Что включает в себя понятие конфиденциальности?

Для любой компании утечка конфиденциальной информации — это не только штрафы и суды, но и потеря репутации, клиентов, а в некоторых случаях — всего бизнеса. Как защитить коммерческую тайну, персональные данные и другие сведения, чтобы работать спокойно и не переживать, что однажды получите претензию или документы из суда? Рассмотрим ключевые моменты, касающиеся работы с конфиденциальными данными.

Что такое конфиденциальность информации

Под конфиденциальностью информации подразумевается обязанность оператора не разглашать полученные им сведения без согласия ее обладателя (ст. 2 ФЗ №152-ФЗ). Проще говоря, такие данные охраняются законом и представляют собой различные виды тайн. Также нужно учитывать ст. 23 Конституции РФ, которая гарантирует каждому гражданину право на неприкосновенность частной жизни, личную и семейную тайну, что распространяется и на защиту конфиденциальной информации организаций.

Что относится к конфиденциальным данным (Указ Президента РФ от 06.03.1997 №188):

1. Коммерческая тайна. Это особый режим защиты информации, дающей компании преимущество перед конкурентами. К ней относятся секретные технологии, ноу-хау и другие ценные сведения, которые известны только ограниченному кругу лиц. По ФЗ № 98-ФЗ такая информация охраняется от разглашения и несанкционированного использования. Например, уникальная методика производства, позволяющая выпускать продукцию с особыми свойствами — это типичная коммерческая тайна.
2. Служебная тайна. Это особо ценные сведения, доступ к которым ограничивают госорганы в соответствии с законодательством. Порядок работы с такой информацией регулируется Постановлением Правительства №1233, устанавливающим правила обращения с данными ограниченного распространения. Доступ к ним ограничивается в интересах государства.
3. Персональные данные (ПДн). К ним относятся ФИО, адрес, номер телефона, место работы и другие сведения, по которым можно идентифицировать человека. Компания может обрабатывать их только с согласия владельца — субъекта ПДн, но есть исключения, предусмотренные ст. 6 ФЗ №152, когда согласие не требуется.
4. Судебная тайна. Это защищенная законом конфиденциальная информация в судопроизводстве. Например, судьи должны принимать решения в совещательной комнате без постороннего вмешательства. Хотя судебные заседания обычно открытые, дела о несовершеннолетних и другие особые категории рассматриваются закрыто. Нарушение судебной тайны влечет ответственность.
5. Тайна уголовного процесса. Ст. 161 УПК РФ строго запрещает разглашение данных предварительного следствия. Все участники процесса предупреждаются об этом под расписку. В исключительных случаях следователь может разрешить огласку некоторых сведений, если это не вредит расследованию и не нарушает права участников. Особо охраняются данные о частной жизни фигурантов дела и информация о несовершеннолетних до 14 лет.
6. Профессиональная тайна. Такое понятие существует во многих сферах: медицине, адвокатуре, нотариате, психологии. Каждая профессия имеет свои правовые нормы о конфиденциальности. Например, согласно ст. 8 ФЗ № 63-ФЗ, адвокат не вправе разглашать сведения, полученные от доверителя, и не может быть допрошен по ним.

Правила работы с конфиденциальной информацией

Оператор, которому стали известны конфиденциальные сведения, должен руководствоваться не только ФЗ №152-ФЗ, но и ФЗ от 27.07.2006 №149-ФЗ.

Что входит в обязанности оператора:

• предотвращение утечки данных;
• разработка Политики конфиденциальности и других документов;
• контроль доступа к информации;
• обеспечение правомерного доступа к ограниченным сведениям.
• выявление попыток несанкционированного доступа;
• минимизация последствий утечек;
• контроль уровня защиты;
• восстановление утраченных данных;
• хранение ПДн на серверах, расположенных в РФ.

Защита конфиденциальной информации

Для обеспечения конфиденциальности данных оператор обязан предпринять необходимые меры:

1. Организационные: разработать регламенты, инструкции, Политику обработки ПДн. Также нужно разделить доступ, подписать соглашения о неразглашении с сотрудниками (например, для охраны коммерческой тайны). Рекомендуется регулярно обучать персонал основам кибербезопасности, противодействию фишинговым атакам. При увольнении работника — отзывать все доступы.
2. Технические: шифрование данных, защита периметра, установка антивирусного ПО, системы DLP, двухфакторная аутентификация, резервное копирование.

Также оператор может снизить риски, если будет регулярно проводить аудит безопасности, проверит внутренние документы на соответствие требованиям законодательства. Учтите, что политика конфиденциальности и политика обработки персональных данных — это два разных документа. Если политика конфиденциальности объясняет пользователям, как компания собирает, использует и защищает их личную информацию, то обработка персональных данных включает весь цикл работы с ними — от сбора и хранения до изменения и удаления.

Проведем бесплатный аудит вашей организации или ИП на предмет соблюдения новых требований закона «О персональных данных»

Сделаем заключение на соблюдение требований Роскомнадзора

Запишитесь на бесплатный аудит

Заполните форму и мы свяжемся с вами

Нажимая кнопку "Отправить", я соглашаюсь на обработку моих персональных данных в соотв. с ФЗ от 27.07.2006 №152-ФЗ на условиях и для целей, определенных Согласием на обработку персональных данных

Нажимая кнопку "Отправить", я соглашаюсь на получение рассылки в соотв. с ФЗ от 13.03.2006 №38-ФЗ на условиях и для целей, определенных Политикой конфиденциальности

Отправить

Ответственность за разглашение конфиденциальной информации

Оператора могут привлечь к разным видам ответственности за нарушения:

1. Гражданско-правовая – компенсация морального вреда и убытков, причиненных незаконным распространением информации с ограниченным доступом.
2. Административная — наступает за правонарушения, предусмотренные КоАП РФ (например, незаконное распространение конфиденциальных данных).
3. Уголовная — незаконное собирание или распространение сведений, представляющих личную или семейную тайну человека (ст. 137 УК РФ).

Если секретные сведения разгласил конкретный сотрудник организации, работодатель вправе привлечь его к дисциплинарной ответственности и сделать замечание или выговор, в крайнем случае — уволить (ст. 192 ТК РФ).

Что в итоге

Конфиденциальная информация требует комплексной защиты: от разработки внутренних регламентов до технических мер шифрования и контроля доступа. Нарушение режима конфиденциальности влечет гражданскую, административную и даже уголовную ответственность. Чтобы минимизировать риски, компаниям необходимо строго соблюдать законодательство и предпринять все меры защиты.