что такое гриф конфиденциальности
Положение о конфиденциальности
Общие сведения
Главное положение описывает единый подход к конфиденциальности и является главным руководящим звеном, который обязателен для исполнения всех сотрудников:
Нормативные документы
Термины
Режим конфиденциальности — организационные, правовые и технические меры, принимаемые предприятием.
Конфиденциальные данные — данные о предметах, лицах, фактах, процессах независимо от формы, составляющие коммерческую тайну, которые охраняемые законодательством страны, и нормативными актами и документами предприятия.
Передача конфиденциальной информации — обладатель в документированном виде доводит до сотрудников конфиденциальную информацию, в установленном порядке законов. Конфиденциальный документ — зафиксированная на материальном носителе конфиденциальная информация с реквизитами, которая разрешает ее идентифицировать.
Ограничительные отметки: отметки которые ограничивают доступ к данным.
Схема отнесения информации к категории конфиденциальной
Конфиденциальная информация предприятия может состоять из:
К конфиденциальной информации можно относить:
Информация действительно имеет ценность, если она:
К категории конфиденциальной информации НЕЛЬЗЯ отнести следующую информацию:
Уровень конфиденциальности данных должен соответствовать тяжести ущерба, которые может быть нанесен предприятию или его сотрудниками. Под ущербом понимают расходы, которые потратит на : восстановление нарушенного права, утраты, повреждение, не полученные доходы.
Схема доступа к документам и конфиденциальной информации
Допуск сотрудников предприятия к конфиденциальным данным реализуется с помощью приказа главного директора по безопасности предприятия. Допуск сотрудников к конфиденциальной информации возможен только после подписания трудового договора.
Права лиц, допущенных к конфиденциальной информации
Сотрудники, которые допущенные к конфиденциальной информации, должны:
Сотрудниками, допущенных к конфиденциальной информации ЗАПРЕЩАЕТСЯ:
Алгоритм обращения с конфиденциальной информацией
Режим конфиденциальности при работе в информационной системе определяется Положением о порядке и организации работ по защите конфиденциальной информации. При размещении конфиденциальной информации на переносном носителе, гриф конфиденциальности указывается на бумажной этикетке. Отпечатанные и подписанные документы передаются для регистрации. Черновики уничтожаются. Каждая копия конфиденциального документа имеет такую же значимость как и оригинал. Копия также регистрируется, имеет свой номер в общем списке.
Должна быть реализована сохранность конфиденциальной информации. Она должен быть размещена в специальных помещениях ограниченного доступа.
Алгоритм транспортировки конфиденциальной информации другим предприятиям
Передача контрагентам конфиденциальной информации возможно при подписании ими «Соглашение о конфиденциальности». Если же агенту не хватает какой-то информации, он обращается к ген. директору безопасности предприятия.
Контроль поддержания режима конфиденциальности
Контроль реализации режима конфиденциальности на предприятии создан для изучения и оценки состояния защищенности конфиденциальных данных, выявление недостатков и выявление нарушений режима. Контроль реализации режима поддерживает заместитель ген. директора безопасности предприятия.
Проверка исполнения режима проводит комиссия (отдельные люди) назначаемые ген. директором предприятия. Комиссия имеет право подключать сторонних специалистов по согласованию с директором. Проверяющие имеют право знакомится со всеми документами, проводить консультации. Подразделение, в котором проводилась проверка, реализует план по устранению выявленных недостатков. План согласовывается с зам. ген. директора по безопасности предприятия.
Проведения служебного расследования по фактам разглашения конфиденциальной информации
Для проведения служебного расследования, не позднее, чем следующий день после факта обнаружения факта утечки приказом ген. директора создается комиссия не менее 3 человек. Члены комиссия имеют право:
Служебное расследование должно проводится максимально в короткие сроки.
Ответственность за нарушение коммерческой тайны
И что это вообще за тайна
Секреты могут быть не только у государства или обычных людей, но и у хозяйствующих субъектов — фирм.
При этом фирма сама решает, какую информацию она хочет скрыть: рецепты, технологии или график работы охраны. Это законно, главное — все правильно сделать по документам. Но бывает, что информация вроде бы относится к коммерческой тайне, а сотрудника, который нарушил этот режим, наказать не могут, потому что все неправильно оформили.
Расскажу, что можно отнести к коммерческой тайне и как сделать все правильно.
Что такое коммерческая тайна
Коммерческой тайной можно признать любую информацию, которая соответствует следующим условиям:
Какую именно информацию отнести к коммерческой тайне, решает ее обладатель. Это могут быть рецепты, технологии или любая другая информация, которая подходит под эти критерии. Но не получится заявить просто так: все, теперь вот эти сведения — коммерческая тайна. Нужно сначала все оформить по закону.
Нормы законодательства. О том, что такое коммерческая тайна, сказано в гражданском кодексе и законе о коммерческой тайне.
Коммерческая тайна — это информация, которая имеет коммерческую ценность именно потому, что неизвестна никому другому. А еще у других лиц нет к ней доступа на законном основании. При этом обязательное условие — владелец такой информации должен каким-то образом скрывать ее от других и принимать меры по ее охране.
А еще это специальный режим конфиденциальности информации, который дает ее обладателю ряд преимуществ. Например, позволяет увеличить доходы и избежать неоправданных расходов. Так, сведения о том, как банк проверяет получателей кредитов и по каким параметрам их оценивает, помогают отсеивать потенциальных мошенников и снижают вероятность неоправданных расходов. Или компания благодаря этому режиму сохраняет положение на рынке товаров, работ, услуг, потому что держит в секрете сведения, как формируются скидки и когда следующая акция.
Что может составлять коммерческую тайну
Засекретить все что угодно нельзя, даже если кажется, что закон это позволяет.
Коммерческая тайна — это такая информация, которая имеет ценность именно потому, что ей не обладают другие лица. А если начнут обладать, она перестанет быть ценностью.
Проще всего объяснить, как это работает, на примере. Допустим, владелец предприятия решил сделать секретом абсолютно все: технологии, время работы, штатный состав и даже количество сотрудников. Но так не получится. Если конкуренты узнают о количестве сотрудников и о том, что фирма работает с 8 до 17 часов, ничего не изменится, да и информацию о штатной численности коммерческой тайной по закону сделать нельзя.
А вот если конкуренты узнают рецепты, технологию или производственные процессы, они получат дополнительные преимущества: например, начнут делать напитки по тому же рецепту. Ценность такой информации снизится.
Еще по закону к коммерческой тайне нельзя отнести, например, информацию об участии компании в исполнительных производствах, сведения о задолженности по налогам и взносам, а также о том, с какими контрагентами она работает. Разглашение такой информации не обесценивает саму информацию — значит, это не коммерческая тайна.
Категории коммерческой тайны
Государственная тайна может иметь разные грифы секретности: «секретно», «совершенно секретно» и «особой важности». С коммерческой тайной так не получится — отдельные ее категории и грифы ограничения доступа законами и нормативными актами не предусмотрены.
Даже если на документе написать «особо важная коммерческая тайна» или «абсолютно секретная коммерческая тайна», ничего не изменится. Ответственность за ее разглашение не станет строже, а порядок обращения останется прежним.
Меры по защите коммерческой тайны
Отличить документ, содержащий коммерческую тайну, очень просто. В правом верхнем углу у него обычно ставится гриф ограничения доступа.
Выглядеть он может так:
Но одного этого недостаточно. Сказать, что теперь эта информация никому не должна передаваться, мало. Надо начать ее реально защищать и принимать меры, чтобы она не стала известна посторонним.
Владелец такой информации должен реально ограничить доступ к ней без своего согласия. А еще нужно обеспечить возможность использования работниками информации, составляющей коммерческую тайну, и передачи ее контрагентам без нарушения режима коммерческой тайны.
Для этого на предприятии нужно установить режим коммерческой тайны. Вот как это делается:
Это минимум из того, что положено по закону. Если пропустить хотя бы один из пунктов, суд потом может решить, что режим коммерческой тайны был установлен неправильно, и привлечь работника к ответственности за разглашение не получится. Исполнение всех этих требований — это не право обладателя коммерческой тайны, а его прямая обязанность.
Регламент работы по определению сведений, составляющих коммерческую тайну. Секреты компании могут меняться. И хранить в секрете информацию, которая и так всем известна, сложно и бессмысленно. А еще это дорого: системы безопасности стоят денег, а людям, которые занимаются охраной коммерческой тайны, приходится платить зарплату.
Поэтому создают регламент работы по определению сведений, составляющих коммерческую тайну. В нем прописывают, какие секреты важны, в каком случае они утрачивают актуальность и кто это определяет.
Дать примерный образец такого регламента невозможно. На некоторых предприятиях его вообще может не быть — руководство может определять такую информацию самостоятельно и прописывать, например, в отдельном приказе. Но для крупных предприятий я рекомендую его составить.
В этом документе нужно ответить на следующие вопросы:
Положение о коммерческой тайне. Это обязательный документ, без которого не получится привлечь сотрудника к ответственности за разглашение и взыскать с него убытки.
Как правило, к такому документу в любой организации относятся очень серьезно. В нем дословно перечисляют нормы статей гражданского кодекса, закона о коммерческой тайне и понятия из этих законов, хотя это не требуется, достаточно ссылки на документ. Не обязательно делать его большим по объему — тут смысл важнее.
Расскажу, как избежать ошибок при составлении такого положения.
Главное — не использовать абстрактные формулировки типа «не разглашать вообще ничего» и «вся информация о фирме относится к коммерческой тайне». Перечень сведений должен быть максимально конкретным.
В положении можно предусмотреть возможность взыскания убытков. Но это не всегда рационально — убытки придется доказывать в суде. Например, разгласил работник рецепт лимонада конкурентам и владелец рецепта пошел в суд. А суд предложил обосновать, почему он считает, что понес убытков на миллион, а не на тысячу рублей. Это может оказаться не так просто. Решение проблемы — прописать в положении не только возмещение убытков, но и возможность взыскания штрафа за сам факт разглашения в судебном порядке.
В целом положение можно составить следующим образом:
Работники должны ознакомиться с положением под подпись и подписать обязательство о неразглашении коммерческой тайны.
Но этого, скорее всего, окажется недостаточно.
Одних юридических бумаг мало. Они нужны, когда информация уже ушла на сторону и нужно готовиться к судебному заседанию. Но лучше такой ситуации не допускать. Это возможно, хотя иногда и затратно.
Главное в защите любых секретов — это люди, техника и процессы. Расскажу, как это работает.
Люди. Главный ресурс любого предприятия — человеческий. Если на предприятии текучка системных администраторов, нужно быть готовым к тому, что эти системные администраторы кочуют вместе со всеми данными предприятия. И проконтролировать это очень сложно. Если главный технолог предприятия получает зарплату в среднем ниже, чем в других местах, надеяться на его порядочность сложно. По моему мнению, стабильные кадры на предприятии — одна из составляющих надежного хранения любых секретов. Хотя гарантий это не дает.
Процессы. Можно составить кучу разных бумаг и запугать работников ответственностью. Но эффект от этого будет нулевой, если бумаги с информацией ограниченного доступа передаются из рук в руки под честное слово, валяются на столах, пока сотрудники курят во дворе, или аккуратно складываются на ночь стопочкой на окне.
Как минимум я рекомендую сделать следующее:
В любом случае порядок движения любого документа с грифом «Коммерческая тайна» должен быть отрегулирован, а порядок передачи — прописан в документах.
Техника. Сложно допустить, что секретные рецепты и технологии хранятся на бумагах, записаны в единственном экземпляре и от руки. Чаще их сохраняют в электронном виде. Для работы это удобно, но и для похитителей информации тоже.
Защитить компьютер можно следующими способами.
Самый бюджетный вариант — заклеить USB-порты и разъемы стикерами.
Такой стикер легко оторвать, но это сразу будет заметно. В этом случае можно проводить проверку, кто и зачем его оторвал.
Кто несет ответственность
Если сотрудники владельца информации, составляющей коммерческую тайну, его контрагенты или должностные лица органов власти и местного самоуправления получили доступ к такой информации, они и несут ответственность.
Работника можно привлечь к ответственности только при следующих условиях:
Органы государственной власти и местного самоуправления, получившие доступ к информации, составляющей коммерческую тайну, тоже отвечают за ее сохранность. Их можно привлечь к гражданско-правовой ответственности за ее разглашение или незаконное использование.
Вот как это работает. Допустим, Роспотребнадзор провел проверку в ресторане и ознакомился с рецептами, которые составляли коммерческую тайну. Если сотрудник Роспотребнадзора после проверки разгласит эти секретные рецепты, его могут привлечь к ответственности.
Меры и виды ответственности за разглашение
Под разглашением коммерческой тайны понимается действие или бездействие, в результате которого секретная информация стала известна посторонним. При этом неважно, как именно она была разглашена. Можно рассказать о ней в беседе, отправить другому человеку письмом — по обычной почте или электронной. А можно скопировать на флешку и отдать ее другому человеку. Любые действия, в результате которых информация стала известна посторонним без согласия ее обладателя, считаются разглашением, и за это придется отвечать.
За разглашение конфиденциальной информации сотрудник несет ответственность. Ее степень зависит от того, есть ли вина человека в этом и какова тяжесть последствий. Расскажу про каждую из них.
Дисциплинарная ответственность. Работодатель имеет право расторгнуть трудовой договор даже в случае однократного разглашения работником коммерческой тайны. Это именно право, а не обязанность, то есть работодатель может применять и более мягкие меры наказания, например объявить выговор, замечание или привлечь к материальной ответственности. Или сочетать все эти меры — на усмотрение руководства.
Просто так уволить тоже не получится. Работодатель должен собрать доказательства нарушения со стороны работника. Если работник обратится в суд, доказывать законность увольнения должен будет сам работодатель.
Уголовная ответственность. Она предусмотрена за собирание сведений, представляющих коммерческую тайну, через похищение документов, подкуп или угрозы и за разглашение сведений, составляющих коммерческую тайну, без согласия владельца. Санкция — штраф до 500 000 рублей или лишение свободы на срок до трех лет. Если разглашение коммерческой тайны привело к крупному ущербу или было совершено из корыстной заинтересованности, наказание будет строже. Штраф может составить до 1 млн рублей, а срок лишения свободы — до пяти лет.
Это не самый распространенный вид ответственности. Тем не менее обвинительные приговоры по этой статье есть — в Тобольске сотрудник компании сотовой связи фотографировал на телефон с экрана компьютера сведения о клиентах и продавал их лицам, которые в ходе следствия так и не были установлены. Вину он признал и попросил рассмотреть дело в особом порядке — в этом случае суд не изучает доказательства, а наказание, как правило, назначается наиболее мягкое из возможных. В результате суд назначил мужчине штраф.
Иногда наказание бывает и строже. Девушка продавала данные о телефонных соединениях. Сотрудники полиции провели контрольную закупку и передали дело в суд. Приговор — год лишения свободы условно.
Гражданско-правовая ответственность. Нарушитель исключительного права на секрет производства обязан возместить убытки, которые он причинил таким нарушением. Ответственности можно избежать. Для этого нарушителю придется доказывать, что он не знал, что использование секрета производства является незаконным.
Взыскать убытки в данном случае можно как с работника, так и с контрагента. Но убытки придется доказывать и подтверждать. А еще придется доказывать, что режим коммерческой тайны был на самом деле установлен, и показывать документы. Это не так просто.
Суды в удовлетворении иска отказали. Они решили, что в материалах дела отсутствуют доказательства того, что общество соблюдало условия по установлению режима коммерческой тайны и охране конфиденциальности информации в отношении клиентской базы. Потеря клиентов — это не следствие использования сведений, составляющих коммерческую тайну общества. И материальный ущерб тоже не был доказан.
Административная ответственность. Ее применяют за разглашение любой информации с ограниченным доступом. Такая ответственность наступает только при условии, если в отношении нарушителя не возбудили уголовное дело. Санкция для обычных граждан — штраф от 500 до 1000 рублей. Для должностных лиц наказание строже — штраф от 4000 до 5000 рублей.
Административная ответственность, как правило, применяется, когда разглашение было, а последствий либо не было совсем, либо они были незначительными. Но в связи с разглашением коммерческой тайны такой вид ответственности применяется крайне редко — хватает других видов ответственности.
Примеры разглашения коммерческой тайны
Разглашение — это не обязательно какие-либо действия: похищение базы данных или конфиденциальных сведений. Разглашением могут признать и бездействие, например непринятие мер безопасности, в результате которого информация стала известна посторонним. И неважно, как это произошло, — источником утечки может стать документ, оставленный на столе, или невыключенный компьютер.
Судебная практика по увольнению за разглашение крайне неоднозначная.
Вот пример из суда. Сотрудник банка рассылал служебную информацию через мессенджер. Служба безопасности об этом узнала, и сотрудника уволили. Он обратился в суд.
В суде он заявил, что мессенджеры защищены шифрованием, а получателем файлов вообще являлась служба безопасности банка. А раз так, то нет и разглашения.
Суд проверил документы. В них было сказано, что пересылать файлы можно только с письменного согласия начальника службы безопасности, а тот такого согласия не давал. Значит, нарушение было. Увольнение признали законным.
Другой пример. Работник пересылал сам себе на личную почту информацию, где была коммерческая тайна. Это стало известно, и работника уволили. Он не согласился и обратился в суд.
Суды решили, что разглашение имело место. Почта, на которую он отправлял эту информацию, действительно была его личной, но пересылка осуществлялась через почтовый сервер « Мэйл-ру ». А значит, информация попадала к третьему лицу.
Мужчина дошел до Конституционного суда РФ, который решил, что в данном случае разглашения не было: сторонняя организация, через сервер которой осуществлялась рассылка, не являлась обладателем самой информации. А значит, решения об увольнении подлежат пересмотру.
Чаще всего встречаются следующие примеры разглашения коммерческой тайны:
Как доказать разглашение коммерческой тайны
Что делать при обнаружении факта разглашения. Все зависит от того, планируете ли вы привлечь виновного к ответственности.
Если планируете привлечь виновного к уголовной ответственности. Тогда следует обратиться с заявлением в правоохранительные органы. В заявлении необходимо указать следующее:
Особенности возбуждения уголовного дела и конкретные следственные действия зависят от того, будет ли выявлен состав преступления по статье 183 УК РФ. Это статья о незаконном получении и разглашении сведений, которые составляют коммерческую, налоговую или банковскую тайну.
Само по себе привлечение к уголовной ответственности по этой статье хотя и встречается не часто, но тем не менее бывает. Эта статья в УК РФ вполне рабочая.
Пример из суда. Две работницы банка имели доступ к информации о счетах клиентов. Они изготовляли кассовые ордера на основе информации, которая стала известна им по работе, а потом снимали деньги со счетов клиентов.
Суд решил, что логин и пароль от банковских систем, которые были известны женщинам, — это коммерческая тайна банка. Женщин предупреждали об ответственности за их незаконное использование. Но тем не менее они использовали эти сведения в личных целях из корыстной заинтересованности. В результате клиентам банка был причинен материальный ущерб.
Суд признал женщин виновными в преступлении по части 3 статьи 183 УК РФ и приговорил одну к двум годам лишения свободы, другую — к трем с половиной годам. Но поскольку женщины признали себя виновными, раскаялись и активно помогали следствию, наказание назначили условно. Одной — с испытательным сроком на три года, другой — на четыре. А еще обязали возместить ущерб.
Шпаргалка делопроизводителя
Ваш персональный гид в мире документов
Страницы
09 августа, 2019
Какие бывают грифы ограничения доступа
Тема сложная и интересная. Я и сама не так давно в ней разобралась. Раньше, например, думала, что гриф «Для служебного пользования» может применяться во всех организациях. Оказалось, нет.
Правила применения грифа ограничения доступа есть и они меняются, в связи с введением новых нормативных актов. Например, статья 139 ГК РФ «О служебной и коммерческой тайне» утратила силу. Теперь действуют ФЗ «О коммерческой тайне» и «Положение о порядке обращения со служебной информацией» (ссылки ниже). А методические рекомендации к ГОСТ Р –2016 наконец разъяснили правила оформления грифа. И это порадовало.
Давайте разберемся какие бывают грифы ограничения доступа и в каких случаях их нужно применять.
Гриф ограничения доступа — это реквизит документа, который ограничивает распространение информации. Его применяют при оформлении конфиденциального документа. Именно это и отличает конфиденциальный документ от обычного.
Конфиденциальный документ — носитель документированной информации, оформленный определенным образом и содержащий сведения, которые относятся к коммерческой, служебной или иной тайне, доступ к которому охраняется законодательством и его обладателем.
Конфиденциальная информация отличается от конфиденциального документа тем, что может быть и устной. А устную информацию контролировать довольно трудно. С материальными носителями все проще. Поэтому для документов, флешек, дисков существует гриф ограничения доступа.
Работодатель сам решает (кроме гостайны) какую информацию следует отнести к конфиденциальной, но это не должно противоречить законодательству. Поэтому нужно сначала изучить нормативные акты по этому вопросу.
После изучения нормативных документов работодатель должен решить какой гриф(ы) ограничения доступа будет использоваться в организации и будет ли. Затем правила работы с конфиденциальной информацией и использования грифа следует закрепить в нормативных документах организации. Тогда сотрудники будут знать какая информация относится к конфиденциальной и как с ней работать.
Виды грифов ограничения доступа:
Совершенно секретно
Экз.№ 1
Государственная тайна — это защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.
Какую информацию отнести к несекретной определяет исполнитель и должностное лицо, подписывающее документ. Они несут ответственность за обоснованность этого решения и за соблюдение ограничений в отношении этой информации.
Для служебного пользования
Экз.№ 1
«Коммерческая тайна»
Используется для информации, которая позволяет организации увеличить доходы, сократить расходы, сохранить положение на рынке и получить коммерческие выгоды.
Коммерческая тайна
Акционерное общество
«ИнтелИнвест»
Норвежская ул., д. 24,
г. Казань, 657533
В документах, содержащих сведения, составляющие коммерческую тайну, указывается полное наименование юридического лица и место его нахождения.
«Конфиденциально» или «Конфиденциальная информация»
Если в организации есть конфиденциальные документы, которые не отвечают признакам тайны, то организация вправе сама определить форму грифа. Например, ввести гриф «Конфиденциально» или «Конфиденциальная информация».
Конфиденциально
Экз.№ 2
Это самые распространенные грифы ограничения доступа. Организация также может установить грифы, связанные с профессиональной деятельностью — «Банковская тайна», «Налоговая тайна», «Врачебная тайна» и другие. На практике встречается и гриф «Персональные данные», но в 80% случаях для ограничения доступа к этой информации организации используют гриф «Конфиденциально».