Отличие коммерческой тайны от конфиденциальной информации

Персональная информация Пользователей, которую обрабатывает Компания

1.1. Сайт собирает, получает доступ и использует в определенных Политикой целях персональные данные Пользователей, техническую и иную информацию, связанную с Пользователями.

1.2. Техническая информация не является персональными данными. Компания использует файлы cookies, которые позволяют идентифицировать Пользователя. Файлы cookies — это текстовые файлы, доступные Компании, для обработки информации об активности Пользователя, включая информацию о том, какие страницы посещал Пользователь и о времени, которое Пользователь провел на странице. Пользователь может отключить возможность использования файлов cookies в настройках браузера.

1.3. Также под технической информацией понимается информация, которая автоматически передается Компании в процессе использования Сайта с помощью установленного на устройстве Пользователя программного обеспечения.

1.4. Под персональными данными Пользователя понимается информация, которую Пользователь предоставляет Компании при регистрации на Сайте, при оставлении комментария к статье, при заполнении формы обратной связи и последующем использовании Сайта. Обязательная для предоставления Компании информация помечена специальным образом. Иная информация предоставляется Пользователем на его усмотрение.

1.5. В перечень персональных данных, обрабатываемых администрацией сайта, могут входить: имя, адрес электронной почты, изображение человека, ip-адрес, ссылки на учетные записи в соцсетях. Пользователь может использовать учетные записи и пароли сторонних сервисов (например, Vkontakte, Odnoklassniki, Facebook, Twitter) для получения доступа к Сайту. Эти данные также будут являться персональными.

1.6. Компания также может обрабатывать данные, сделанные общедоступными субъектом персональных данных или подлежащие опубликованию или обязательному раскрытию в соответствии с законом.

1.7. Компания не проверяет достоверность персональной информации, предоставляемой Пользователем, и не имеет возможности оценивать его дееспособность. Однако Компания исходит из того, что Пользователь предоставляет достоверную и достаточную персональную информацию о себе и поддерживает эту информацию в актуальном состоянии.

Конфиденциальность данных и свобода личности

Чтобы ярче представить себе, к чему может привести нарушение секретности приватной жизни человека, перечитаем книгу Дж. Оруэлла «1984».Самыми крылатыми словами из этой антиутопии стала фраза-предостережение: «Старший Брат следит за тобой!».

Она лучше всего передает состояние общества, где тотальная слежка всех за всеми стала нормой жизни. Людей убедили в том, что секретность – это зло, что человеку нечего скрывать, если он не делает ничего дурного.

Даже телевизор в мире Оруэлла приобрел функцию видеокамеры, которая призвана следить за своим хозяином и которую нельзя отключать ни на минуту. Безобидный бытовой прибор в мире тоталитаризма из источника информации превратился в ее поглотителя, монстра-доносчика.

Да, Оруэлл довел до абсурдного завершения идею пренебрежения приватной жизнью человека. Но если кто-то думает, что все описанное им не более чем фантастика, то ошибается.

Несколько лет назад в прессе поднялась шумиха из-за одного из последних ноу-хау – Smart-TV. Особенность таких телевизоров в том, что они «слышат» и «понимают» человеческий голос. Владелец «умного» девайса может управлять им без пульта – просто давая ему голосовые команды.

Однако никто не может быть уверенным в том, что «интеллектуальный» телеприемник не передает все, что говорят при нем, третьей стороне. Эту проблему и обсуждали сразу десяток изданий.

Их авторы настаивали на том, что конфиденциальность данных — это важнейшее условие свободы каждого из нас. И сегодня приватность информации остро нуждается в комплексе мер по регулированию и охране.

Как сделать информацию коммерческой тайной?

Чтобы ввести в отношении информации режим КТ, предприятие обязано принять целый комплекс мер, а именно (ч. 1 ст.10 ФЗ № 98):

  1. Утвердить список сведений, составляющих коммерческую тайну.
  2. Утвердить положение о КТ, определить порядок работы со сведениями, на которые распространяется режим КТ.
  3. Определить круг работников, допущенных к работе с КТ.
  4. Внести в трудовые договоры с сотрудниками и их должностные инструкции обязательства о неразглашении КТ.
  5. Папки и диски, в которых может находиться КТ, обозначить грифом «Коммерческая тайна».

После введение защитного режима, руководству также предстоит (ч. 1 ст. 11 ФЗ № 98):

  1. Под роспись ознакомить работников с положением о конфиденциальной информации, которая признается коммерческой тайной.
  2. Под роспись ознакомить их с правилами работы с КТ и ответственностью за нарушение.
  3. Обеспечить условия, в которых сотрудники смогут соблюдать режим КТ.

Этот минимум мер, которые должно обеспечить предприятие для введения защитного режима. Если ограничиться лишь отдельными мероприятиями, информация по закону не приобретает режим КТ.

ТАЙНЫ БЫВАЮТ РАЗНЫЕ…

Тайна в широком смысле этого слова – конфиденциальная информация, распространение которой возможно лишь в определенных ситуациях.

Информация – это сведения (сообщения, данные) независимо от формы их представления (п. 1 ст. 2 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»).

Иными словами, информация – это не только документы или файлы с какими-то данными. Информация – это все, что нас окружает: услышанное на переговорах и совещаниях, увиденное в документах на различных носителях – как материальных, так и электронных, написанное собственноручно или напечатанное с помощью технических средств, нарисованное или начерченное в любом виде и пр.

То есть то, что мы видим, слышим, созерцаем, и есть информация, представленная в самых разнообразных формах. Федеральный закон № 149-ФЗ также дает определение конфиденциальности информации, понимая под этим обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя (п. 7 ст. 2).

В зависимости от того, к какой сфере относится информация, требующая соблюдения конфиденциальности, выделяют следующие виды тайн: государственную, коммерческую, налоговую, военную, личную, семейную, телефонных переговоров (почтовых, телеграфных и иных сообщений), служебную, банковскую, страхования, завещания, усыновления (удочерения), следствия, голосования, нотариальную, адвокатскую, врачебную и др.

Поскольку нас интересует соблюдение тайны работниками организации, перечислим виды тайн (с указанием НПА, их регулирующих), которые чаще всего встречаются в организациях:

• государственная тайна (ст. 5 Закона РФ от 21.07.1993 № 5485-1 «О государственной тайне», Перечень сведений, отнесенных к государственной тайне);

• коммерческая тайна (Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне»);

• персональные данные (ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»);

• банковская тайна (ст. 857 Ч. 2 Гражданского кодекса РФ, ст. 26 Федерального закона от 02.12.1990 № 395-1 «О банках и банковской деятельности», ст. 57 Федерального закона от 10.07.2002 № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)»);

• врачебная тайна (ст. 13, 92 Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации», ст. 15 Семейного кодекса РФ от 29.12.1995 № 223-ФЗ, ст. 9 Закона РФ от 02.07.1992 № 3185-1 «О психиатрической помощи и гарантиях прав граждан при ее оказании», ст. 13 Федерального закона РФ от 20.07.2012 № 125-ФЗ «О донорстве крови и ее компонентов», ст. 14 Закона РФ от 22.12.1992 № 4180-1 «О трансплантации органов и (или) тканей человека»);

• тайна страхования (ст. 946 Ч. 2 ГК РФ, ст. 47 Федерального закона от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации», ст. 18.2 Федерального закона от 24.07.1998 № 125-ФЗ «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний»);

• тайна связи (ст. 23 Конституции Российской Федерации, ст. 53, 63 Федерального закона от 07.07.2003 № 126-ФЗ «О связи», ст. 15 Федерального закона от 17.07.1999 № 176-ФЗ «О почтовой связи»);

• информация о содержании корпоративного договора, заключенного участниками непубличного общества (ст. 67.2 Ч. 1 ГК РФ);

• информация о новых решениях и технических знаниях, если она получена сторонами по договору подряда (ст. 727 Ч. 2 Гражданского кодекса РФ);

• сведения, касающиеся предмета договоров на выполнение научно-исследовательских работ, опытно-конструкторских и технологических работ, хода их исполнения и полученных результатов, если иное не предусмотрено договорами (ст. 771 Ч. 2 ГК РФ);

• секрет производства (ноу-хау) (ст. 1465 Ч. 4 ГК РФ).

В ред. от 01.07.2017.

В ред. от 07.02.2017.

В ред. от 25.11.2017 (далее – Федеральный закон № 149-ФЗ).

Если у отдельных сотрудников организации есть доступ к сведениям, составляющим государственную тайну.

В ред. от 08.03.2015.

Утвержден Указом Президента РФ от 30.11.1995 № 1203.

В ред. от 12.03.2014 (далее – Закон о коммерческой тайне).

В ред. от 29.07.2017 (далее – Закон о персональных данных).

Касается кредитных организаций.

В ред. от 26.07.2017.

В ред. от 18.07.2017.

Касается медицинских организаций.

В ред. от 29.07.2017.

В ред. от 14.11.2017.

В ред. от 03.07.2016.

В ред. от 23.05.2016, с изм. от 19.12.2016.

В ред. от 23.05.2016.

Касается страховых организаций.

В ред. от 28.12.2016.

В ред. от 29.07.2017.

В ред. от 07.06.2017.

В ред. от 06.07.2016.

Что не может быть конфиденциальной информацией

Рамки политики конфиденциальности не распространяются на следующие виды информации:

  • информация, указанная в учредительных документах;
  • данные свидетельства о регистрации предприятия;
  • сведения об имуществе организации;
  • информация о соблюдении правил безопасности и норм экологической ответственности;
  • о кадровом составе, а также системе вознаграждения за проделанную работу;
  • факты установленного нарушения норм закона;
  • сведения о проведении конкурсов, тендеров и прочих мероприятий, в которых решается судьба объектов государственной собственности;
  • финансовая отчетность некоммерческих организаций.

Экономическая ценность данных

Согласно Алессандро Аккисти, Кертису Тейлору и Лиаду Вагману в книге «Экономика конфиденциальности» (2015), индивидуальные данные можно рассматривать как имеющие два типа ценности: коммерческую ценность и частную ценность. Сбор данных может иметь как положительные, так и отрицательные последствия, а также может привести к нарушению конфиденциальности и денежным затратам. Согласно Аккисти, Тейлору и Вагману, есть все новые и новые опасения по поводу прогресса сбора данных, поскольку анализ данных становится все более эффективным.

Вводятся в действие такие правила, как Директива ЕС о защите данных, Закон США о защите конфиденциальности детей в Интернете и многие другие; тем не менее, ИТ-отрасль постоянно развивается и требует, чтобы пользователи были наделены полномочиями и сосредоточились на самостоятельном управлении конфиденциальностью в Интернете

Таким образом, для законодателей очень важно продолжать уделять внимание правильному балансу между использованием Интернета и экономикой конфиденциальности

# Какова ответственность в случае нарушения требований по защите ПДн?

Вопрос ответственности за невыполнение требований законодательства по защите ПДн является часто задаваемым. Кто-то, отмахиваясь, полностью игнорирует законодательство о ПДн, считая его формальностью, кто-то, наоборот, приводит весомый список наказаний и боится наступления часа «Икс». Какова же реальность?

Ответственность, за нарушение требований по защите ПДн

Статья 24 закона № 152-ФЗ «О персональных данных» определяет вид ответственности за нарушение требований ФЗ, которая заключается в том, что лица, виновные в нарушении требований закона, несут

  • гражданскую ответственность;
  • уголовную ответственность;
  • административную ответственность;
  • дисциплинарную и иную ответственность, предусмотренную законодательством РФ.

Неисполнение требований закона «О персональных данных» приводит организации к следующим рискам:

  • гражданские иски со стороны клиентов или работников;
  • приостановление или прекращение обработки ПДн в организации;
  • привлечение организации и/или ее руководства к административной, уголовной, гражданской, дисциплинарной и иным видам ответственности;
  • приостановление действия или аннулирование лицензий на основной вид деятельности организации;
  • репутационные риски;
  • риски недобросовестной конкуренции.

Согласно изменениям в Кодекс РФ об административных правонарушениях, внесённых Законопроектом № 683952-6, принятым в настоящее время в первом чтении, в статью 13.11 вводятся нормы, которые позволят привлечь оператора ПДн в ходе проверки сразу по нескольким составам административного правонарушения с размером штрафа до 30–50 тысяч рублей по каждому факту нарушения.

Обработка специальных категорий ПДн (в том числе данных о состоянии здоровья) в случаях, не предусмотренных законодательством Российской Федерации о персональных данных, влечёт административную ответственность в размере до 300 тысяч рублей.

Служебная и профессиональная тайна

У информации, важной для определенной компании, нет собственного закона, который бы ее охранял, в отличие от данных государственных органов, правоохранительной и банковской системы. Однако это вовсе не означает, что ее никоим образом нельзя сохранить

К примеру, доступ к определенной информации может быть открыт исключительно для государственных служащих по причине исполнения ими своих должностных обязанностей. Подобные данные охраняются законом, поэтому в этом случае заключать с работником отдельный договор о неразглашении конфиденциальной информации нет необходимости. В данную категорию закрытой служебной информации входят военные тайны, данные о ходе расследований, усыновление.

Что касается профессиональной секретной информации частных компаний, их лучше всего сможет защитить специальный договор, который можно заключить с каждым сотрудником, принимаемым на работу. В данном случае речь может идти, к примеру, о неразглашении персональных данных каждого работника компании. Эта информация хранится в отделе кадров и не должна выходить за его пределы без разрешения вышестоящего руководства.

Законодательное регулирование

С развитием информационных технологий проблема конфиденциальности и конфиденциальной информации приобретает большую значимость. И в различных областях и различных странах конфиденциальность и информация относящаяся к конфиденциальной определяется по-разному.

В странах Европейского союза конфиденциальность информации регулируется с помощью ряда соглашений и директив, таких как директива ЕС 95/46/ЕС, 2002/58/ЕС и ETS 108, ETS 181, ETS 185, ETS 189.

Так, конвенция «О преступности в сфере компьютерной информации» (ETS N 185) направлена на сдерживание, в том числе, действий направленных против конфиденциальности компьютерных данных и компьютерных сетей, систем. Согласно данной конвенции для противодействия преступлениям против конфиденциальности доступности и целостности компьютерных данных и систем каждая сторона принимает законодательные и иные меры, необходимые для того, чтобы квалифицировать в качестве уголовного преступления согласно её внутригосударственному праву:

  • Противозаконный доступ
  • Неправомерный перехват
  • Воздействие на данные
  • Воздействие на функционирование системы
  • Противозаконное использование устройств.

Согласно конвенции «О защите физических лиц при автоматизированной обработке персональных данных» (ETS N 108) стороны должны соблюдать секретность или конфиденциальность при обработке персональных данных, а также в отношении информации сопровождающей ходатайство о помощи.

Директива «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных» (N 95/46/ЕС) затрагивает вопрос конфиденциальности в своей области. Согласно данной директиве, «оператор» — физическое или юридическое лицо, государственный орган, агентство или любой другой орган, который самостоятельно или совместно с другими определяет цели и способы обработки персональных данных; когда цели и способы обработки определены законодательством или подзаконными актами на национальном уровне или уровне Сообщества, оператор или конкретные критерии его назначения могут быть установлены национальным законодательством или законодательством Сообщества. А «обработчик» — это физическое или юридическое лицо, государственный орган, агентство или любой другой орган, который обрабатывает персональные данные от имени оператора. Для обеспечения конфиденциальности, любое лицо, действующее под руководством оператора или обработчика, включая самого обработчика, которое имеет доступ к персональным данным, не может их обрабатывать, кроме как по поручению оператора, если оно не обязано это делать по закону.

Согласно дополнению к директиве N 95/46/EC, директива 2002/58/ЕС, конфиденциальность относительно обработки персональных данных и защите частной жизни в электронном коммуникационном секторе заключается в запрете просмотра, записи или хранения, а также других способах вмешательства или наблюдения за сообщениями и относящего к ним данным по трафику, осуществляемые лицами или другими пользователями без согласия самого пользователя.

В англо-американской традиции различают два основных вида конфиденциальности: добровольную (privacy) и принудительную (secrecy). (См. Эдвард Шилз — The Torment of Secrecy: The Background & Consequences Of American Security Policies (Chicago: Dee 1956) В первом случае имеются в виду прерогативы личности, во втором случае имеется в виду информация для служебного пользования, доступная ограниченному кругу официальных лиц фирмы, корпорации, государственного органа, общественной или политической организации. Хотя privacy и secrecy схожи по значению, на практике они обычно противоречат друг другу: усиление secrecy ведёт к нарушению и уменьшению privacy. В тоталитарных и авторитарных государствах под конфиденциальностью, как правило, имеется в виду только secrecy.

Можно ли отказаться подписывать

Отказаться можно, но с последствиями. Если должность, которую занимает сотрудник, предполагает работу с информацией, составляющей коммерческую тайну, не получится отказаться от подписания и сохранить должность. Отказываясь подписывать соглашение, сотрудник делает невозможным исполнение должностных обязанностей и перестает соответствовать занимаемой должности. В этой ситуации работодатель вынужден либо предложить работнику другую должность, не предполагающую работу с коммерческой тайной, либо уволить его. Это прописано в статье 74 Трудового кодекса РФ, поскольку введение коммерческой тайны можно считать изменением организационных условий.

Для чего нужна политика конфиденциальности на сайте

Рассмотрим, для чего нужна политика конфиденциальности на сайте, если её наличие установлено законодательным путём. Если сказать коротко – она нужна для получения разрешения пользователей на обработку их личных данных. Чаще всего, обработку персональных данных используют владельцы интерне-магазинов. После поступления заказа необходимо уточнить детали и передать информацию о человеке для исполнения обязательств, а для этого нужны его контакты.

Персональные данные бывают двух видов: личные и обезличенные. К первым относятся все данные, необходимые для идентификации человека. Это могут быть имя, фамилия, адрес и так далее. Ко вторым, чаще всего, относят cookie-файлы, собираемые аналитическими сервисами. В большинстве случаев вёрстка сайта предусматривает ссылку на политику конфиденциальности и в формах сбора, и в подвале ресурса.

За отсутствие документа, предусмотрены штрафные санкции для владельца сайта. В согласие с частью 3 статьи 13.11 КоАП РФ сумма для физических лиц будет составлять 700-1500 рублей. Для юридических лиц штрафы крупнее: 5000-10000 для ИП и 15000-30000 рублей для ООО

Поэтому, при создании сайта и его продвижение в сети не стоит забывать про составление этого важного документа

Лицензия ТЗКИ, выдаваемая ФСТЭК

Обратите внимание, что деятельность по технической защите конфиденциальной информации подлежит лицензированию. Наиболее востребованной для типовой организации, осуществляющей деятельность по защите конфиденциальной информации, является наличие лицензии ТЗКИ, выдаваемой ФСТЭК РФ

Согласно Постановлению Правительства Российской Федерации от 15 августа 2006 г. № 504:

ТЗКИ (Техническая защита конфиденциальной информации) — это комплекс мероприятий и/или услуг по защите информации от несанкционированного доступа, включая технические каналы, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа.

Свойства документированной информации

Документированная информация — это данные, которые существуют в определенных объективных условиях и обладают рядом признаков.

К ее свойствам относятся:

  • фиксированный характером, то есть обладание своим источником, моментом документирования и обязательностью к хранению;
  • релевантность — способность отвечать требованием потенциального потребителя, соответствовать запросам;
  • ценность — соответствие данных целевому назначению;
  • полнота — оптимальное соотношение между полученной и необходимой информацией;
  • полезность — степень ее необходимости;
  • достоверность — отображает уровень объективности информации;
  • новизна — актуальность, поскольку документированные материалы — это разъяснение сведений, которые могут устаревать или перестать действовать;
  • своевременность;
  • доступность — возможность потребителя свободно получить данные;
  • защищенность — отсутствие возможности несанкционированного доступа;
  • эргономичность — оптимальное соотношение объема и формы данных для конкретного потребителя;
  • адекватность — соответствие информации действительности, готовность отображать реальные объективные условия.

Гарантии общедоступности информации

Руководителям организаций стоит помнить, что закон определяет некоторые виды информации, к которым должен быть обеспечен доступ широкой общественности. В эту категорию входят:

  • законодательство и нормативы, которые содержат гарантии гражданских прав и свобод. Запрещено ограничивать сокрытие от граждан сведений об их законных правах. В открытом доступе должны храниться и сведения об обязанностях граждан;
  • правовая база формирования и функционирования различных органов власти. Сведения о полномочиях силовых и прочих структур власти;
  • сведения о решениях органов власти, отдельных руководителей госструктур и коллективных выборных органов самоуправления, за исключением особых случаев, предусмотренных соответствующим законодательством;
  • сведения о состоянии бюджетов разных уровней, о трате бюджетных средств и об изменениях, вносимых после их утверждения. Исключение составляют данные, которые подпадают под определение «государственная (служебная) тайна»;
  • фонды библиотек и архивных служб с открытой информацией, экспозиции государственных музеев;
  • данные в системах информирования, которые создают органы власти для донесения своих решений до общества;
  • данные проверок экологического благополучия и мониторинга состояния окружающей среды;
  • прочие сведения, закрытие доступа к которым запрещено. Например, благотворительные обязаны публиковать ряд данных о своей структуре и деятельности.

# Нужны ли лицензии оператору, например, на деятельность по технической защите конфиденциальной информации?

Здесь, пожалуй, можно дать односложный ответ: нет. Дело в том, что лицензии могут понадобиться подрядчику Оператора в случае, если сам оператор приглашает подрядчика оказать услуги по разработке проектов организационно-распорядительных документов и необходимых организационно-технических мер.

В этом случае подрядчику понадобится как минимум лицензия на деятельность по технической защите конфиденциальной информации, выдаваемая ФСТЭК России, а также может понадобиться лицензия ФСБ России на деятельность, связанную с применением в ИСПДн шифровальных/криптографических средств.

Вывод

Ни для клиента, ни для хостинг-провайдера озвученные лицензии не нужны, они необходимы исключительно подрядчику, реализующему внедрение мер по защите информации.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector