение предпринимательской тайны, а также ответственности при ее утечке по вине отдельных работников.

Одной из основополагающих ценностей нашей компании является безопасность и обеспечение конфиденциальности предоставленных Клиентами данных. С целью полного и всестороннего понимания данного документа, просим Вас внимательно с ним ознакомиться.

1. Определения и термины
1.1. Сайт – любой из сайтов нашей компании, на котором размещена информация о предлагаемых Компанией товарах, маркетинговых акциях и иной информации в сети Интернет.

1.2. Клиент – физическое лицо, использующее сайт Компании.

1.3. Персональные данные — информация, относящаяся к определенному Клиенту, указанная в п. 3.1 настоящего Положения.

1.4. Обработка персональных данных – любые операции, совершаемые
с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

1.5. Cookies — фрагменты данных, отправляемых веб-сервером браузеру при посещении сайта Клиентом. Компания автоматически получает некоторые виды информации, получаемой в процессе взаимодействия пользователей с Cайтом. Речь идет о технологиях и сервисах, таких как веб-протоколы, куки, веб-отметки, а также приложения и инструменты указанной третьей стороны. Куки. Куки – это часть данных, автоматически располагающаяся на жестком диске компьютера при каждом посещении веб-сайта. Таким образом, куки – это уникальный идентификатор браузера для веб-сайта. Куки дают возможность хранить информацию на сервере и помогают легче ориентироваться в веб-пространстве, а также позволяют осуществлять анализ сайта и оценку результатов. Большинство веб-браузеров разрешают использование куки, однако можно изменить настройки для отказа от работы с куки или отслеживания пути их рассылки. При этом некоторые ресурсы могут работать некорректно, если работа куки в браузере будет запрещена.

2. Цели и принципы политики конфиденциальности и сбора персональных данных
2.1. Политика конфиденциальности действует в отношении любой указанной в разделе 3 информации, которую Компания может получить о Клиенте во время использования сайта, программ и продуктов сайта.

2.2. Клиент предоставляет свои персональные данные с целью:

— создания учетной записи,

— предоставления технической поддержки, связанной с использованием сайта,

— оформления заказов, уведомления о состоянии заказов, обработки и получения платежей;

— получения новостей, информации о продуктах, мероприятиях, рекламных акциях или услугах;

— использования иных имеющихся на сайте сервисов, включая форум, персональные блоги, сервис обмена личными сообщениями между зарегистрированными участниками, персонализированные комментарии и отзывы, но не ограничиваясь ими.

Предоставленные данные могут быть использованы в целях продвижения товаров от имени Компании или от имени партнеров Компании.

2.3. Обеспечение надежности хранения информации и прозрачности целей сбора персональных данных. Персональные данные Клиентов собираются, хранятся, обрабатываются, используются, передаются и удаляются (уничтожаются) в соответствии с законодательством РФ, в т.ч. Федеральным законом 27.07.2006 № 152-ФЗ «О персональных данных», и настоящей Политикой конфиденциальности.

3. Информация, подлежащая обработке
3.1. Персональные данные, разрешённые к обработке в рамках настоящей Политики конфиденциальности, предоставляются Клиентом путём заполнения регистрационной формы на сайте Компании и включают в себя следующую информацию:

3.1.1. ФИО Клиента;

3.1.2. контактный телефон Клиента;

3.1.3. адрес электронной почты (e-mail)

3.1.4. адрес доставки Товара;

3.1.5. историю заказов.

3.2. Компания также получает данные, которые автоматически передаются в процессе просмотра при посещении сайта, в т. ч.:

3.2.1. IP адрес;

3.2.2. информация из cookies;

3.2.3. информация о браузере (или иной программе, которая осуществляет доступ к показу рекламы)

3.2.4. время доступа;

3.2.5. реферер (адрес предыдущей страницы).

3.2.5. иная информация, предоставленная клиентом.

4. Обработка и использование персональных данных
4.1. Обработка персональных данных Клиента осуществляется без ограничения срока, любым законным способом, в том числе в информационных системах персональных данных с использованием средств автоматизации или без использования таких средств.

4.2. Соглашаясь с настоящей Политикой конфиденциальности Клиент предоставляет Компании свое бессрочное согласие на обработку указанных в разделе 3 персональных данных всеми указанными в настоящей Политике способами, а также передачу указанных данных партнерам Компании для целей исполнения принятых на себя обязательств.

4.3. Компания не вправе передавать информацию о Клиенте неаффилированным лицам или лицам, не связанным с Компанией договорными отношениями.

4.4. Передача информации аффилированным лицам и лицам, которые связаны с Компанией договорными отношениями (курьерские службы, организации почтовой связи и т.д.), осуществляется для исполнения заказа Клиента, а также для возможности информирования Клиента о проводимых акциях, предоставляемых услугах, проводимых мероприятиях.

4.5. Аффилированные лица и лица, связанные с Компанией договорными отношениями, принимают на себя обязательства обеспечивать конфиденциальность информации и гарантировать ее защиту, а также обязуются использовать полученную информацию исключительно для целей исполнения указанных действий или оказания услуг.

4.6. Компания принимает все необходимые меры для защиты персональных данных Клиента от неавторизированного доступа, изменения, раскрытия или уничтожения.

5. Права и обязанности Клиента
5.1. Клиент обязуется не сообщать каким-либо третьим лицам логин и пароль, используемые им для идентификации на сайте Компании.

5.2. Клиент обязуется соблюдать должную осмотрительность при хранении пароля, а также при его вводе.

5.3. Клиент вправе изменять свои личные данные, а также требовать удаление личных данных у Компании.

6. Дополнительные условия
6.1. Соглашаясь с настоящей Политикой конфиденциальности, Клиент предоставляет свое бессрочное согласие на получение информации о состоянии заказов, учетной записи и прочих уведомлений технического характера, а также уведомлений рекламного характера, в том числе о текущих маркетинговых акциях и актуальных предложениях Компании, с помощью различных средств, включая SMS и электронную почту, но не ограничиваясь ими. Клиент может в любое время отказаться от получения такой информации путем изменения данных учетной записи на сайте Компании.

6.2. Компания несет ответственность перед клиентом в случаях, предусмотренных действующим законодательством.

6.3. Компания освобождается от ответственности в случаях, когда информация о Клиенте:
— стала публичным достоянием до её утраты или разглашения.
— была получена от третьей стороны до момента её получения Компанией.
— была разглашена с согласия Клиента.

6.4. Компания вправе вносить изменения в политику конфиденциальности в одностороннем порядке. Изменения вступают в силу с момента их опубликования на сайте Компании.

Вконтакте