Однією з основних цінностей нашої компанії є безпека та забезпечення конфіденційності наданих Клієнтами даних. З метою повного та всебічного розуміння цього документа просимо Вас уважно з ним ознайомитись.

1. Визначення та терміни
1.1. Сайт – будь-який із сайтів нашої компанії, на якому розміщена інформація про запропоновані Компанією товари, маркетингові акції та іншу інформацію в мережі Інтернет.

1.2. Клієнт – фізична особа, яка використовує веб-сайт Компанії.

1.3. Персональні дані — інформація, що стосується конкретного Клієнта, зазначена в п. 3.1 цього Положення.

1.4. Обробка персональних даних – будь-які операції, що здійснюються
з використанням засобів автоматизації або без використання таких засобів з персональними даними, включаючи збирання, запис, систематизацію, накопичення, зберігання, уточнення (оновлення, зміна), вилучення, використання, передачу (поширення, надання, доступ), знеособлення, блокування, видалення, знищення персональних даних.

1.5. Cookies — фрагменти даних, що надсилаються веб-сервером браузеру під час відвідування сайту Клієнтом. Компанія автоматично отримує деякі види інформації, що отримується в процесі взаємодії користувачів із Сайтом. Йдеться про технології та сервіси, такі як веб-протоколи, куки, веб-позначки, а також програми та інструменти вказаної третьої сторони. Кукі. Куки – це частина даних, що автоматично розміщується на жорсткому диску комп'ютера під час кожного відвідування веб-сайту. Таким чином, cookie – це унікальний ідентифікатор браузера для веб-сайту. Кукі дають можливість зберігати інформацію на сервері та допомагають легше орієнтуватися у веб-просторі, а також дозволяють здійснювати аналіз сайту та оцінку результатів. Більшість веб-браузерів дозволяють використовувати cookie, проте можна змінити налаштування для відмови від роботи з cookie або відстеження шляху їх розсилки. При цьому деякі ресурси можуть працювати некоректно, якщо робота cookie у браузері буде заборонена.

2. Цілі та принципи політики конфіденційності та збору персональних даних
2.1. Політика конфіденційності діє стосовно будь-якої вказаної в розділі 3 інформації, яку Компанія може отримати про Клієнта під час використання сайту, програм та продуктів сайту.

2.2. Клієнт надає свої персональні дані з метою:

- створення облікового запису,

- Надання технічної підтримки, пов'язаної з використанням сайту,

- Оформлення замовлень, повідомлення про стан замовлень, обробки та отримання платежів;

— отримання новин, інформації про продукти, заходи, рекламні акції чи послуги;

— використання інших сервісів, що є на сайті, включаючи форум, персональні блоги, сервіс обміну особистими повідомленнями між зареєстрованими учасниками, персоналізовані коментарі та відгуки, але не обмежуючись ними.

Дані можуть бути використані з метою просування товарів від імені Компанії або від імені партнерів Компанії.

2.3. Забезпечення надійності зберігання інформації та прозорості цілей збору персональних даних. Персональні дані Клієнтів збираються, зберігаються, обробляються, використовуються, передаються та видаляються (знищуються) відповідно до законодавства РФ, у т.ч. Федеральним законом 27.07.2006 № 152-ФЗ «Про персональні дані», та цією Політикою конфіденційності.

3. Інформація, що підлягає обробці
3.1. Персональні дані, дозволені для обробки в рамках цієї Політики конфіденційності, надаються Клієнтом шляхом заповнення реєстраційної форми на сайті Компанії та включають таку інформацію:

3.1.1. ПІБ Клієнта;

3.1.2. контактний телефонКлієнта;

3.1.3. адреса електронної пошти (e-mail)

3.1.4. адреса доставки Товару;

3.1.5. історію замовлень.

3.2. Компанія також отримує дані, які автоматично передаються в процесі перегляду при відвідуванні сайту, у т.ч.

3.2.1. IP-адреса;

3.2.2. інформація з cookies;

3.2.3. інформація про браузер (або іншу програму, яка здійснює доступ до показу реклами)

3.2.4. час доступу;

3.2.5. реферер (адреса попередньої сторінки).

3.2.5. інша інформація, надана клієнтом.

4. Обробка та використання персональних даних
4.1. Обробка персональних даних Клієнта здійснюється без обмеження строку будь-яким законним способом, у тому числі в інформаційних системах персональних даних з використанням засобів автоматизації або без використання таких засобів.

4.2. Погоджуючись з цією Політикою конфіденційності Клієнт надає Компанії свою безстрокову згоду на обробку вказаних у розділі 3 персональних даних всіма зазначеними в цієї Політикиспособами, і навіть передачу зазначених даних партнерам Компанії з метою виконання прийнятих він зобов'язань.

4.3. Компанія не має права передавати інформацію про Клієнта неафілійованим особам або особам, які не пов'язані з Компанією договірними відносинами.

4.4. Передача інформації афілійованим особам та особам, які пов'язані з Компанією договірними відносинами ( кур'єрські служби, організації поштового зв'язкуі т.д.), здійснюється для виконання замовлення Клієнта, а також для можливості інформування Клієнта про акції, що надаються, послуги, заходи, що проводяться.

4.5. Афілійовані особи та особи, пов'язані з Компанією договірними відносинами, беруть на себе зобов'язання забезпечувати конфіденційність інформації та гарантувати її захист, а також зобов'язуються використовувати отриману інформацію виключно з метою виконання зазначених дій або надання послуг.

4.6. Компанія вживає всіх необхідних заходів для захисту персональних даних Клієнта від неавторизованого доступу, зміни, розкриття чи знищення.

5. Права та обов'язки Клієнта
5.1. Клієнт зобов'язується не повідомляти будь-які треті особи логін і пароль, що використовуються ним для ідентифікації на сайті Компанії.

5.2. Клієнт зобов'язується дотримуватись належної обачності при зберіганні пароля, а також при його введенні.

5.3. Клієнт має право змінювати свої особисті дані, а також вимагати видалення особистих даних у Компанії.

6. Додаткові умови
6.1. Погоджуючись з цією Політикою конфіденційності, Клієнт надає свою безстрокову згоду на отримання інформації про стан замовлень, облікового запису та інших повідомлень технічного характеру, а також повідомлень рекламного характеру, у тому числі про поточні маркетингові акції та актуальні пропозиції Компанії, за допомогою різних засобів, включаючи SMS та електронну пошту, але не обмежуючись ними. Клієнт може у будь-який час відмовитись від отримання такої інформації шляхом зміни даних облікового запису на сайті Компанії.

6.2. Компанія несе відповідальність перед клієнтом у випадках, передбачених чинним законодавством.

6.3. Компанія звільняється від відповідальності у випадках, коли інформація про Клієнта:
- стала публічним надбанням до її втрати чи розголошення.
— була отримана від третьої сторони до її отримання Компанією.
— була розголошена за згодою Клієнта.

6.4. Компанія має право вносити зміни до політики конфіденційності в односторонньому порядку. Зміни набирають чинності з моменту їх опублікування на сайті Компанії.

Вконтакте

Інформація - найважливіший виробничий чинник. Підприємства, які ведуть активну роботуз накопичення та аналізу даних, у сучасному економічному середовищі почуваються набагато впевненіше. Завдяки аналізу своєї аудиторії компанія може збільшити суму середнього чека за рахунок бонусів, за які готові платити споживачі.

Ви дізнаєтеся:

• Що таке конфіденційність персональних даних?
• Які помилки збору, зберігання та конфіденційності персональних даних найчастіше допускаються у бізнесі.
• Як забезпечити безпеку зберігання та конфіденційності даних.
• Що таке політика конфіденційності сайту та як її скласти.
• Які передбачені штрафи за порушення конфіденційності персональних даних із 2017 року.

Сьогодні інформація є невід'ємною складовою ефективної роботи підприємства. Однак слід також пам'ятати, що конче необхідно дотримуватися конфіденційності персональних даних.

Терміново перевірте своїх партнерів!

Ви знаєте, що податківці під час перевірки можуть чіплятися до будь-якого підозрілого факту про контрагента? Тому дуже важливо перевіряти тих, з ким Ви працюєте. Сьогодні Ви можете безкоштовно отримати інформацію про минулі перевірки Вашого партнера, а головне отримати перелік виявлених порушень!

Обробка, зберігання та конфіденційність персональних даних клієнтів

Отже, в сучасних економічних умовах дуже важливою є конфіденційність персональних даних. Закон, що регламентує відносини в рамках отримання та обробки ПДН, – ФЗ «Про персональні дані» №152 від 27.07.2006 р. У ньому зазначено таку інформацію:

• ключові терміни щодо обробки ПДн;
• відповідно до яких принципів та умов повинні оброблятися персональні відомості;
• якими обов'язками наділений оператор ПДН;
• якими правами наділений суб'єкт ПДН;
• які типи відповідальності передбачено порушення вимог №152-ФЗ;
• які держоргани контролюють дотримання вимог закону.

Персональні дані– це будь-які відомості, які прямо чи опосередковано ставляться до фізичної особи, яку називають суб'єктом персональних даних.

Оператор– це держорган, орган місцевого самоврядування, юридична чи фізична особа, яка в окремому порядку або разом з іншими особами організує та (або) проводить обробку персональної інформації, визначає, навіщо це потрібно, з чого мають складатися персональні дані, а також встановлює, які дії (операції) стосовно ПДН необхідні.

Обробкою ПДнназивають будь-яку операцію чи сукупність операцій, які здійснюють щодо персональної інформації із застосуванням автоматизованих засобів або без них. Якщо обробляють дані, це означає, що їх збирають, записують, систематизують, копять, зберігають, уточнюють (оновлюють, змінюють), витягують, використовують, передають (поширюють, надають доступ), знеособлюють, блокують, видаляють, знищують.

Що таке конфіденційність персональних даних, закон чітко пояснює. Однак він не уточнює, яка саме інформація персональна. Але, якщо відштовхуватися безпосередньо від назви «персональних даних», то це будь-які відомості, що стосуються фізичної особи:

• дата народження;
• адреса;
• телефон;
• e-mail;
• Світлина;
• посилання на персональний сайт;
• посилання на обліковий запис у соцмережах.

Одне слово, це будь-яка інформація, за якою можна точно визначити громадянина. Якщо вам надають персональну інформацію, ви стаєте оператором ПДн.

Суб'єкт ПДН– це фізична особа, яку можна визначити на основі персональної інформації. Тобто, це людина, відомості про яку мають бути під захистом.

Якими правами №152-ФЗ наділяє суб'єкта персональних даних

1. Право на доступ до своїх ПДН. Суб'єкт має право отримувати відомості про оператора, дізнаватися, з якою саме інформацією він працює; наділений правом прямого доступу до цієї інформації.
2. Право суб'єкта під час обробки ПДн. Обробку ПДн, необхідну для того, щоб просувати на ринку товари, послуги, роботи, а також у політичних цілях, можна проводити лише з дозволу суб'єкта. Вона є недійсною, якщо суб'єкт не давав на неї дозволу, тільки якщо оператор не довів зворотне. Якщо суб'єкт вимагає завершити обробку ПДн, оператор зобов'язаний відразу ж виконати цю вимогу.
3. Права суб'єкта під час винесення рішень виходячи з виключно автоматизованої обробки його персональної інформації. За законом РФ, неприпустимо приймати рішення щодо суб'єкта ПДн лише на підставі автоматизованої обробки, якщо немає його письмової згоди або в ситуаціях, описаних у федеральних законах.
4. Право суб'єкта оскаржити дії чи бездіяльність оператора. Якщо, на думку носія персональних даних, оператор неякісно обробляє ПДН, чим порушує його свободи та права, то громадянин завжди може звернутися до інстанції, що спеціалізується на захисті прав суб'єктів ПДН, або до судового органу.

Суб'єкт має право вимагати відшкодувати йому фінансові втрати та компенсувати моральну шкоду через суд. Оператор персональних даних повинен повідомляти в Роскомнагляд про обробку та захищати цю інформацію.

У законі також визначено, коли оператор може не повідомляти службу про обробку ПДН:

• якщо оператор та носій персональних даних перебувають у трудових відносинах;
• якщо оператор і суб'єкт раніше уклали між собою договір, та ПДН потрібні для виконання зобов'язань щодо нього;
• якщо ПДн відносяться до членів релігійних та громадських організацій, та обробка ведеться відповідно до установчої документації та законодавства РФ;
• якщо ПДн перебувають у загальному доступі;
• якщо ПДн складаються тільки з ПІБ;
• якщо ПДн необхідні, щоб отримати одноразовий перепустку на територію або для вирішення подібних завдань;
• якщо ПДН є частиною федеральних автоматизованих інформаційних систем та державних інформаційних систем персональних даних;
• якщо ПДн обробляються без використання автоматизованих засобів відповідно до законодавства РФ.

Стаття 7 (конфіденційність персональних даних) №152-ФЗ свідчить, що операторам та іншим особам, яким доступні персональні дані, заборонено поширювати цю інформацію стороннім людям, якщо суб'єкти не давали на це своєї згоди, або ж це не передбачено законодавством.

Але багато компаній невірно вважають, що, якщо вони не зобов'язані повідомляти уповноважену інстанцію про обробку, то й дії, які за законом повинні виконувати оператори ПДн, теж не обов'язкові до виконання. Але це думка помилкова. Якщо оператори порушують законодавчі вимоги щодо обробки, це розцінюється як невиконання законодавчих норм. За такі дії передбачено покарання.

Конфіденційність персональних даних– це обов'язкова вимога, яку має дотримуватися як оператор, так і будь-яка інша людина, яка отримала доступ до ПДН. Конфіденційність не забезпечується лише в тому випадку, якщо:

• персональна інформація знеособлена;
• персональна інформація знаходиться у загальному доступі.

Персональні дані перестають вважаються конфіденційними, якщо вони знеособлюються, або якщо з моменту початку їх зберігання проходить 75 років, якщо про інше не сказано в законодавстві РФ.

На підставі №152-ФЗ оператор персональних даних повинен:

1. Забезпечувати безпечну обробку ПДН, тобто проводити необхідні заходи організаційного та технічного характеру, спрямовані на конфіденційність персональних даних та їх захист від злому, знищення, внесення змін, блокування, копіювання, розповсюдження та інших незаконних дій.
2. Повідомляти уповноважену інстанцію із захисту прав носіїв ПДН (Роскомнагляд) про те, що він має намір опрацювати персональну інформацію. Роскомнагляд заносить до реєстру операторів дані про оператора. Відомості у цьому реєстрі загальнодоступні. Виняток становить лише інформація про засоби забезпечення безпеки ПДН під час обробки.
3. Отримувати у носіїв ПДн дозвіл письмовому виглядіна обробку інформації. Робити це оператор зобов'язаний, коли отримує персональні дані (зокрема від третіх осіб). Лише після наявності дозволу він може розпочати обробку. Виняток становлять випадки, коли оператор отримав ПДн у порядку, передбаченому ФЗ, або ця інформація є загальнодоступною. Слід зазначити, що носій даних має право заборонити обробку відомостей про себе.
4. Надавати носію ПДн на вимогу всю наявну про нього інформацію, методи її захисту, а також повідомляти, з якою метою та в яких умовах проводитиметься обробка.

До обов'язків оператора також входить знищення, блокування відповідних персональних даних, внесення до них змін, які надає носій ПДН або його законний представник у зв'язку з тим, що інформація неповна, невірна, неактуальна, отримана протизаконним шляхом або не відповідає зазначеній цілі обробки.

Також оператор має довести, що суб'єкт не заперечує обробку його ПДн. Якщо обробляються загальнодоступні персональні дані, оператор зобов'язаний пред'явити докази на користь те, що інформація відкрита всім.

1. Надавати уповноваженій інстанції із захисту прав суб'єктів персональних даних на запит відомості, необхідні для її діяльності. У Росії роботу операторів ПДн контролюють Федеральна служба з нагляду у сфері зв'язку, інформаційних технологій та масових комунікацій, Федеральна служба з технічного та експортного контролю та Федеральна служба безпеки.

У законі також зазначено, коли дозвіл носія ПДН не вимагається. Це ситуації, коли:

• дані обробляються відповідно до інших ФЗ;
• між оператором та суб'єктом ПДн укладено договір, положення якого передбачають обробку інформації про цього суб'єкта;
• необхідно обробити ПДн, щоб захистити життя, здоров'я та інші життєво важливі інтереси суб'єкта, але отримати його згоду неможливо, наприклад, через те, що фізична особа госпіталізована;
• необхідно опрацювати персональні дані, щоб поштові підприємства змогли доставити посилку;
• дані потрібно опрацювати журналісту у професійних цілях, або ж з метою наукової, літературної чи іншої творчої діяльності. Але при цьому інтереси та права носія ПДН мають бути дотримані;
• Необхідно опрацювати персональні дані для подальшої публікації на підставі ФЗ.

В інших ситуаціях оператор зобов'язаний діяти відповідно до норм закону РФ з обробки інформації та дотримуватися конфіденційності персональних даних. У разі порушення законодавчих норм стосовно оператора застосовують кримінальну, адміністративну, цивільну, дисциплінарну чи іншу відповідальність.

Цікаві факти про конфіденційність персональних даних

1. У російському законодавстві немає чітко визначеного списку.

У №152-ФЗ персональні дані трактуються як будь-які відомості, що належать до певної або визначеної на їх підставі фізичній особі (суб'єкту ПДН). Це визначення малоінформативно.

1. Розрізняють три види персональних даних.

• Загальні ПДн – це ПІБ, адреса, номер телефону фізичної особи.
• Спеціальні ПДн – це інформація про расу, національність суб'єкта, його політичну позицію, філософську та релігійну точку зору, здоров'я та статеве життя.
• Біометричні ПДН – це фізіологічні особливості, анатомічні характеристики, відбитки долонь, пальців, сітківка очей, аналіз ДНК тощо.

1. Судова практика за персональними даними.

Відповідно до наявної сьогодні судової практики, до персональних даних відносять:

• ПІБ фізичної особи, дату народження (день, місяць, рік), адреса. Мова в даному випадкутакож йде про сімейне, соціальне, майнове становище, освіту, професію, доходи (Постанова у справі № А15-2016/2009 від 05.10.2010 р. Президія ВАС РФ, Постанова у справі № А36-5713/2014 від 29.04. 19-й ААС).
• Паспортні дані (див., наприклад, Апеляційне ухвалу Мосміськсуду від 22.05.2014 р. № 33-14709).

Деякі суди дотримуються думки, що за серією та номером паспорта можна ідентифікувати бланк документа, але не фізичну особу. Відповідно, це не ПДн (детальніше з цією інформацією ви можете ознайомитися з ухвали Мосміськсуду від 29.02.2012 р. № 33-6709; Постанови Тринадцятого арбітражного апеляційного суду від 21 червня 2010 р. у справі № А56047

Однак складно визнати цю позицію вірною та обґрунтованою, оскільки за номером та серією паспорта можна легко визначити фізичну особу.

• E-mail (це підтверджує, наприклад, Рішення у справі №12-253/2015 від 26.05.2015 р. Калінінський районний суд (м. Санкт-Петербург).

Роскомнагляд неоднозначно підходить до питання, пов'язаного з віднесенням електронної пошти до персональних даних. На цю тему існують роз'яснення цієї служби, де зазначено, що якщо в e-mail міститься ПІБ, його можна віднести до персональних даних. Якщо адреса електронної пошти складається з набору букв і знаків, це неправомірно.

• Дані техпаспорту додому (див., наприклад, Ухвала Приморського крайового суду від 28.04.2014 р. № 33-3718).
• Адреси місць проживання індивідуальних підприємців, які містять план проведення перевірок юридичних осіб та індивідуальних підприємців. План є загальнодоступним і має перебувати на офіційному сайті адміністрації (див., наприклад, Апеляційне ухвалу Волгоградського облсуду від 24.04.2014 р. № 33-4427/2014).
• Інформацію про перетин держкордону (див., наприклад, Апеляційне ухвалу Мосміськсуду від 10.04.2014 р. № 33-11688).
• Адреса, за якою зареєстрована посадова особа, інформація про його доходи, власність, що розповсюджується у формі, не передбаченої для офіційної процедури (наприклад, Ухвала Санкт-Петербурзького міського суду від 31.03.2014 р. № 33-4198/14).
• Відомості про працівника, прописані у трудовому договорі (див., наприклад, Апеляційне визначення ЗС Республіки Саха (Якутія) від 23.10.2013 р. № 33-4172/13).

При віднесенні інформації до персональної потрібно також враховувати такі моменти:

• Підтвердження та перевірка того, що відомості належать до певної фізичної особи, не потрібні (у законі про подібні заходи нічого не сказано). У зв'язку з цим оператор фактично не має уявлення про те, чи реальна це інформація чи вигадана. Проте обробляти ПДн він у разі зобов'язаний.
• До персональної відносять лише ту інформацію, за якою можлива ідентифікація фізичної особи (див., наприклад, ухвала Санкт-Петербурзького міського суду від 26 березня 2013 р. № 33-3815/13, Апеляційна ухвала Мосміськсуду від 28.01.2014 р. №33 -5461/14).

1. Більш складні категорії ПДН.

Простими персональними даними називають ім'я, прізвище тощо. Однак є й складніші групи ПДн. До таких відноситься IP-адреса, профіль у соціальній мережі та ін.

З приводу цих груп ПДН навіть суди мають різні позиції.

• Щодо IP-адреси в одному судовому рішенні є непоганий правовий аналіз, де говориться таке: "Правові наслідки при ідентифікації користувача через встановлення його ПДн за статичним IP-адресою, який призначає оператор зв'язку, постійно закріпленому за кінцевим користувальницьким обладнанням при укладанні договору на надання послуг доступу до інтернету (якщо використовується статична IP-адреса, то ідентифікація всіх підключень користувача завжди ведеться за цією IP-адресою в мережі зв'язку) повинні бути аналогічні правовим наслідкам у тих випадках, коли оператор зв'язку призначає IP-адресу обладнанню користувача в автоматичному порядку, на час його підключення (період сесії) до інтернету (динамічна IP-адреса)". (Рішення у справі №2-5354/2015 від 24.09.2015 р. Жовтневий районний суд м. Самари (Самарська область)).

Зазначимо, на думку одних судів IP-адреса не відноситься до ПДН (див., наприклад, Постанова у справі № А56-75017/2014 від 01.06.2015 р. 13-ї ААС), а інші, навпаки, вважають, що належить ( Рішення у справі № А76-29008/2015 від 11.02.2016 р. (АС Челябінської обл.).

Віднесення статичної IP-адреси до персональних даних є досить логічним, оскільки ідентифікація користувача за ним дуже проста. Однак у оператора може не бути відомостей про те, яка IP-адреса є статичною. У таких ситуаціях слід вважати всі такі адреси персональною інформацією. Відповідно, конфіденційність персональних даних такого характеру має бути збережена.

• Щодо логіну та пароля (від e-mail та соціальної мережі) розбіжностей менше. На думку Роскомнагляду, вважати їх ПДН неправомірно. Цю позицію він озвучував багато разів.

Неякісне забезпечення конфіденційності персональних даних та інші помилки, за які штрафують бізнес

Помилка 1.Наявність форми зворотнього зв'язкубез політики конфіденційності.

Співробітники Роскомнагляду з'ясували, що підприємство ТДЮК розмістило на своєму сайті форму зворотного зв'язку. Але документа про політику конфіденційності щодо обробки персональної інформації на сайті не було. Через війну, виходячи з ст. 13.11 КоАП РФ, фірмі виписали штраф, після чого вона подала позовну заяву до суду.

Позиція компанії полягала в наступному: ідентифікація фізичної особи була неможливою, оскільки форма зворотного зв'язку складалася лише з 3 елементів: імені, теми та тексту повідомлення. Відповідно, конфіденційність персональних даних було дотримано. У цьому графу «ім'я» користувачі були зобов'язані заповнювати. Але судовий орган не взяв ці аргументи до уваги і все ж таки наклав на ТДЮК штраф (ухвала Тамбовського обласного суду від 04.10.2016 р. у справі №4А-288).

Як уникнути штрафу:Якщо компанія розміщує на сайті подібну форму, це вважається збором даних про фізичних осіб. Відповідно, фірма зобов'язана діяти так, як оператор ПДн – повідомляти в Роскомнагляд, що вона має намір зайнятися збором та обробкою персональної інформації, отримати дозвіл носія даних, виробити політику конфіденційності та подбати про необмежений доступ до неї. Якщо ви виробляєте форму зворотного зв'язку, то в ній має бути функція отримання згоди. Тобто, перед тим як надіслати анкету, користувач зобов'язаний проставити галочку, тим самим підтвердивши свою згоду на обробку персональних даних.

Помилка 2.Передача особистої інформації третім особам.

Як здійснюється конфіденційність персональних даних у договорі? Розглянемо такий приклад. У громадянина утворився борг банківській установі за кредитом. Банк уклав із колекторським підприємством агентський договір «Морган енд Стаут». Відповідно до його умов, банківська організація передала персональну інформацію про боржника, і колектори почали дзвонити йому та його родичам, звертаючись з вимогою щодо погашення заборгованості. Але при цьому обробляти та передавати свої ПДН стороннім особам громадянин не дозволяв.

Позичальник вимагав припинення протиправних дій та знищення всіх персональних даних, але безрезультатно. Тоді він подав до суду позов із метою компенсації моральної шкоди. Як зазначив боржник, у нього вимагали погасити борг в агресивній формі, а тому він почав турбуватися про здоров'я, безпеку та життя себе та своїх рідних.

Вивчивши всі матеріали справи, суд визнав, що банк діяв незаконно, не забезпечив конфіденційність персональних даних та ухвалив знищити всю персональну інформацію про громадянина. Обидві установи суд зобов'язав компенсувати моральну шкоду (ухвалу Ярославського обласного суду від 05.03.2012 р. у справі №33-939/2012).

Як уникнути штрафу:Передача персональних даних можлива виключно за згодою фізичної особи, до якої вони належать. Винятки становлять випадки продажу підприємством боргу виходячи з договору переуступки. У разі вже новий кредитор повинен повідомляти носію ПДн у тому, що особисті відомості отримано.

Помилка 3.Обробка персональних даних без згоди.

Позапланова перевірка підприємства, що проводиться співробітниками Роскомнагляду, показала, що у листі кандидата на посаду відсутнє поле для позначки про згоду на обробку ПДН. Генеральному директору винесли попередження, з яким він не погодився та звернувся до суду для оскарження. За словами керівника, у компанії сформували комісію, до обов'язків якої увійшла обробка даних. Він зазначив, що під час заповнення своїх карток співробітники присутні особисто. Крім цього, у трудовому договорі зазначено, що працівник погоджується на обробку. Але ці аргументи, на думку суду, були недостатніми для скасування рішення, а тому адміністративне покарання все ж таки було застосовано (ухвала Самарського облсуду від 22.08.2016 р. №4а-907/2016).

Як уникнути штрафу:Кожна типова форма документації, яка передбачає включення ПДн, повинна містити в собі поле для згоди на обробку. Вам слід провести аудит кадрової документації, щоб переконатися, що у паперах проставлено відповідну позначку.

Помилка 4.Підприємство ігнорує відмови клієнта отримувати рекламні повідомлення.

Один із клієнтів Ощадбанку скасував свою згоду на обробку ПДН через «Пошту Росії». Але минув місяць, і громадянину на телефон надійшло рекламне повідомлення з банку із пропозицією оформити кредит. У відповідь громадянин подав позовну заяву до суду про незаконну обробку ПДН. Він вважає, що банк не забезпечив конфіденційність персональних даних.

Позиція відповідача у тому, що повідомлення містило у собі рекламу, а індивідуальне пропозицію. Крім цього, текст повідомлення не включав інформацію, на підставі якої була б можлива ідентифікація фізичної особи. Відповідно, використання особистих відомостей не було, і конфіденційність було дотримано.

Але суд прийняв бік позивача – банківська установа знала його номер телефону та ПІБ. Відповідно до рішення суду, Ощадбанк зобов'язали компенсувати позивачу моральну шкоду у розмірі 100 тис. руб. (ухвала Новосибірського облсуду від 02.04.2015 р. у справі №33-2662/2015).

Як уникнути штрафу:не слід ігнорувати різного роду звернення фізичних осіб – суб'єктів ПДН. З 1 липня 2017 р. за це передбачено штраф у розмірі 40 тис. руб. Фізична особа має право відкликати згоду на обробку своїх персональних даних, а також дізнатися, хто працює з її даними, з якою метою, якими способами, у який термін здійснюється обробка, яка саме інформація про неї зберігається. Призначте працівника, який надає інформацію за запитами фізичних осіб. Його контактна інформація має бути загальнодоступною.

Помилка 5.Збір відомостей про фізособи без локалізації.

Співробітники Роскомнагляду в рамках аналізу порушень в інтернеті визначили, що відома соціальна мережа LinkedIn не виконує вимог щодо забезпечення запису, систематизації, накопичення, зберігання та вилучення ПДн росіян, тобто, не дотримується конфіденційності персональних даних. Фахівці служби зобов'язали компанію усунути порушення, проте вимоги виконано не було. Організація аргументувала свою відмову тим, що персональні дані громадян обробляються та зберігаються за кордоном. Однак суд зауважив, що якщо сайт має російськомовну версію, він займається збором ПДН росіян, і, відповідно, зобов'язаний виконувати норми чинного законодавства, зокрема забезпечувати конфіденційність персональних даних. У результаті суд визнав, що сайт веде незаконну діяльність, до нього обмежили доступ, а саму організацію занесли до Реєстру порушників прав суб'єктів ПДН (ухвалу Мосміськсуду від 10.11.2016 р. у справі №33-38783/2016).

Як уникнути штрафу:До обов'язків оператора при зборі персональної інформації входить забезпечення локалізації ПДН суб'єктів. Відповідний закон діє з 1.09.2015 р. Перевірте інформаційні системи/бази даних, виявіть їхнє місце розташування та сформуйте список. Вимога, пов'язана з локалізацією ПДН, є обов'язковою та діє щодо первинного збору даних. Обробляти та зберігати інформацію можна за кордоном.

Розповідає практик

Обробка персональних даних – додаткова зона відповідальності

Олена Денісова,

керівник комерційної практики, CLIFF

На думку багатьох підприємців, їхня діяльність безпосередньо не пов'язана з обробкою ПДН, оскільки вони просто збирають таку інформацію, щоб знати свою аудиторію. Також значна частина бізнесменів вважає, що сайт в інтернеті – це не інструмент автоматизованої обробки, тому вони не збирають особисту інформацію про користувачів, відповідно, не повинні забезпечувати конфіденційність персональних даних. Але відповідно до Закону, оператор ПДн – це будь-яка особа, як фізична, так і юридична, яка організує та здійснює обробку персональних відомостей та визначає цілі їх збору.

Щоб не зіткнутися з проблемами зберігання та застосування ПДН та дотримуватися законодавчих вимог, необхідно:

1. Виявити, в якому порядку, обсязі та в який час ви отримуєте інформацію про своїх споживачів. Якщо відомостей, за якими можна точно визначити клієнта, ви не отримуєте (а отримуєте лише e-mail і при цьому не пропонуєте пройти реєстрацію та залишити контактну інформацію, тобто не отримуєте жодних даних від клієнта та працюєте на конфіденційних умовах), то ви немає справи з ПДн. У всіх інших ситуаціях вам слід чітко дотримуватись законодавчих вимог щодо забезпечення конфіденційності персональних даних.
2. Визначити, як ваша компанія отримуватиме від клієнта згоду на обробку його персональної інформації. Згода суб'єкта потрібна, якщо ви плануєте проводити торгові операціїта вести будь-яку діяльність щодо просування товарів, послуг, робіт на ринку, використовуючи прямий контакт клієнта (за допомогою SMS-повідомлень, телефонних дзвінків, e-mail та ін.). Зазначимо, у разі виникнення спірної ситуації оператор, тобто, ваше підприємство, зобов'язаний довести факт отримання від клієнта згоди (у будь-якій формі, не обов'язково письмово). У зв'язку з цим слід виробити правила, відповідно до яких потрібно збирати, обробляти, зберігати та знищувати ПДН, а також спеціальну форму згоди на проведення цих заходів (див. матеріал для скачування). При цьому клієнт може не давати своєї згоди, якщо дані обробляються з метою виконання умов договору, учасником якого він виступає, тобто якщо відомості використовує лише ваша фірма, не передає її стороннім особам і тільки для того, щоб оформити угоду купівлі-продажу з покупцем.
3. Переконатись, що в майбутньому вдасться довести факт отримання згоди від клієнта. Мало просто розмістити на сайті правила та форму згоди на обробку ПДН. У разі суперечки це не допоможе вам уникнути штрафів контролюючих інстанцій. У вас має бути підписаний клієнтом документ, з якого ясно простежуватиметься його згода на використання ПДн. Також у ньому має бути згадано про види та цілі обробки персональної інформації. Якщо ви не матимете такого документа, то вас можуть притягнути до відповідальності. Безумовно, як доказ може виступати паперова анкета з підписом покупця, проте для торгівлі в інтернеті цей варіант не підходить.

Роскомнагляд вважає, що як згоду на використання персональної інформації на сайті може виступати файл електронного цифрового підпису. Крім цього, пропозиції оператора про продаж товару в деяких ситуаціях можуть бути розглянуті як публічна оферта. Тобто коли носій ПДн погоджується на оферту в момент оформлення замовлення або реєстрації, то схвалює використання своїх персональних відомостей, залишених продавцю. Судові органи вважають, що компаніям краще подбати про наявність на своєму сайті веб-мітки, яка означає, що клієнт згоден з правилами та порядком обробки ПДН (ухвала ФАС СЗО від 13.12.2010 р. у справі №А56-73636/2009, постанова ФАС УО від 18.03.2010 р. у справі №Ф09-1736/10-С1, ухвала Мосміськсуду від 14.02.2011 р. у справі №33-2064).

Конфіденційність та захист персональних даних: 4 інструменти

Конфіденційність персональних даних може бути забезпечена виключно в тій інформаційному середовищі, в якій зловмисники не можуть втрутитися в роботу її основних елементів, таких як мережні пристрої, операційні системи, додатки та система управління базами даних (СУБД).

1. Антивіруси.

Один із дієвих методів боротьби з витоком конфіденційних даних – захист від вірусів. Нерідко через вплив вірусів, черв'яків та інших шкідливих програм відбувається втрата інформації прихованим каналам. У сучасні антивіруси включено як сигнатурний захист, а й більш інноваційні методи. Йдеться, зокрема, про поведінковий аналіз програм, екрани рівня додатків, контроль за цілісністю критичної для операційної системи інформації та інші способи захисту, які забезпечують конфіденційність персональних даних.

1. Міжмережеві екрани.

Необхідно забезпечити ефективний захист не лише всієї корпоративної мережі, а й кожному окремому робочому місцю від масових вірусних атак, а також від цілеспрямованих атак у мережі. Тут достатньою буде установка системи блокування мережевих протоколів і сервісів, що не використовуються. Зазначимо, що саме ці функції виконує міжмережевий екран. Нерідко до його функціональності додають також засоби організації віртуальних приватних мереж – VPN.

1. Системи запобігання вторгненням.

Системи запобігання вторгненням (Intrusion Prevention System, IPS) встановлюють у розрив мережі. Такі мережі призначені для того, щоб виявляти в трафіку, що проходить, ознаки нападу і блокувати виявлену найбільш популярну атаку. Це забезпечує зрештою конфіденційність персональних даних.

IPS відрізняються від шлюзових антивірусів тим, що виконують аналіз не тільки вмісту IP-пакетів, але й протоколів, що застосовуються, і коректності їх використання. IPS здатні забезпечити захист від більшого числаатак, на відміну шлюзових антивірусів. Системи запобігання вторгненням випускають фірми, основна спеціалізація яких – мережевий захист, наприклад, Check Pointі McAfee (продукт Network Security Platform), і компанії, що виробляють мережне устаткування – Juniper і Cisco.

1. Сканери уразливостей.

Загальні засоби захисту – це сканери вразливості, які перевіряють операційні системи та програмне забезпечення на наявність різного роду «проломів». Зазвичай це самостійні програмиабо пристрої, які тестують систему наступним чином: надсилають спеціальні запити, що імітують атаку на протокол або додаток. Серед найпопулярніших продуктів у цій категорії можна виділити MaxPatrol, групу продуктів IBM ISS, Symantec та McAfee (Vulnerability Manager). Однак зараз випускають і пасивні сканери, які просто сканують трафік і виявляють ймовірні вразливі місця.

Перераховані вище інструменти – загальні для всієї мережі і безпосередньо не стосуються захисту персональних відомостей. Але їх наявність обговорюють в окремому порядку, а тому цими основними засобами повинен мати кожен оператор персональних даних, причому навіть для мінімального рівня К4, де сам оператор може вибирати засоби захисту.

У Наразікомплект інструментів для захисту від витоку персональної інформації лише формується. Існує 3 категорії таких продуктів:

• Системи контролю периферійних пристроїв.

Найчастіше витоку ПДн відбуваються через знімні інформаційні носіїта несанкціоновані канали зв'язку, серед яких флеш-пам'ять, USB-диски, Bluetooth або Wi-Fi, у зв'язку з чим необхідно контролювати периферійні пристрої. Це дозволяє уникати витоків та забезпечити конфіденційність персональних даних. На ринку є певні інструменти, що належать до цієї категорії, наприклад, від виробників SmartLine та SecureIT.

• Системи захисту від витоку (Data Leak Prevention, DLP).

Завдяки системам захисту від витоків можна за допомогою особливих алгоритмів вичленувати з потоку інформації конфіденційну та запобігти її несанкціонованій передачі, поставивши блок. У DLP-системах існує низка механізмів контролю. різних каналівпередачі даних - e-mail, миттєвих повідомлень, web-пошти, друку на принтері, збереження на знімному дискута ін. При цьому такі системи ставлять блок на виток лише конфіденційної інформації, оскільки оснащені вбудованими механізмами для визначення ступеня секретності даних, завдяки чому досягається висока конфіденційність персональних даних.

• Методи шифрування.

Методи шифрування застосовуються в процесі передачі персональної інформації через мережу в розподіленій системі. Ви можете користуватися продуктами класу VPN, основою яких є шифрування. Але системи цього типу мають бути сертифікованими і тісно інтегрованими з базами даних, у яких зберігається персональна інформація.

Завдяки інструментам, переліченим вище, можна уникнути витоків інформації, у тому числі персональної, тобто забезпечити конфіденційність персональних даних. При цьому методи можуть бути використані і для того, щоб захищати іншу, критичну для організації інформацію. Але варто враховувати, що для виконання вимог закону "Про персональні дані" необхідно використовувати сертифіковані засоби захисту, схвалені ФСТЕК.

Політика конфіденційності персональних даних на сайті: покрокова інструкція

Політика конфіденційності- це теж оферта (угода), але тільки стосовно питань використання персональної інформації користувачів. Якщо користувач прийняв (акцептував) запропоновані йому умови та правила, отже, дав згоду на обробку персональних даних.

Тобто, користувач може:

• зареєструватися/авторизуватися;
• проставити у полях відповідні позначки;
• виконати дії у певній послідовності;
• використовувати функціонал сайту.

Всі ці дії свідчать про те, що користувач прийняв правила обробки його ПДН.

Краще застосовувати опис не однієї форми акцепту, а їх сукупність, вказуючи, наприклад, що користувач погодився з правилами Політики конфіденційності, натиснувши відповідну кнопку або проставивши позначку в полі для Реєстрації на будь-якій стадії реєстрації або будь-якої миті користування інтернет-ресурсом.

Універсальний шаблон Політики конфіденційності поки що не вироблено. Коли ви її розробляєте, то так чи інакше повинні брати до уваги особливості роботи ресурсу, його призначення, функціональні особливості, чисельність цільової аудиторії, те, у яких обсягах клієнти залишають інформацію про себе.

На основі аналізу існуючого законодавства у галузі обробки персональної інформації з'явилася можливість сформулювати низку рекомендацій для власників сайтів щодо змісту Політики конфіденційності:

Крок 1.Якщо хочете, у Політику конфіденційності можете включати розділ з термінами та визначеннями. Проте це необов'язково. Щоб забезпечити зручність користувачів та уніфікувати документацію на сайті, ви можете включити відповідний розділ з термінами та їх розшифровкою – єдиними як для Політики конфіденційності, так і для Користувальницької угоди(наприклад, «сайт», «власник сайту», «користувач», « особистий кабінет» та ін.).

Якщо навіть у вас на сайті немає такого розділу в Політиці конфіденційності, ви, як власник, жодних ризиків через це не несете.

Крок 2Виділіть загальні положення та опишіть у них:

• Предмет регулювання Політики.
• Форми акцепту користувача з правилами Політики та обробкою ПДн.
• Місце вирішення спірних ситуацій, що випливають із Політики, із застереженням (наприклад, ви можете вказати, що всі можливі суперечки щодо Політики конфіденційності та відносин між громадянином та власником інтернет-ресурсу будуть вирішуватись через суд за місцем перебування власника сайту відповідно до нормативів РФ, якщо про інше не сказано у федеральному законі). Застереження потрібно з метою дотримання чинних норм законодавства. Якщо ж у Політиці зазначено, що суперечки мають вирішуватися за місцем перебування Адміністрації сайту, користувач заздалегідь знатиме про це.
• Порядок внесення змін до Політики та оновлення даного документа (наприклад, «Адміністрація сайту має право змінювати та (або) вносити доповнення до Політики конфіденційності, при цьому спеціально не повідомляючи користувача про це. Політика конфіденційності в новій редакції набирає чинності з того моменту, як розміщується на сторінці сайту, якщо про інше не сказано в новій редакції Політики конфіденційності. Якщо користувач ніяк не реагує, це означає, що він погоджується зі змінами та (або) доповненнями у Політиці конфіденційності.
• Відсутність доступу до інформації, що її громадянин залишає на сайтах третіх осіб. Це може бути пов'язано з тим, що користувач оплачує послуги та надає свої платіжні дані.

Тут слід чітко прописати, наприклад, таке: «користувач визнає та підтверджує, що будь-яку інформацію, включаючи, наприклад, дані банківських карток, безпосередньо чи опосередковано пов'язані з оплатою послуг чи сервісів, він розміщує на сторінках сайтів третіх осіб, які не мають відношення до власника сайту; Адміністрації сайту така інформація недоступна, вона не збирає, не систематизує, не зберігає, не уточнює, не оновлює та не змінює, не використовує, не поширює (у тому числі, не передає), не знеособлює, не блокує, не знищує такі дані, не здійснює транскордонну передачу – словом, не проводить щодо них ніяких операцій.

Крок 3Вам слід зафіксувати той факт, що ви надали згоду користувачеві на використання ПДН. Це конче необхідно в будь-якій політиці конфіденційності. Вкажіть, що коли користувач погоджується на обробку своїх даних, керується власними інтересами і робить це з власної волі. Користувач погоджується на обробку інформації з того моменту, як реєструється на сайті та (або) здійснює інші дії, пов'язані з користуванням сервісами чи можливостями інтернет-ресурсу.

Крок 4.Необхідно позначити, з якою метою ви погоджуєтеся, наприклад, щоб:

• укладати з Адміністрацією інтернет-ресурсу угоди, договори, які безпосередньо передбачає Політика, а також інші угоди, розміщені на сайті, та їхнє подальше виконання;
• брати участь в організованих акціях, а також приймати рішення та виконувати інші заходи з різними юридичними наслідками щодо користувача або інших осіб;
• приймати та обробляти запити;
• інформувати клієнтів про стан запиту та послуги, наприклад, за допомогою повідомлень по e-mail або SMS;
• покращувати якість роботи інтернет-ресурсу;
• проводити статистичні та інші дослідження на підставі знеособленої інформації.

Цілком можуть мати місце будь-які варіанти, причому одночасно. Але основна у разі мета – перша у цьому списку. Тобто вона полягає у використанні персональних даних, щоб укладати угоди, договори з власником інтернет-ресурсу та виконувати їх. Завдяки цьому варіанту можна буде пояснити відсутність згоди на обробку персональної інформації «на папері» у разі проблем із Роскомнаглядом, і роз'яснити, чому власник не направив до цієї інстанції повідомлення.

Крок 5.Слід описати, із чого складаються персональні дані.

До персональної відноситься далеко не вся інформація про користувача. Персональні дані, як було зазначено, дозволяють точно визначити громадянина. До них належать, наприклад, ПІБ, адреса місця проживання, і навіть паспортні дані. Конфіденційність персональних даних клієнтів – обов'язкова умова для всіх організацій.

У Політиці конфіденційності ви можете вказати, що згода користувача поширюється на ПІБ, адресу місця проживання, телефонний номер та будь-які інші дані, що стосуються особи людини, якою зараз має Адміністрація сайту.

Крок 6Визначте період, протягом якого діє згода.

Ви можете зазначити, що згода громадянина діє доти, доки не закінчаться терміни зберігання відповідних відомостей або документації, в яких міститься зазначена вище інформація. Ці терміни визначає законодавство РФ. Після закінчення зазначеного періоду користувач може відкликати свою згоду, надіславши відповідне повідомлення ( письмово) власнику сайту. Зробити це він повинен не менше ніж за 3 місяці до моменту відкликання згоди.

Крок 7.Зафіксуйте обсяг можливих дій із обробки.

Пам'ятайте, що чим більше можливих дій із персональною інформацією ви опишете, тим краще. Ви можете зазначити, що згода надається на проведення будь-яких операцій без обмежень персональними даними, необхідними або бажаними для вирішення зазначених вище завдань. Тобто ви, як власник сайту, отримуючи персональні дані користувача, за його згодою можете збирати, систематизувати, накопичувати, зберігати, уточнювати (оновлювати, змінювати), використовувати, розповсюджувати (у тому числі передавати), знеособлювати, блокувати, знищувати, здійснювати транскордонну передачу ПДн, і навіть виконувати інші процедури з особистої інформацією громадянина відповідно до чинними законодавчими нормами РФ.

Крок 8Позначте методи обробки ПДН.

Вкажіть, як ви збираєтеся використовувати персональні дані користувача – зберігати, записувати на електронні носіїз їх подальшим зберіганням, формувати переліки або якось інакше.

Крок 9Позначте, що ви маєте право розкриття персональних даних третім особам.

Зафіксуйте своє право, як власника сайту, передавати дані третім особам, якщо необхідно досягти тієї чи іншої мети, зазначеної у Політиці. Також вам слід зазначити, що користувач не заперечує передачу його даних.

Крок 10Встановіть, в якому порядку надсилатимуться юридично значущі повідомлення.

Щоб урегулювати потік звернень від користувачів, пов'язаних із обробкою інформації, необхідно ускладнити процес взаємодії з Адміністрацією інтернет-ресурсу. Як? Наприклад, визначити письмову форму подібних звернень та спосіб їхнього відправлення – по e-mail або через кур'єра. У додатковому порядку вкажіть, що якщо формату звернень не буде дотримано, звернення та повідомлення користувача залишаться нерозглянутими.

Які передбачені штрафи за порушення конфіденційності персональних даних із 2017 року

З 1.07.2017 р. набрав чинності ФЗ від 07.02.2017 р. № 13-ФЗ, який вносить поправки до ст. 13.11 Кодексу про адміністративні правопорушення. Так, на підставі цього ФЗ передбачено розширення списку підстав, за якими на порушників можуть накласти адміністративне стягнення за незаконну обробку персональної інформації та суттєво підвищити штрафи.

Заснування	Розмір штрафу
	Фізичні особи	Посадові особи	Юридичні особи
Обробка ПДн у випадках, не передбачених законодавством РФ; обробка ПДН, несумісна з цілями збору ПДН	попередження чи штраф - від 1000 до 3000 руб.	попередження чи штраф - від 5000 до 10000 руб.	попередження чи штраф - від 30 000 до 50 000 руб.
Обробка ПДН без письмової згоди на те їх суб'єкта	від 3000 до 5000 руб.	від 10 000 до 20 000 руб.	від 15 000 до 75 000 руб.
	від 700 до 1500 руб.	від 3000 до 6000 руб.	від 15 000 до 30 000 руб.	від 5000 до 10000 руб.
Ненадання суб'єкту ПДн інформації щодо їх обробки	попередження чи штраф - від 1000 до 2000 руб.	попередження чи штраф - від 4000 до 6000 руб.	попередження чи штраф - від 20 000 до 40 000 руб.	попередження чи штраф - від 10 000 до 15 000 руб.
Невиконання оператором вимоги суб'єкта ПДН або його представника про уточнення, блокування, знищення (якщо ПДН неповні, застарілі, неточні, незаконно отримані, не є необхідними для заявленої мети обробки)	попередження чи накладення штрафу у вигляді від 1000 до 2000 крб.	попередження чи штраф - від 4000 до 10000 руб.	попередження чи штраф - від 25 000 до 45 000 руб.	попередження чи штраф - від 10 000 до 20 000 руб.
Незабезпечення оператором при обробці ПДН без засобів автоматизації обов'язку щодо збереження ПДН, що призвело до неправомірного чи випадкового доступу до ПДН та спричинило їх знищення, зміни, блокування, копіювання	від 700 до 2000 руб.	від 4000 до 10000 руб.	від 25 000 до 50 000 руб.	від 10 000 до 20 000 руб.
Невиконання оператором (держ. або муніципальним органом) обов'язки щодо знеособлення ПДН; недотримання вимог щодо знеособлення ПДН		попередження чи накладення адміністративного штрафу - від 3000 до 6000 крб.

Конфіденційність персональних даних за кордоном

• США.

У Штатах навмисно не приймають федеральний закон про захист ПДН, віддаючи перевагу законам, що стосуються окремих сфер життя. У 1988 р. відеопрокатам США заборонили публічне розголошення інформації у тому, які відеокасети беруть клієнти. Таку заборону на прокати наклали після витоку у ЗМІ списку відеокасет, орендованих кандидатом у судді ЗС РФ Робертом Броком. Зазначимо, у списку були цілком пристойні фільми.

Дуже важливе значення у США має конфіденційність персональних даних, що передаються за кордон. У Штатах у цьому відношенні діє те саме правило, що й у Європі – держава, яка приймає, повинна захищати персональну інформацію на належному рівні.

Неприйняття загального закону про захист персональних даних у США пов'язане зі специфічною економічною та політичною культурою, де влада сприяє саморегуляції бізнесу. Наприклад, свободу слова у конституції гарантує перша поправка. Що ж до права на недоторканність приватного життя, вона у ній прямо не прописана і лише мається на увазі. Проте це не заважає окремим штатам висувати ініціативи. З 2014 р. у Каліфорнії діє закон, який зобов'язує сайти сповіщати користувачів, чи відстежуються їхні дії чи ні. З 2015 р. поведінка неповнолітніх громадян у США не відслідковує, як і в Європі.

• Азії.

Сьогодні у країнах Азії діє закон про захист персональної інформації в Інтернеті. Виняток становить лише Китай та більшість країн Близького Сходу. В Індії закон про дотримання конфіденційності персональних даних не має сили за межами країни. І, зауважимо, він не дуже твердий. Більшість громадян Індії не хвилює конфіденційність персональних даних. З інформації на сайтах знайомств можна легко дізнатися, яку групу крові має той чи інший користувач, хто ВІЛ-інфікований. При цьому уряд має великі повноваження доступу до персональної інформації, а для пошуку номера мобільного телефоначасто досить вбити ім'я громадянина в рядок пошуку.

Закон про захист персональних даних, зокрема, в інтернеті, ухвалили у 2005 році. Іноземні організації з офісом у Японії повинні детально роз'яснювати, з якою метою вони зберігають ПДН, якщо ці відомості стосуються хоча б 5 тис. клієнтів та працівників.

Зазначимо, японці дуже обережно ставляться до поширення своїх персональних даних, навіть якщо трапляються природні катаклізми – землетрус чи госпіталізація людини. Конфіденційність персональних даних є вкрай важливою для них. При цьому іноді відбуваються великі витоку інформації та незаконні угоди з їх продажу. У Останніми рокамирозвиток Інтернету випереджає закон. Норми, вироблені років десять тому, не враховують існування хмарних сервісів та соціальних мереж.

У Сінгапурі в 2013 р. ухвалили закон, подібний до того, що на даний момент розглядає Рада Європи. Сьогодні законодавство саме цієї держави є найбільш прогресивним у всій Азії щодо зберігання ПДн.

• Південна Америка.

У Південній Америці був гучний скандал з Едвардом Сноуденом, який частково призвів до ухвалення закону Marco Civil da Internet. Значне місце у законі відведено питанню захисту персональної інформації. Жителі Бразилії ставляться до конфіденційності ПДН практично так само, як у Європі, але з деякими нюансами.

Разом із Німеччиною Бразилія просунула в ООН першу резолюцію про захист ПДН у мережі. У резолюції було сказано про те, що право на конфіденційність персональних даних має бути забезпечене і реального життя, та в інтернеті. Зазначимо, у Бразилії електронна листуваннязахищається у такому самому порядку, як і звичайна.

Що ж до решти Південної АмерикиТам законопроекти про конфіденційність персональних даних зазвичай розглядають протягом декількох місяців, а то й років.

Єдина країна, де вимоги щодо захисту персональної інформації в інтернеті виконуються в повному обсязі? – це Аргентина.

Інформація про експертів

Олена Денісовакерівник комерційної практики, CLIFF. Олена Денисова закінчила Московський державний відкритий університет та Московський фінансово-юридичний університет. Спеціалізується в галузі комерційного права, займається вирішенням завдань, пов'язаних з електронною комерцією, включаючи судовий захист її суб'єктів. Забезпечувала юридичний супровід низки стартапів у цій галузі. CLIFF – група компаній, що надає юридичні послуги широкого спектру. Заснована у 1994 році. Штат – понад 50 юристів. Одна з перших компаній, яка зайнялася роботою з проектами у сфері електронної комерції- від розробки платіжних систем до створення з нуля інтернет-проектів різних напрямків. Офіційний сайт - www.cliff.ru

Поняття "конфіденційна інформація" дуже часто зустрічається в юридичній практиці. Що воно означає і які види існують? Розглянемо це далі.

Загальне поняття

Перш ніж розглядати те, які існують види конфіденційної інформації, слід детально розібратися в загальних особливостяхсамого поняття.

Отже, якщо говорити дуже простою мовою, то до категорії конфіденційної інформації відносяться всі задокументовані відомості, які зберігаються на певному підприємстві або в організації будь-якої форми власності, поширення яких є небажаним для самої особи. Це пов'язано з тим, що такі відомості, як правило, є даними щодо певних особливостей діяльності компанії або фірми, розголошення яких може завдати шкоди їх власнику.

Якщо говорити юридичними термінами, то перших статтях Закону " Про інформацію " говориться у тому, що поняття має на увазі під собою документовані відомості, доступ яких охороняється від всебічного втручання законодавством Росії, чинним нині.

Законодавче регулювання

Поняття конфіденційної інформації, її види та характеристика закріплені у певних нормативних актах, які нині діють на території Росії. Які відносяться до них?

Головну роль визначенні такого поняття відіграє Закон "Про інформацію", який закріплює саме поняття як у загальному, так і у вузькому сенсах. Що ж до видів конфіденційної інформації з законам РФ, їх повний перелік детально представлений у положеннях, прописаних в Указі Президента №188.

До того ж, конфіденційну інформацію можуть становити відомості щодо конкретної особи - такі дані іменуються персональними даними. Регулювання цього поняття провадиться на підставі статей Закону "Про персональні дані".

Забезпечення безпеки конфіденційної інформації, отриманої внаслідок ведення діяльності певного характеру, у Росії відбувається виходячи з актів галузевого законодавства. Зокрема, до таких належать закони "Про нотаріат", Про адвокатську діяльність", "Про лікарську таємницю" тощо.

Крім усього цього, окрему увагу слід приділяти збереженню інформації, яка є таємницею діяльності підприємства. Дані положення добре регулює Закон "Про комерційну таємницю".

Методи регулювання конфіденційної інформації

Щоб забезпечити належну безпеку інформації, що становить конфіденційні відомості, законодавець передбачив певний перелік заходів та методів, які дозволяють робити це.

Так, законодавець наголошує на тому, що для того, щоб забезпечити збереження конфіденційних відомостей, необхідно чітко визначитися, які дані підходять до їх числа. З цією метою передбачається встановлення самого поняття "конфіденційна інформація", види її, а також певний перелік відомостей, які можуть становити її.

Крім цього, для забезпечення збереження відомостей, що становлять таємницю, законодавець передбачає певний порядок видачі фактів, віднесених до цієї категорії, а також певні заборонина дії, наявність яких може призвести до порушення встановленого режиму безпеки інформації, відведеної під секретну групу.

Види

Щодо основних видів конфіденційної інформації, то на практиці можна зустріти невелику їх кількість. Усі вони перераховані у змісті Указу Президента №188, який було видано 1997 року.

Персональні дані

Якщо говорити коротко, вид конфіденційної інформації, що є персональними даними, має на увазі під своїм поняттям певний спектр даних, що стосуються безпосередньо певної особи, що іменується в юридичній практиці суб'єктом персональних даних. Які відомості належать до цієї групи даних? Насамперед, під ними маються на увазі особисті відомості - прізвище, ім'я, а також по батькові. Крім цього, серед відомостей, що становлять персональну інформацію, законодавець визначає адресу, за якою особа прописана або здійснює своє проживання, місце народження та дату, місце фактичного перебування в певний момент. До списку даних, що є конфіденційною інформацією, також відносять і відомості, що є в документах, що засвідчують особу людини (дату і місце її видачі, серію, номер тощо)

Окрім іншого, до переліку відомостей, що становлять персональні дані, законодавець також визначає і ту інформацію, яка відома співробітникам органів РАГС внаслідок виконання ними своїх професійних обов'язків.

Законодавець визначає особливі принципи твору обробки даних, які є персональною інформацією. Безумовно, всі вони мають бути дотримані належним чином. Практика показує, що це дозволяє точно забезпечити збереження даних.

p align="justify"> Робота з конфіденційної інформації в російському законодавстві передбачає дотримання відповідності всіх цілей, для яких здійснюється обробка наданих особою відомостей, тим, що були заявлені як ті, для яких вимагалися дані. Крім цього, їх обсяг має повністю відповідати тому, що необхідне реалізації заявленої мети.

Законодавець передбачає те, що всі дані, які були відведені під групу відомостей, що становлять персональну інформацію, мають бути виключно достовірними. Що ж до органів та фахівців, які проводять їх обробку, то вони не повинні використовувати ті відомості, які не потрібні для досягнення поставленої мети.

Що ж до процесу зберігання даних, воно має здійснюватися лише в такий спосіб, щоб за наданими відомостями можна було визначити їх власника. Якщо говорити про терміни, протягом яких повинен проводитися процес зберігання даний вид конфіденційної інформації з класифікації, що розглядається в цій статті, то він не повинен перевищувати той час, який потрібний для реалізації поставленої мети. Після закінчення відведеного періоду всі дані мають бути знищені у встановленому порядку. Те саме слід зробити тоді, коли відсутня необхідність використання відомостей.

Обробка персональних даних

Існують певні правила обробки персональних даних, які обов'язково слід враховувати у процесі роботи з ними. Так, цей процес здійснюється виключно відповідно до всіх вимог, які подано у статтях ФЗ "Про інформацію". Відповідно до наведених у ньому положень, обробку даних може здійснювати виключно оператор і лише за згодою самої особи.

У певних випадкахдана згода не потрібна. Зокрема це стосується того моменту, коли обробка персональних даних проводиться для отримання статистичних даних або для вивчення, підтвердження наукових тверджень. У деяких випадках це необхідно для того, щоб захистити життя і здоров'я людей, а також деякі інші інтереси, віднесені до групи життєво важливих. У тому випадку, якщо журналіст займається здійсненням своєї професійної діяльності, тоді коли факт отримання ним інформації не завдасть істотних збитків особі, яка є власником даних, він також може використати відомості у своїй роботі.

У юридичній практиці нерідко трапляються такі ситуації, коли використання персональних даних особи без її згоди на те, провадиться з метою забезпечення дотримання вимог, передбачених договором, виконання його положень. Однак це можливо лише в тому випадку, коли однією з його сторін є суб'єкт, який займається підприємницькою діяльністю.

комерційна таємниця

Це особливий вид конфіденційної інформації. Правовий спосіб її захисту та зберігання також відрізняється своїми певними особливостями. У чому вони?

Насамперед, слід розуміти те, що комерційна таємниця - це інформація, яка є особливостями виробництва товарів, а також ведення бізнесу, при розкритті якої підприємство або організація просто перестане отримувати дохід.

Слід розуміти ще й те, що поряд із комерційною таємницею в юридичній практиці існує й службова. Це поняттяможе бути використане лише у певних державних службах. Вона є секретною інформацією, що охороняється законом в особливому порядку. Щодо її змісту, то воно, як правило, стосується особливостей несення державної служби, які приховані від загального огляду та мають режим закритого чи обмеженого доступу.

Основні положення, що стосуються комерційної та службової таємниці, регулюються нормами, прописаними у статтях Законів "Про комерційну таємницю" та "Про службову таємницю".

За розголошення особами, які є носіями інформації, що представляє собою службову або комерційну таємницю, довірених їм відомостей, вони можуть бути піддані відповідальності різних видів: кримінальної, цивільно-правової, адміністративної, а також дисциплінарної, що особливо часто застосовується на різних підприємствах.

Документовані інформаційні ресурси

Це один із основних видів конфіденційної інформації, який дуже часто використовується як серед юридичних, так і серед фізичних осіб. Вона має особливий режим забезпечення безпеки представлених даних, та її оформлення представлено у спеціальній формі.

Так, документованим інформаційним ресурсом визнаються відомості певного характеру, які зафіксовані на носії матеріального типу із зазначенням окремих реквізитів, перелік яких для кожного варіанта документа представлений у законодавстві окремо.

Що стосується виду носія конфіденційної інформації, то як нього, як правило, використовується папір. Вся фіксація відомостей на носії повинна здійснюватися у суворій відповідності до зазначених у документі вимог. На ці матеріальні носії може бути встановлене право власності, що здійснюється відповідно до норм цивільного законодавства.

Професійна та слідча таємниця

У Росії, як і в інших державах, є певний перелік професій, які в силу своїх особливостей передбачають обробку особами певних даних, які становлять інформацію, заборонену для розголошення. До таких груп осіб, насамперед належать адвокати, нотаріуси, спеціалісти в галузі медицини тощо. . Так, наприклад, через особливості своєї діяльності, нотаріус знає про особливості укладання будь-яких угод, а також про їх зміст. Однак особа, яка займається провадженням нотаріальної діяльності, не може жодним чином розголошувати третім особам отримані ним відомості.

Які види цінної конфіденційної інформації належать до цієї групи? Насамперед, законодавець визначає такий відомості, що є в особистому листуванні, телефонних переговорах, листах та інших відправленнях, які відбуваються через поштові відділення, телеграфи, а також інші повідомлення, взяті з інших джерел. У такому випадку лише користувач поштових або, наприклад, телеграфних послуг має право дати згоду на розголошення даних, що складають. До таких можуть бути віднесені дані, подані в медичних картках, відомості про факт удочеріння чи усиновлення, про безпеку будівлі школи, під чим мається на увазі її антитерористична захищеність тощо.

Окрему увагу слід приділити ще одному існуючому юридичній практиці поняття - такому, як слідча таємниця. Відомості, отримані під час проведення розслідувань, і навіть ведення оперативної діяльності, також підлягають розголошенню, особливо, особами, які мають до них прямий чи опосередкований доступ. Ще один вид інформації, що охороняється законом - судочинства. Забезпечувати належну безпеку відомостей, віднесених до цієї групі, зобов'язані всі працівники апарату суду, а особливо, ті, що мають пряме відношення до розгляду справи. У тому випадку, якщо особа порушує встановлений режим, у результаті відбувається витік секретних відомостей, може понести відповідальність - дисциплінарну чи кримінальну, залежно від цього, наскільки серйозні наслідки спричинило у себе діяння і яку форму провини має досконале действие.

Відомості про сутність винаходу

Окрему увагу законодавець приділяє питанню, пов'язаному із забезпеченням збереження відомостей, які становлять сутність винаходів або будь-яких корисних моделей. Збереження відомостей повинна охоронятися доти, доки вона не буде заявлена ​​у світ офіційно, а також не буде опублікована інформація про об'єкти.

Яким чином забезпечується захист представлених об'єктів? Усі заходи, які вживає для цього держава, передбачені статтями Цивільного кодексу у частині 4.

Дане поняття та вид конфіденційної інформації передбачає особливий характер її захисту. Зокрема, вона може бути представлена ​​в юрисдикційній формі, яка проводиться за участю спеціалізованих державних органів, а також створення патенту на цей особливий винахід.

Нерідко захист нових винаходів здійснюється у цивільно-правовій формі. Фахівці у сфері юриспруденції зазначають, що вона застосовується, зазвичай, у разі, коли ліцензіат усвідомлено чи випадковим чином порушує прописані у договорі правничий та свідомо ухиляється від передбачених його змістом обов'язків. Як правило, за результатами проведення такої форми захисту потерпіла сторона отримує компенсаційну виплату, розмір якої дорівнює сумі завданих збитків.

Крім представлених вище форм захисту цього виду конфіденційної інформації, існує також адміністративний порядок. Він передбачає письмове звернення сторони, чиї законні інтереси були защемлені, до спеціального органу - Палати патентного відомства, яка належить до групи апеляційних органів. Законодавець передбачає досить тривалий процес розгляду поданої заявки, який може тривати до 4 місяців. За результатами процедури, як правило, орган ухвалює своє рішення на користь постраждалої сторони. Насправді така практика особливо користується популярністю серед власників патенту, який визнається недійсним.

Захист засекречених відомостей

Види конфіденційної інформації та їх захист прописані в положеннях різних законів, серед яких є чимало галузевих. Щодо захисту відомостей, то вона передбачає комплекс певних заходів, які створюють перешкоди доступу до даних. До них може бути віднесена необхідність зберігання документів-носіїв секретних відомостей у спеціальних сейфах, передачу електронних даних по локальної мережі, обмеження списку осіб до даних тощо.

Крім всього цього, при порушенні встановлених вимог, винна особа зобов'язана понести покарання, пропорційне завданих їм збитків.

Конфіденційна інформація у трудових відносинах Іванов Дмитро Вікторович

1.1. Конфіденційна інформація

В умовах ринку та конкуренції виникають проблеми, пов'язані із забезпеченням безпеки не тільки фізичних та юридичних осіб, їх майнової власності, а й інформації, що має комерційне значення, інших відомостей, зокрема, про результати інтелектуальної діяльності: секрети виробництва, службові секрети виробництва та ін. .

Інформація має ряд властивих їй властивостей.

Корисність інформації полягає в тому, що вона створює суб'єкту вигідні умови для ухвалення оперативного рішення та отримання ефективного результату.

У свою чергу корисність інформації (особливо комерційної) залежить від своєчасного її доведення до суб'єкта підприємництва. Наприклад, через несвоєчасне надходження корисних за своїм змістом відомостей упускається можливість укласти вигідну торгову або іншу угоду. Результат – час втрачено, інформація втрачає свою корисність.

Критерії корисності та своєчасності тісно взаємопов'язані та взаємозалежні з критерієм достовірності оцінюваної інформації. Недостовірні відомості зводять до нульового ефекту своєчасність і їх корисність для суб'єкта підприємництва.

Цінність інформації - це комплексний показник її якості, міра придатності для прийняття рішень у конкретній сфері. Звідси комерційна цінність інформації – це її придатності (корисності) прийняття рішень у комерційної діяльності. Цінність інформації складається з достовірності, актуальності, повноти, корисності та своєчасності інформації.

Для підприємницької діяльності, отже, й у трудових відносин (т. е. підприємця – роботодавця), особливе значення має комерційна інформація. У зарубіжній економічній літературі підприємницька інформація розглядається не як засіб досягнення позитивного результату (прибутку), а, перш за все, як умова, що сприяє або перешкоджає його наступу (наприклад, у законодавстві Великобританії іноземні юристи виділяють таке поняття, як бізнес-інформація) .

На думку англійських правознавців (Лі, Мартіна, Хейда), у ринковій економіці інформація також є товаром, і її отримання, зберігання, передача та використання повинні підкорятися законам товарно-грошових відносин. Кожен власник має право охороняти свої інтереси та захищати необхідну інформацію, отримуючи у своїй певну свободу підприємництва. Право на таємницю означає обмеження державного втручання в економічне життя підприємства та захист його інтересів при взаємодії з іншими суб'єктами ринкових відносин. Головне призначення бізнес-інформації – забезпечувати підприємству економічні переваги у конкурентній боротьбі.

Інформація як поняття має різні аспектививчення. У перекладі з латинського «informatio» – роз'яснення, виклад, повідомлення, тлумачення, подання, інакше кажучи, відомості про щось, що є об'єктом збору, зберігання та переробки. Таке визначення дається в економічному словнику.

Наприкінці 50-х років один із основоположників кібернетики Норберт Вінер визначив інформацію як «позначення змісту, отриманого із зовнішнього світу в процесі нашого пристосування до нього та пристосування до нього наших почуттів. Процес отримання та використання інформації є процесом нашого пристосування до випадковостей довкілля та нашої життєдіяльності у цьому середовищі». У даному визначеннівчений вперше торкається проблеми неповноти одержуваної індивідом інформації, з одного боку, і необхідність захисту відомостей від «випадків довкілля» – з іншого.

Правове поняття інформації дано у п. 1 ст. 2 Федерального закону «Про інформацію, інформаційні технології та захист інформації» від 27 липня 2006 р. № 149-ФЗ (далі – Закон про інформацію): інформація – відомості (повідомлення, дані) незалежно від форми їх подання. У п. 1 ст. 5 зазначеного Закону йдеться про те, що інформація може бути об'єктом громадських, цивільних та інших правових відносин. Треба сказати, що передбачаються деякі зміни термінології, передбачені проектом Федерального закону № 404643-5 «Про внесення змін до деяких законодавчих актів Російської Федераціїу зв'язку з прийняттям Федерального закону „Про інформацію, інформаційні технології та захист інформації“, розглянутого в першому читанні Державною ДумоюРФ 6 жовтня 2010 р., а саме слова „конфіденційна інформація“ замінити словами „інформація, щодо якої встановлено вимогу щодо забезпечення її конфіденційності,“ або словами „інформація обмеженого доступу“.

Інформація може вільно використовуватися будь-якою особою і передаватися однією особою іншій особі, якщо федеральними законами не встановлено обмеження доступу до інформації або інші вимоги до її надання чи поширення. Таким чином, термін «інформація» стає універсальним, він позначає будь-які відомості про будь-кого або про що-небудь, одержувані з будь-якого джерела в будь-якій формі: письмовій, усній, візуальній і т. п. У даному визначенні відомості розуміються як реальні об'єкти соціального життя: особи, предмети, факти, події, явища, процеси Ці відомості можуть бути і об'єктом пізнання, і ресурсом поповнення інформаційної бази: з одного боку, відомості можуть бути отримані в результаті дослідження навколишньої дійсності та долучені до вже існуючої об'єктивної системи знань про світ, а з іншого – бути об'єктом пошуку, що виробляється конкретним споживачем досягнення його цілей.

Крім того, при взаємодії інформації та суспільства відбувається зміна соціальних регуляторів (моралі, права), а також структурна зміна всього суспільства під впливом технічних та технологічних процесів. Повсюдне впровадження інформаційних технологій та заснованих на них інформаційних телекомунікаційних мереж призвело до формування глобального міждержавного інформаційного віртуального простору, в якому інформація обертається у незвичній для традиційного права електронній формі.

Таким чином, посилення інформаційної залежностілюдини від зростаючого обсягу споживаної інформації вимагає впорядкування та системної організації самої інформації, зокрема за допомогою норм права.

Родоначальником окремого інформаційно-правового спрямування спочатку радянського, а нині російського правознавства став А. Б. Венгеров. Він виділив певні ознаки (властивості) інформації, принципово значущі для правового опосередкування відносин щодо інформації (інформаційних відносин). До них, зокрема, відносяться відома самостійність інформації стосовно свого носія; можливість багаторазового використання однієї й тієї інформації; її невичерпність при споживанні; збереження переданої інформаціїу передавального суб'єкта (це ознакою інформація принципово відрізняється від речових матеріальних об'єктів); здатність до збереження, агрегування, інтегрування, накопичення, «стиснення»; кількісна визначеність; системність.

Якість сучасного рівня правового регулювання відносин щодо інформації багато в чому визначається ступенем обліку законодавцем цих ознак (властивостей).

Перше російське легальне визначення поняття «інформація» було дано у Федеральному законі «Про інформацію, інформатизацію та захист інформації» від 20 лютого 1995 р. № 24-ФЗ, у ст. 2 якого говорилося, що інформація – це відомості про осіб, предмети, факти, події, явища та процеси незалежно від форми їх надання. У чинному Федеральному законі «Про інформацію, інформаційні технології та захист інформації» від 27 липня 2006 р. № 152-ФЗ визначення інформації, як вище говорилося, представлено в більш загальному вигляді. Інформацією є будь-які відомості (повідомлення, дані) незалежно від форми їх надання.

Пункт 3 ст. 5 Закону про інформацію містить класифікацію інформації залежно від порядку її надання чи розповсюдження. Так, з цієї підстави інформація поділяється на вільно поширювану; що надається за згодою осіб, які беруть участь у відповідних відносинах; інформацію, яка відповідно до федеральних законів підлягає наданню чи розповсюдженню; інформацію, поширення якої у Російської Федерації обмежується чи забороняється, наприклад, інформація, що становить державну чи комерційну таємницю. У п. 2 цієї статті наводиться поділ інформації залежно від категорії доступу до неї. З цієї підстави інформація може бути доступною; обмежений доступ.

Основи правового режиму інформації обмеженого доступу було встановлено у ст. 10 Федерального закону від 20 лютого 1995 р. № 24-ФЗ «Про інформацію, інформатизації та захист інформації». Частина 2 ст. 10 визначала два базові типи інформації обмеженого доступу: інформація, віднесена до державної таємниці (тобто секретна), та конфіденційна інформація.

Обмеження доступу до інформації встановлюється федеральними законами з метою захисту основ конституційного ладу, моральності, здоров'я, правий і законних інтересів інших, забезпечення оборони держави та безпеки держави (п. 1 ст. 9 Закону про інформацію). Таким чином, конфіденційною може бути будь-яка інформація, яка може спричинити зазначені наслідки. Конфіденційна інформація може виражатися у секретах виробництва, відомостях, недоступних іншим, а й бути таємницею. Російське законодавство встановлює різні види таємниці: державну, комерційну, службову, професійну, іншу, і навіть персональні дані. Регулюванню відносин, пов'язаних із персональними даними, присвячено спеціальний Федеральний закон «Про персональні дані», прийнятий 27 липня 2006 р. № 152-ФЗ (далі – Закон про персональні дані).

Конфіденційну інформацію визначено у п. 7 ст. 2 Закону про інформацію через вимогу не передавати таку інформацію третім особам без згоди її власника. Треба сказати, що її режим досить різко критикується в літературі як невизначений. Федеральний закон від 27 липня 2006 р. № 149-ФЗ «Про інформацію, інформаційні технології та захист інформації» використовує лише найзагальніші нормативні установки, наприклад: «Федеральними законами встановлюються умови віднесення інформації до відомостей, що становлять комерційну таємницю, службову таємницю та іншу таємницю, обов'язковість дотримання конфіденційності такої інформації, а також відповідальність за її розголошення» (ч. 4 ст. 9).

Саме слово «конфіденційність» у перекладі з латинської означає «довіру» (тобто передаючи таку інформацію, ми сподіваємося на її збереження та нерозповсюдження, оскільки її розголошення може завдати сторонам певної шкоди). Це визначення небездоганне. Навряд чи можна погодитися з визначенням конфіденційної інформації знову-таки через інформацію з обмеженим доступом, що не містить державної таємниці, по-перше, тому, що таке визначення виявляється в замкнутому колі: не можна визначати подібне до подібних; по-друге, державна таємниця – це також конфіденційна інформація.

Виникає питання про співвідношення конфіденційної інформації та інформації обмеженого доступу. Поняття інформації, що у обмеженому обороті, дуже «молоде» навіть за мірками російського інформаційного права, пише З. У. Комлев. Вперше це поняття було введено до Федерального закону «Про кредитні історії». Незважаючи на те, що смисловий зміст поняття інформації, що знаходиться в обмеженому обороті, активно використовувався і раніше, законодавець офіційно ввів його в російську правову систему лише на початку 2005 р. Відповідно до ч. 4 ст. 7 зазначеного законодавчого акта сукупність інформації, що міститься в титульній, основній та додатковій (закритій) частинах кредитних історій, є обмежено обернездатним об'єктом. Видається не тільки досить зручним, але й обґрунтованим і можливим поширити цей термін на весь спектр інформації, яка хоч і не належить до державної таємниці, але вільне поширення якої завдасть істотної шкоди суспільним відносинам. Під інформацією, що знаходиться в обмеженому обороті, слід розуміти інформацію, власник якої вживає заходів до її охорони та захисту та вільне поширення якої може порушити права і свободи людини або торкнутися її законних інтересів, а також може завдати шкоди економічним інтересам організації.

До інформації, яка перебуває в обмеженому обороті, належать відомості, що становлять:

1) комерційну таємницю; 2) аудиторську таємницю; 3) банківську таємницю; 4) податкову таємницю; 5) таємницю страхування; 6) таємницю зв'язку; 7) таємницю заповіту; 8) адвокатську таємницю; 9) лікарську таємницю; 10) таємницю усиновлення дитини; 11) зміст кредитних історій фізичних, юридичних осіб та індивідуальних підприємців.

З наведеного переліку видно, інформація, що у обмеженому обороті, зустрічається у багатьох сферах життя. Інформація, що у обмеженому обороті, характеризується такими ознаками: вона є державної таємницею; в інформації містяться відомості, вільний оборот яких може завдати шкоди власнику даних відомостей або особі, відомості про яку містяться в інформації. Власник або законний власник вживає заходів щодо охорони та захисту інформації.

Треба сказати, що чинне законодавство, точно не визначаючи конфіденційну інформацію, ускладнює і розуміння співвідношення безумовно близьких і взаємозалежних категорій, зокрема конфіденційної інформації та інформації обмеженого доступу, комерційної, службової, професійної, іншої таємниці, секретів виробництва, службових творів. Цьому перешкоджає різнобій термінології різних нормативних правових актів, що регулюють відносини, а в деяких випадках і колізія деяких норм законів, про що більш докладно нижче, коли йтиметься про конкретні види конфіденційної інформації. Аналізуючи нормативні правові акти, які мають пряме відношення до питання, можна констатувати, що інформація поділяється на 1) загальнодоступну; 2) інформацію обмеженого доступу (термінологія ст. 7 та 9 Закону, яка, як можна судити за текстом, тотожна відомостям конфіденційного характеру(Термінологія Указу Президента РФ від 6 березня 1997 р. в ред. Указу Президента РФ від 23 вересня 2005 р.). У свою чергу, інформація обмеженого доступу (відомості конфіденційного характеру) поділяється на персональні дані, комерційну, службову, професійну та інші таємниці. Осібно стоїть державна таємниця, хоча вона, зрозуміло, є конфіденційними відомостями.

Заслуговує на увагу думка Є. К. Вовчинської, яка вважає, що можна виділити кілька умов, необхідних і достатніх для встановлення режимів конфіденційності:

- Зацікавленість суб'єкта в обмеженні доступу до інформації, що свідчить про те, що конкретна інформація представляє для нього цінність (в моральному, матеріальному або іншому аспекті);

– наявність інтересу (права) інших суб'єктів отримання та/або використання цієї інформації, т. е. власник, реалізуючи свій інтерес, нічого не винні порушувати законні права інших суб'єктів отримання інформації;

- право обмежувати доступ до інформації може поширюватися тільки на інформацію, отриману законним шляхом, у тому числі самостійно, за договором, даром тощо;

– інформація, доступ до якої обмежується, не має бути загальновідомою;

- Власник інформації, до якої він хоче обмежити доступ, повинен забезпечити необхідні заходи захисту інформації - встановити режим таємниці.

Указом Президента Російської Федерації від 6 березня 1997 р. № 188 (у редакції Указу Президента РФ від 23 вересня 2005 р. № 1111 встановлено перелік відомостей конфіденційного характеру:).

1. Відомості про факти, події та обставини приватного життя громадянина, що дозволяють ідентифікувати його особистість (персональні дані), за винятком відомостей, що підлягають поширенню у засобах масової інформації у встановлених федеральними законами випадках.

2. Відомості, що становлять таємницю слідства та судочинства, а також відомості про особи, що захищаються, та заходи державного захисту, що здійснюється відповідно до Федерального закону від 20 серпня 2004 р. № 119-ФЗ «Про державний захист потерпілих, свідків та інших учасників кримінального судочинства» та іншими нормативними правовими актами Російської Федерації.

3. Службові відомості, доступ до яких обмежений органами державної владивідповідно до Цивільного кодексу Російської Федерації та федеральними законами (службова таємниця).

4. Відомості, пов'язані з професійною діяльністю, доступ до яких обмежений відповідно до Конституції Російської Федерації та федеральних законів (лікарська, нотаріальна, адвокатська таємниця, таємниця листування, телефонних переговорів, поштових відправлень, телеграфних чи інших повідомлень тощо. буд.).

5. Відомості, пов'язані з комерційною діяльністю, доступ до яких обмежений відповідно до Цивільного кодексу Російської Федерації та федеральними законами (комерційна таємниця).

6. Відомості про сутність винаходу, корисної моделі або промислового зразка до офіційної публікації інформації про них.

Відповідно до ст. 5 Закону «Про комерційну таємницю» від 29 липня 2004 року до відомостей, які не можуть становити комерційну таємницю, належать перелічені у п. 1–11:

3) про склад майна державного чи муніципального унітарного підприємства, державної установи та про використання ними коштів відповідних бюджетів;

4) про забруднення навколишнього середовища, стан протипожежної безпеки, санітарно-епідеміологічної та радіаційної обстановки, безпеки харчових продуктів та інші фактори, що негативно впливають на забезпечення безпечного функціонування виробничих об'єктів, безпеки кожного громадянина та безпеки населення в цілому;

5) про чисельність, про склад працівників, про систему оплати праці, про умови праці, у тому числі про охорону праці, про показники виробничого травматизму та професійної захворюваності та про наявність вільних робочих місць;

6) про заборгованість роботодавців з виплати заробітної плати та з інших соціальних виплат;

7) про порушення законодавства Російської Федерації та факти притягнення до відповідальності за вчинення цих порушень;

8) про умови конкурсів чи аукціонів із приватизації об'єктів державної чи муніципальної власності;

9) про розміри та структуру доходів некомерційних організацій, про розміри та склад їх майна, про їх витрати, про чисельність та про оплату праці їх працівників, про використання безоплатної праці громадян у діяльності некомерційної організації;

10) про перелік осіб, які мають право діяти без довіреності від імені юридичного лиця;

11) обов'язковість розкриття яких або неприпустимість обмеження доступу до яких встановлено іншими федеральними законами.

Віднесення інформації до конфіденційної здійснюється у порядку, встановленому законодавством України, а саме ст. 9 Закону про інформацію. Відповідно до нього «Федеральними законами встановлюються умови віднесення інформації до відомостей, що становлять комерційну таємницю службову таємницю та іншу таємницю обов'язок дотримання конфіденційності такої інформації, а також відповідальність за її розголошення» (п. 4). Поняття конфіденційної інформації досить широке, оскільки до цієї категорії, мабуть, відносяться всі види інформації обмеженого доступу, що захищається законом, – комерційна, професійна та інші таємниці, а також деякі інші відомості, щодо яких встановлено режим конфіденційності.

Перелік відомостей, що становлять конфіденційну інформацію, не підлягає розширеному тлумаченню. Тому довільне віднесення будь-ким до розряду конфіденційної іншої, не передбаченої переліком інформації, не тягне за собою правових наслідків. Загальнодоступною інформацією є відомі відомості та інша інформація, доступ до якої не обмежений. Встановленню правового режиму загальнодоступної інформації присвячено ст. 7 Закону про інформацію. До загальнодоступної інформації належать відомі відомості та інша інформація, доступ до якої не обмежений. Загальнодоступна інформація може використовуватися будь-якими особами на їх розсуд за дотримання встановлених федеральними законами обмежень щодо поширення такої інформації. Власник інформації, що стала загальнодоступною за його рішенням, має право вимагати від осіб, які розповсюджують таку інформацію, вказувати своє ім'я як джерело такої інформації.

У п. 1 ст. 6 Закону про інформацію надано поняття «власник інформації», під яким розуміється фізична, юридична особа, Російська Федерація, її суб'єкт, муніципальна освіта, які або самотужки створили інформацію, або набули на підставі закону або договору право надавати або обмежувати можливість інших осіб отримувати та використовувати певну інформацію. Привертає увагу, проте, що з цього перерахування випадають організації без освіти юридичної особи, що аж ніяк небайдуже для трудових відносин, тому що ці організації можуть бути роботодавцями (ст. 20 ТК РФ).

Предметом володіння є відомості незалежно від форми їх надання.

У колишньому законодавстві суб'єкт, який здійснює права власності щодо інформаційних ресурсів, інформаційних систем, технологій та засобів їх забезпечення лише у частині володіння та користування ними, а також реалізує повноваження розпорядження в межах, встановлених Законом, іменувався власником зазначених об'єктів.

З точки зору трудового права цікаво визначити, за яких обставин як та, так і інша сторона трудового договору може мати конфіденційну інформацію, і якого саме виду.

Виходячи із змісту ст. 6 Закону про інформацію, роботодавець – безумовний власник як виробничої, технічної, економічної, організаційної та іншої конфіденційної інформації, і інформації, що стосується працівника, необхідної роботодавцю з виконання працівником своєї трудової функції (ст. 65, 88 ТК РФ). Працівник також може бути власником виробничої та іншої інформації, по-перше, тому, що вона може бути довірена йому роботодавцем як необхідна для виконання трудової функції, по-друге, працівникові можуть належати результати інтелектуальної діяльності, створені в процесі трудової діяльності, а саме : винаходи; корисні моделі; промислові зразки і т. п. (ст. 1225 ЦК України). З іншого боку, з глави 14 ТК РФ і Закону «Про персональні дані» від 27 липня 2006 р. № 152-ФЗ працівник – фізична особа є суб'єктом персональних даних (п. 1 ст. 3).

Однак при цьому треба мати на увазі таке.

Відповідно до главі 70 частини четвертої ДК РФ, на відміну нечинного нині Закону про авторські права 1993 р., інакше вирішуються питання авторських прав на службові твори. Свого часу у ст. 14 Закону про авторське право службові твори ділилися на твори, створені «у порядку виконання службових обов'язків» та «у порядку службового завдання» роботодавця. Ці два положення відрізняються один від одного тим, що при виконанні службового завдання працівнику дається пряма вказівка ​​про створення певного твору, причому така вказівка ​​може не випливати з його службових обов'язків та перебувати за рамками таких обов'язків. У п. 1 ст. 1295 ГК РФ поняття службового твору звужено таким чином, що під нього підпадають лише твори, створені в межах встановлених для працівника трудових обов'язків, та взаємини працівника та роботодавця з приводу службового завдання повинні регулюватися додатковою угодою.

Будь-які умови, що стосуються взаємовідносин між працівником (автором) та роботодавцем з приводу службового твору, можуть бути узгоджені як у трудовому, так і в іншому договорі (абз. 1 п. 2 ст. 1295 ЦК України). Хоча службові твори створюються в рамках трудових відносин, слід погодитися з думкою В. А. Дозорцева, що трудовий договір у цьому випадку є підставою укладання цивільно-правового договору, оскільки суб'єктивні цивільні права, включаючи право на отримання автором винагороди від роботодавця, можуть надаватися лише за цивільно-правовим договором.

Якщо продовжувати розглядати фігуру власника інформації, необхідно сказати, що у Законі про інформацію з'являється особливий суб'єкт правовідносин у сфері інформації – оператор інформаційної системи. Визначення його поняття вперше надано у Законі «Про персональні дані», у п. 2 ст. 3 якого сказано, що оператор - державний орган, муніципальний орган, юридична або фізична особа, що організують та (або) здійснюють обробку персональних даних, а також визначальні цілі та зміст обробки персональних даних. За загальним правилом, оператором вважається власник використовуваних при цьому технічних засобів, хоча у ч. 5 ст. 14 Закону про інформацію міститься виняток із цього правила, зроблений щодо державних інформаційних систем: при створенні такої системи її оператором може бути і особа, з якою цей власник уклав договір про експлуатацію інформаційної системи. Якщо інформаційна система не є державною чи муніципальною, то порядок її створення та експлуатації визначається її оператором (ч. 6 ст. 13 Закону про інформацію). Тому перш ніж залучити оператора до надання послуг з експлуатації інформаційної системи та укласти з ним відповідний договір, важливо ознайомитись з його внутрішніми правилами або положеннями (які зазвичай включаються до умов договору і тому мають юридичну силу для сторін).

З урахуванням висловлених міркувань можна запропонувати обговорення таке визначення поняття конфіденційної інформації.

Під конфіденційною інформацією слід розуміти легально отриману інформацію, яка в силу закону чи іншого акта, що має юридичне значення, доступна суворо певному колуосіб та щодо якої встановлено режим певного роду секретності.

З книги Федеральний Закон про саморегулівні організації автора Дума Державна

Стаття 7. Розкриття саморегулівною організацією інформації та захист саморегулівною організацією інформації від її неправомірного використання 1. Саморегульована організація зобов'язана розкривати шляхом її опублікування у засобах масової інформації та

Із книги Податковий кодекс Російської Федерації. Частини перша та друга. Текст із змінами та доповненнями на 1 жовтня 2009 р. автора Автор невідомий

Стаття 93.1. Вимагання документів (інформації) про платника податків, платника зборів та податкового агента або інформацію про конкретні угоди 1. Посадова особа податкового органу, яка проводить податкову перевірку, має право витребувати у контрагента або в інших осіб,

З книги Кодекс Російської Федерації про адміністративні правопорушення. Текст із змінами та доповненнями на 1 листопада 2009 р. автора Автор невідомий

Стаття 15:12. Випуск або продаж товарів та продукції, щодо яких встановлені вимоги щодо маркування та (або) нанесення інформації, необхідної для здійснення податкового контролю, без відповідного маркування та (або) інформації, а також з порушенням

З книги Кримінальний кодекс України в анекдотах автора Ківалов С В

Стаття 361-2. Несанкціонований збут або розповсюдження інформації з обмеженим доступом, що зберігається в електронно-обчислювальних машинах (комп'ютерах), автоматизованих системах, комп'ютерних мережахабо на носіях такої інформації 1. Несанкціонований збут

З книги Шпаргалка з міжнародного права автора Лукін Е Е

70. ПОНЯТТЯ МІЖНАРОДНОГО ПРАВА МАСОВОЇ ІНФОРМАЦІЇ До засобів масової інформації належать радіомовлення, телевізійне мовлення, поширення тиражованої друкованої, звукової та візуальної продукції (книги, газети, журнали, грамплатівки, компакт-диски,

З книги Шпаргалка по інформаційному праву автора Якубенко Ніна Олегівна

2. ПОНЯТТЯ ТА ВИДИ ІНФОРМАЦІЇ: ДОКУМЕНТОВАНА ТА НЕДОКУМЕНТОВАНА ІНФОРМАЦІЯ Існують різні підходи до розуміння інформації. повідомлення,

З книги Правове регулювання рекламної діяльності автора Богацька Софія Германівна

З книги Кодекс про Правопорушення Республіки Молдова чинний з 31.05.2009 автора Автор невідомий

Стаття 75. Розголошення конфіденційної інформації про медичному оглядіщодо виявлення інфікування вірусом імунодефіциту людини (ВІЛ), що викликає захворювання на СНІД Розголошення конфіденційної інформації про медичний огляд щодо виявлення інфікування

З книги Журналістське розслідування автора Колектив авторів

4.1. Поняття інформації та методи її обробки Що таке інформація Свого часу знаменитий британський державний діяч Бенджамін Дізраелі зауважив, що, «як правило, найбільшого успіху досягає той, хто має у своєму розпорядженні кращу інформацію». Зрозуміло, що цю саму

З книги Оперативно-розшукова діяльність: удосконалення форм входження її результатів до кримінального процесу автора Царьова Ніна Павлівна

§ 1. Поняття доказів, засобів доведення та відмежування їх від оперативно-розшукової інформації Розвиток правової теорії неможливий без розробки методології. Це стосується будь-якої галузі права, у тому числі до кримінального процесу та оперативно-розшукового.

З книги Релігійна таємниця автора Андрєєв К. М.

Про інформацію, інформаційні технології та захист інформації Федеральний закон від 27 липня 2006 р. № 149-ФЗ (ред. від 02.07.2013) (Витяг) ‹…›Стаття 2. Основні поняття, що використовуються в цьому Федеральному законі‹…›7 ) конфіденційність інформації – обов'язкова для

З книги Конфіденційна інформація у трудових відносинах автора Іванов Дмитро Вікторович

Глава 1 Поняття, види та джерела правового регулювання конфіденційної

З книги Лікарська таємниця. Питання та відповіді автора Аргунова Юлія Миколаївна

1.2. Види та основні джерела правового регулювання конфіденційної

З книги автора

2.3. Відповідальність сторін трудового договору за невиконання обов'язків щодо збереження (нерозголошення) конфіденційної інформації У суспільстві інформація одна із найважливіших елементів бізнесу, та й будь-якої продуктивної діяльності.

З книги автора

Як співвідноситься право на інформацію та право на нерозголошення конфіденційної інформації? Федеральний закон від 27 липня 2006 р. № 149-ФЗ «Про інформацію, інформаційні технології та про захист інформації», розвиваючи положення Конституції РФ, до принципів правового

З книги автора

До якого виду конфіденційної інформації належить лікарська таємниця? Таємниця в загальному розумінні - це "те, що ховається від інших, що відомо не всім, секрет". Етичні норми суспільства припускають, що кожна людина повинна зберігати таємницю, довірену їй іншим

p align="justify"> Процес виявлення та регламентації реального складу інформації, що представляє цінність для підприємця, у тому числі складової таємницю фірми, є основною частиною системи захисту інформації.

Зважаючи на те, що система захисту цінної та конфіденційної інформації є дорогою технологією, визначення складу відомостей, що підлягають захисту, має базуватися на принципі економічної доцільності їхнього захисту. Тому аналіз інформаційних ресурсів фірми здійснюється з урахуванням двох основних критеріїв: ступеня зацікавленості конкурентів у інформації та ступеня цінності інформації (вартісної, правової, ділової).

Для аналізу необхідно мати не тільки повний перелік реальних та потенційних конкурентів, але й знати слабкі та сильні сторониїх діяльності, володіти інформацією про стан справ у кожного конкурента, нововведення, що розробляються, співробітництво зі структурами промислового шпигунства або кримінальними структурами. На цій основі можна з упевненістю визначити, яку інформацію фірма не хотіла б розкривати конкурентам. Необхідно також визначити економічну значимість нововведення, розрахувати величину шкоди від його втрати і на цій основі зробити висновок про те, чи воно є предметом комерційної таємниціта об'єктом захисту.

Слід враховувати, що питання конфіденційності інформації виникає у випадках: прийняття фірмою нової стратегії розвитку, укладання вигідних контрактів, появи технічного або технологічного нововведення, встановлення факту потенційної або реальної загрозицій нововведенню з боку конкурента. При визначенні розміру збитків від можливої ​​втрати інформації враховується вартість продукції, яка не буде вироблена, втрати від заморожування капітальних вкладень, вартість вироблених науково-дослідних робіт та інші збитки.

У процесі аналізу виділяються основні елементи інформації, що відбивають фірмовий секрет. Це дає можливість здешевити системи захисту та зробити її максимально цілеспрямованою, динамічною та ефективною. Захист нововведення, включаючи суспільні його складові, як правило, бажаного результату не дає за рахунок громіздкості системи захисту та труднощі контролю великих обсягів конфіденційної інформації. Масовість засекречування веде до зростання штатної чисельності служб безпеки та, зрештою, до зниження ефективності захисту та втрати інформації. Наприклад, є сенс захищати нову формулу у відомому рецепті виробленого продукту, новий алгоритм відомих дій, новий прилад у обладнанні, що виробляється, і т.п.

Інформація може бути віднесена до комерційної (підприємницької) таємниці та стати конфіденційною за дотримання таких умов:

Інформація не повинна відображати негативні сторонидіяльність фірми, порушення законодавства, фальсифікацію фінансової діяльності з метою несплати податків та інші подібні факти;

Інформація не повинна бути загальнодоступною чи загальновідомою;

Виникнення чи отримання інформації підприємцем має бути законним та пов'язане з витрачанням матеріального, фінансового чи інтелектуального потенціалуфірми;

Персонал фірми повинен знати про цінність такої інформації та бути навчений правил роботи з нею;

Підприємець має бути в змозі виконати реальні дії захисту цієї інформації, тобто. мати, наприклад, засоби для закупівлі чи розробки системи захисту інформації.

Відповідно до постанови Уряду РРФСР «Про перелік відомостей, які можуть становити комерційну таємницю» від 5 грудня 1991 р. до конфіденційним неможливо знайти віднесені такі відомості та документы:

Установчі документи (рішення про створення підприємства або договір засновників) та статут;

документи, що дають право займатися підприємницькою діяльністю (реєстраційні посвідчення, ліцензії, патенти);

Відомості за встановленими формами звітності про фінансово-господарську діяльність та інші відомості, необхідні для перевірки правильності обчислення та сплати податків та інших обов'язкових платежів до державної бюджетної системи РФ;

документи про платоспроможність;

Відомості про чисельність, склад працюючих, їх заробітну плату та умови праці, а також про наявність вільних робочих місць;

Документи про сплату податків та обов'язкових платежів;

Відомості про забруднення навколишнього середовища, порушення антимонопольного законодавства, недотримання безпечних умов праці, реалізації продукції, що завдає шкоди здоров'ю населення, а також інші порушення законодавства РФ і розміри завданих при цьому збитків;

Відомості про участь посадових осіб підприємства у кооперативах, малих підприємствах, товариствах, акціонерних товариствах, об'єднаннях та інших організаціях, що займаються підприємницькою діяльністю.

На відміну від державної таємниці склад відомостей, що становлять комерційну таємницю, державою централізовано не регламентується та визначається індивідуально кожною фірмою. Одночасно фірма встановлює необхідний рівень конфіденційності цих відомостей, ступінь їх захисту, тривалість захисту, її вартість і технологію. Склад цінної та конфіденційної інформації, що підлягає захисту, визначається власником або власником цих відомостей та фіксується у спеціальному переліку. В основі переліку лежить типовий склад відомостей фірм даного профілю, що захищаються.

Перелік конфіденційних відомостей фірми являє собою класифікований список типової та конкретної цінної інформації про виконувані роботи, вироблену продукцію, наукові та ділові ідеї, технологічні нововведення. У ньому закріплюється факт віднесення відомостей до інформації, що захищається, і визначається період (термін) конфіденційності (тобто недоступності для всіх) цих відомостей, рівень (гриф) їх конфіденційності, список посад співробітників фірми, яким надано право використовувати ці відомості в роботі. У перелік включаються дійсно цінні відомості («родзинки») про кожну роботу фірми.

Перелік є постійним робочим матеріалом керівництва фірми, служб безпеки та конфіденційної документації. Тому він має регулярно оновлюватись та коригуватися. Обмеження доступу до інформації, що стосується нової продукції, але не має цінності, застосовуватися не повинно.

Важливим завданням переліку є дроблення комерційної таємниці на окремі інформаційні елементи, відомі різним особам. Закріплення частини інформації за конкретними посадами дозволяє знизити ймовірність розкриття секрету співробітниками та запобігти можливості включення ними до документів конфіденційної інформації.

Перелік необхідний також для виділення конфіденційних документів із загального документопотоку, відповідного їх маркування (грифування) та автономної обробки, використання та зберігання. При розгляді в судах справ про крадіжку співробітниками інформації та понесених фірмою у зв'язку з цим збитках перелік використовується як доказ віднесення цих відомостей до розряду конфіденційних.

Ведення переліку полягає в регулярному його коригуванні та оновленні, що відображають нові перспективні розробки фірми, перехід на випуск нового виду продукції, зміну тематики роботи, напрямів діяльності, кон'юнктуру ринку тощо. У процесі ведення до переліку включається конфіденційна інформація, що відображає реальні нововведення, розробки та винаходи. З цією метою керівники структурних підрозділів фірми чи напрямів її діяльності повинні регулярно складати реєстри нової індивідуальної конфіденційної інформації та інформації, що втратила свою конфіденційність. Реєстри подаються до комісії для внесення змін до переліку.

Переведення відомостей, включених до списку, із категорії конфіденційних у категорію відкритих, тобто. виключення відомостей із переліку, здійснюється комісією з подання керівництва фірми, структурних підрозділів та служби безпеки.

На підставі переліку конфіденційних відомостей служба безпеки або служба КД фірми складає і веде класифікований перелік цінних і конфіденційних документів фірми, що підлягають захисту, із зазначенням грифу, що позначається на них, обмеження доступу та складу співробітників, допущених до цих документів. Перелік складається в рамках структурних підрозділів або напрямків діяльності фірми та регламентує два аспекти роботи співробітників фірми з конфіденційними документами: а) склад створюваних підрозділом документів та документів, що направляються до підрозділу для роботи, та б) склад конфіденційних відомостей, які можуть бути включені до кожного зазначеного у переліку документ. Затверджується список першим керівником компанії.

До переліку включаються також документи, що не містять інформації, що захищається, але представляють цінність для фірми і підлягають охороні. Часто звичайний відкритий правовий акт важливо зберегти в цілісності та безпеці від викрадача або стихійного лиха. Переліки формуються індивідуально кожною фірмою відповідно до рекомендацій спеціальної комісії та затверджуються першим керівником фірми. Ця ж комісія регулярно вносить поточні зміни до переліків відповідно до динаміки виконання фірмою конкретних робіт.

У переліку має бути положення, що збереження комерційної таємниці партнерів є невід'ємною частиною діяльності фірми. Відкрита публікація відомостей, отриманих на договірній або довірчій основі, або є результатом спільної виробничої діяльності, Допускається лише за загальною згодою партнерів. При укладанні будь-якого договору (контракту) сторони повинні брати на себе взаємні письмові зобов'язання щодо захисту конфіденційної інформації іншої сторони та документів, отриманих під час переговорів, та виконання умов договору.

Отже, з метою визначення складу відомостей і документів, що захищаються, кожна фірма повинна складати і регулярно оновлювати відповідні переліки, без яких система захисту інформації фірми не може функціонувати. Важливо, що ці переліки мають індивідуальний характер кожної фірми і відбивають реальну інформаційну сферу напрямів її діяльності, вимоги власника інформації щодо обмеження доступу персоналу до інформації, що становить інтелектуальну власність фірми.

Формування переліку конфіденційних відомостей

Для формування переліку відомостей, що підлягають захисту, доцільно створити групу з наступних фахівців: які займаються фінансовими питаннями, кон'юнктурою ринку та відомостями про конкурентів, що займаються зв'язками з іншими організаціями, що ведуть розробку нових видів товарів, що мають високу конкурентоспроможність, юриста та ін. роботі сторонніх експертів, але не слід їм розкривати всі конкретні відомості, що становлять підприємницьку таємницю.

Залежно від виду діяльності, сфери підприємництва, поставленої мети перелік відомостей може змінюватися. Так, повинні мати захист відомості: технологічного характеру – конструкторська документація, креслення, схеми; описи технологічних випробувань; точні дані конструкційних характеристик виробленої продукції та характери технологічних процесів, що розробляються; відомості про матеріали, з яких виготовлено окремі деталі; опис нових технологічних процесів; використовуються нові прилади, верстати, обладнання; рецептура створюваних продуктів та ін; науково-технічного характеру – ідеї, відкриття, винаходи; ноу-хау; патенти; промислові зразки; окремі формули; нові методи організації виробництва та праці; тематика найважливіших наукових досліджень про; результати наукових досліджень; програмне забезпечення ЕОМ та інші наукові розробки; ділового характеру - відомості про укладені договори (контракти); про підготовлені до укладання договори; дані про постачальників ресурсів та клієнтів (споживачів); огляди ринку; матеріали маркетингових досліджень; інформація про конфіденційні переговори; калькуляція собівартості товарів, структури та розмір цін, рівень запланованого прибутку; плани інвестицій; стратегічні плани розвитку; дані про окремі категорії персоналу фірми та інші відомості.

У міру зміни характеру діяльності фірми перелік відомостей, що становлять підприємницьку таємницю, має змінюватися. Цей перелік має бути в установленому порядку доведений до працівників. При цьому необхідно встановити заходи зацікавленості відповідальних виконавців за збереження підприємницької таємниці, а також відповідальності за її витік з вини окремих працівників.