Конфиденциальная информация — определение и виды в российском законодательстве

Что не может быть конфиденциальной информацией

Рамки политики конфиденциальности не распространяются на следующие виды информации:

• информация, указанная в учредительных документах;
• данные свидетельства о регистрации предприятия;
• сведения об имуществе организации;
• информация о соблюдении правил безопасности и норм экологической ответственности;
• о кадровом составе, а также системе вознаграждения за проделанную работу;
• факты установленного нарушения норм закона;
• сведения о проведении конкурсов, тендеров и прочих мероприятий, в которых решается судьба объектов государственной собственности;
• финансовая отчетность некоммерческих организаций.

Принцип конфиденциальности

Главный принцип конфиденциальности заключается в том, чтобы информация, которая раскрывается одним человеком другому, далее не разглашалась и не распространялась по инициативе того лица, который ее получил. Разглашать собственные тайны имеет право только ее владелец. Другие лица могут ее лишь воспринимать или получать, но не распространять далее.

Анонимность является одним из принципов конфиденциальности, когда происходит автоматическое неполучение важной информации. Когда человек не выдает о себе личных данных, а просто занимается решением своих вопросов, тогда автоматически тайное остается с ним и не передается в чужие уши

Однако не всегда решение вопроса может сопровождаться анонимностью. Здесь важным становится принцип, когда информация, выдаваемая человеком, обязательно остается в руках или голове того, кому она предоставлялась.

Помимо соблюдения принципов конфиденциальности, важно обеспечение и предотвращение распространения информации. Это зависит от того человека, который получил конфиденциальную информацию

Это он должен сделать все, чтобы информация дальше не распространялась.

В профессиональных кругах подписывается специальный договор о неразглашении информации, что обязуются исполнять работники. В противном случае назначается штраф. В обыденной жизни все строится на доверии и даче обещания ничего не говорить другим людям. Как карается нарушение обещанного? Чаще всего разрывом отношений человека, который раскрыл свою тайну, с тем, кто ее разгласил после доверительного получения.

Принцип конфиденциальности очень важен в настоящее время, когда люди понимают, что личные данные выдавать о себе лучше не следует. Сплошь и рядом находятся уши, которые готовы потом злословить или выдавать чужую информацию в корыстных целях. Конфиденциальность зачастую сохраняется по двум причинам:

1. Сам человек, который хранит тайну, ее никому не выдает.
2. Сделан правильный выбор того лица, которому выдалась тайна и который сумел ее сохранить.

Государство не озабочено тем, чтобы личные данные об отдельных гражданах хранились втайне. Это следует учитывать, поскольку существует множество поощрительных мер, когда выдавать чужие тайны считается нормальным и желанным, нежели их сохранение.

Как поступать с сотрудником, разгласившим конфиденциальную информацию?

Во многих компаниях к сотруднику, разгласившему секретные сведения, применяют следующие меры: налагают дисциплинарное взыскание, взыскивают убытки в суде. Некоторые работодатели просто увольняют провинившихся, считая, что распространение конфиденциальной информации является серьезным проступком. Действительно, такая возможность есть. Согласно пп. «в» п. 6 ч. 1 ст. 81 ТК РФ трудовой договор может быть расторгнут работодателем даже в случае однократного разглашения коммерческой тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей.

При возникновении спора о восстановлении на работе лица, уволенного по рассматриваемому основанию, именно на работодателя возлагается бремя доказывания всех обстоятельств разглашения коммерческой тайны. Необходимо тщательно рассмотреть все обстоятельства конкретного дела, проанализировать, имеются ли законные основания для увольнения работника, заподозренного в разглашении конфиденциальной информации, а также оценить возможные риски в случае оспаривания сотрудником увольнения.

Приведем следующий пример: работник использовал флэш-накопитель для распечатки документа на принтере. Однако работодатель посчитал данные действия разглашением коммерческой тайны, поскольку запрет на использование флэш-накопителя для передачи конфиденциальной информации содержался в локальном акте. Однако в организации не было точного перечня таких секретных данных. В результате работник обратился в трудовую инспекцию, и после проверки ему удалось добиться снятия дисциплинарного взыскания.

Таким образом, налагая дисциплинарное взыскание, работодатель должен:

• доказать, что работник нанес материальный вред организации;
• установить, что работник разгласил конфиденциальные данные, включенные в перечень;
• подтвердить факт разглашения и ознакомления работника со списком конфиденциальных сведений.

Если компания захочет взыскать убытки в суде (допустим, менеджер уволился и продал конфиденциальную базу данных конкурентам), то потребуется оценить материальный ущерб. Ключевым условием, позволяющим сформировать доказательственную базу, является наличие перечня конфиденциальной информации.

Разрешение споров

6.1. Все споры и разногласия, которые могут возникнуть в отношении применения настоящих правил, будут, по возможности, решаться Сторонами путем переговоров. Соблюдение досудебного (претензионного) порядка урегулирования споров является обязательным. Срок направления ответа на претензию составляет 10 (десять) рабочих дней с момента ее получения Стороной.

6.2. Все возможные споры, вытекающие из отношений, регулируемых настоящей Политикой, разрешаются в порядке, установленном действующим законодательством Российской Федерации, по нормам российского права, независимо от места пребывания Пользователя.

6.3. В случае если Стороны не придут к взаимному согласию, то возникший спор подлежит разрешению в судебном порядке в соответствии с требованиями действующего законодательства Российской Федерации.

Что говорит закон

В действующем российском законодательстве отсутствует какая-либо четкая формулировка правила конфиденциальности. Исходя из общих норм права, конфиденциальными считаются сведения, доступ к которым ограничен законодательством либо владельцем информации, и которые представляют собой коммерческую, служебную или личную тайну. Например, общеизвестное правило конфиденциальности — врачебная тайна, представляющая собой сведения о состоянии здоровья и диагнозе человека, обращении за медицинской помощью, иные сведения, полученные при его медицинском обследовании и лечении, разглашение которых медицинским работникам запрещено законом.

Порядок охранения секретной информации

1. Для того, чтобы тайные сведения не попали в чужие руки, в организации сначала определяется круг людей, которые имеют к ним доступ, а затем разрабатываются мероприятия, призванные охранить эти секреты от посторонних.
2. После этого издается приказ, в котором прописывается требование о сохранении коммерческой тайны и условия, которые в рамках этого требования должны соблюдаться.
3. Далее с каждым сотрудником, который работает с секретными сведениями, заключается соответствующий договор или соглашение о неразглашении. Иногда руководство предприятия устанавливает специальную надбавку за работу с конфиденциальной информацией.

Для чего нужна конфиденциальность?

В последнее время все больше людей при устройстве на работу в крупные компании сталкивается с необходимостью подписания договора о неразглашении коммерческой тайны. Это довольно распространенная практика, которая используется для защиты ценной информации.

Раньше с подобным методом защиты служебных данных сталкивались в основном сотрудники правоохранительных органов, налоговой службы и банковского сектора. Здесь часто речь идет о действительно важных данных, от которых зависит работа всей структуры.

Определенная информация может быть настолько засекречена, что ею владеет лишь ограниченное количество сотрудников. При этом они не имеют права разглашать тайну даже после того, как уйдут с должности

Это очень важно, поэтому в данном случае без специального договора, который будет иметь юридическую силу, не обойтись

Частные компании, ведущие борьбу за свое место на российском рынке, тоже все чаще используют договоры о неразглашении конфиденциальной информации. Это необходимо для ограничения возможности использования полезных данных, известных лишь определенным людям, конкурентами.

Требования к положению

Законодательно не установлена обязательная форма положения о конфиденциальности. Нет и четкого перечня правил, как его составлять и какие пункты включать. Следует предусмотреть:

• перечень секретных сведений. Не обязательно указывать реквизиты конкретных документов, достаточно более общих характеристик и наименований видов сведений. Необходим понятный список, тогда, в случае разглашения, проще доказать, что данные относятся к секретным. Допустимо оформление перечня отдельным документом;
• меры защиты информации: проставление специальных грифов на документы и материальные носители, правила хранения в закрытом сейфе, запирающемся шкафу, охраняемом кабинете. Правила должны соответствовать организационным реалиям компании. Если в одном кабинете сидят несколько сотрудников, один из которых допущен к коммерческой тайне, а остальные — нет, следует предусмотреть особый порядок работы с коммерческой тайной, чтобы оградить ее от других сотрудников;
• случаи и условия предоставления секретной информации новым сотрудникам и контрагентам организации. Например, условие о том, что прежде чем сотрудник допускается к работе, он обязан дать письменное обязательство хранить тайну.

Сотрудники компании знакомятся с документом по подпись. Коммерческую тайну они обязаны хранить как в период работы в компании, так и после увольнения — эти правила установлены ст. 11 Федерального закона № 98-ФЗ. Пункт 4 этой статьи позволяет привлекать к ответственности бывших сотрудников при условии, что разглашение произошло в пределах срока действия режима коммерческой тайны.

Сходство между конфиденциальностью и анонимностью

• Конфиденциальность и анонимность являются жизненно важными терминами в профессиональных сценариях, таких как сбор личных данных и статистики в научных исследованиях, тематических работах, где необходимо участие общественности.
• Следовательно, оба гарантируют безопасность личной информации участников на более безопасной основе, когда эта информация не передается третьим лицам.
• Кроме того, независимо от того, является ли исследование анонимным или конфиденциальным, необходимо информировать участников о том, какая информация будет получена от них и как будут защищены их личные данные. Это гарантирует участникам, что их конфиденциальность защищена и обеспечена.

Как конфиденциальная информация определяется в законе

Конфиденциальность – это ограничение доступа к сведениям определенного статуса. Термин произошел от латинского слова confidentia, обозначающего доверие. Из этого следует, что к конфиденциальной информации могут получить доступ только доверенные сотрудники. Решения по контролю доступа реализуются на организационном и программном уровне. 

В различных областях общественной и экономической жизни, в разных странах принимаются отдельные модели регулирования степени конфиденциальности информации.

В России в законе «Об информации» (149-ФЗ) общим принципом отнесения данных к конфиденциальным является обозначение этой необходимости в любом ином федеральном законе, например, в Семейном кодексе в статье о защите тайны усыновления. 

Нормативный акт определяет следующие категории конфиденциальной информации:

• государственная тайна;
• служебная информация ограниченного распространения, хранимая в ИС органов государственной власти;
• коммерческая тайна;
• служебная тайна;
• профессиональная тайна;
• персональные данные граждан.

Порядок обращения с различными категориями информации, в том числе не названными прямо в законе, такими как банковская тайна и адвокатская тайна, регулируется отдельными федеральными законами. Для большинства категорий конфиденциальной информации посвященные ей законы и разработанные в соответствии с ними подзаконные нормативные акты устанавливают отдельные правила по обеспечению ее безопасности.

В Евросоюзе разработан ряд директив и соглашений, описывающих порядок доступа к конфиденциальным сведениям, многие их положения были практически без переработки включены в национальное законодательство. 

Европейская Конвенция «О преступности в сфере компьютерной информации» (ETS N 185) рекомендует в национальном законодательстве определить в качестве уголовных преступлений:

• противозаконный доступ к охраняемой в соответствии с требованиями закона информации;
• неправомерный перехват данных;
• воздействие на информацию с целью ее уничтожения или изменения;
• воздействие на информационные системы.

Эти нарушения вошли в качестве преступлений в УК РФ, и их наличие стимулирует потенциальных злоумышленников отказаться от попыток похитить или повредить конфиденциальные данные. Но далеко не всех преступников можно раскрыть, поэтому регуляторы, определяющие механизмы защиты данных – Правительство РФ, ФСТЭК, Роскомнадзор, ФСБ, Центробанк, – принимают нормативные акты, регулирующие специальные правила хранения массивов данных, находящихся под защитой закона.

Еще более подробный перечень сведений, имеющих конфиденциальный характер, приводит указ президента № 188: 

• персональные данные;
• тайна следствия и судопроизводства, данные, связанные с защитой судей и свидетелей;
• служебная информация госорганов;
• сведения, связанные с профессиональной деятельностью, а именно врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений;
• коммерческая тайна;
• данные о сущности изобретения, полезной модели или промышленного образца, до того, как оформляется патент или они официально публикуются.

Некоторые позиции из перечня пересекаются, поэтому не требуется обеспечения различных режимов их хранения. Достаточно соблюдения общих принципов безопасности информации, за исключением данных, для которых регулятор предлагает отдельные организационные, технические или программные меры.

Включайте в соглашение любую информацию, которую считаете важной

Соглашение часто включает широкое определение конфиденциальной информации, которую можно передать в рамках этого документа. В целом такой подход защищает раскрывающую сторону и не противоречит закону. Тем более что нет единого акта, который описывал бы все виды конфиденциальной информации. Обычно такой информацией признают сведения:

о персональных данных, кроме сведений, которые распространяют СМИ в установленных законом случаях;
о профессиональной деятельности, когда доступ к таким сведениям ограничен в соответствии с Конституцией и федеральными законами. Это врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных сообщений;
о коммерческой деятельности, в том числе финансовой отчетности, контрагентах, когда доступ к такой информации ограничен ГК и федеральными законами;
о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.

Сторонам соглашения нужно обеспечить возможность идентифицировать информацию, которую передают в рамках соглашения. В большинстве случаев факт передачи информации закрепляют в акте приема-передачи. Заодно отдают материальные носители: flash-карты, CD-диски, загружают файлы на портал для обмена данными или отправляют материалы по почте.

Нельзя защитить информацию, которую раскрывающая сторона не защищает как конфиденциальную. Например, требование возместить убытки в случае разглашения не удовлетворят, если его предъявит лицо, которое не принимало меры по соблюдению конфиденциальности информации.

Разглашение конфиденциальной информации

Несмотря на запрет для передачи конфиденциальной информации третьим лицам, в законодательстве предусмотрены и случаи, когда такие данные могут быть переданы третьим лицам, как с согласия их владельца, так и без него.

К таким ситуациям относятся:

• запросы госорганов;
• вред от сокрытия информации выше, чем от ее распространения;
• разрешение владельца данных на передачу ограниченному кругу лиц;
• разглашение сведений пойдет на пользу их владельцу.

Право на безусловное получение большинства конфиденциальных данных имеют контролирующие органы. Более того, субъекты хозяйствования и обычные граждане обязаны предоставлять такую информацию, например, в налоговые органы.

Вместе с тем, может возникнуть необходимость в получении конфиденциальной информации в связи с контрольными мероприятиями или расследованиями. В этом случае, законодательство позволяет формировать запрос на разовое предоставление необходимых данных. При этом владелец сведений может и не быть поставлен в известность о таком интересе к его конфиденциальной информации.

Например, прокуратура оформит запрос в банк о счетах одного из клиентов. Банк предоставит финансовую информацию, но ставить своего клиента о таком интересе к его финансам служащие банковского учреждения не будут.

Должностные лица освобождаются от ответственности за разглашение конфиденциальной информации, в том случае, когда вред от ее сокрытия значительно превышает последствия разглашения. Чаще всего такие ситуации случаются в сфере здравоохранения.

Например, у пациента определено заболевание, которое может привести к массовому заболеванию населения и повышенной смертности. С одной стороны, данные о пациенте относятся к конфиденциальным и без его согласия не могут быть распространены. С другой стороны, необходимо в срочном порядке выявить контактировавших с ним лиц и провести профилактику.

Вред от сокрытия данных о пациенте и его болезни существенно выше, чем от предотвращения массового заболевания, поэтому персонал медучреждения никакой ответственности за такое действие не понесет.

Еще одним случаем разглашения конфиденциальной информации без согласия ее владельца может стать убежденность должностного лица в том, что такая передача сведений третьим лицам будет полезна владельцу данных. Чаще всего эта ситуация встречается во взаимоотношениях между адвокатами и их клиентами, а также в медицине.

Например, в силу состояния пациента, его лечащий врач не может оформить добровольное согласие, но диагноз и угроза здоровью предполагают необходимость приглашения других специалистов для медицинской консультации.

Либо адвокат уверен, что его клиент заведомо оговаривает себя в ходе следственных действий. Ему необходимо передать эту информацию дознавателю, следователю или судье, однако, клиент запрещает своему защитнику распространять оправдывающие его данные.

Наконец, самая распространенная ситуация, когда владелец персональных данных дает свое разрешение на разглашение конфиденциальной информации. Оформляться оно может:

• доверенностью — разовой или генеральной;
• завещательным распоряжением;
• поручением;
• согласием на распространение или обработку информации.

Например, руководитель компании может поручить маркетологам распространить в рекламных целях технические характеристики нового продукта.

Предусмотрите меры, чтобы информацию не передали третьим лицам

Суды признают допустимыми такие доказательства раскрытия конфиденциальной информации, как электронная переписка, заключение эксперта и нотариальный протокол осмотра сайта, на котором разместили информацию.

Перечень конкретных мер по соблюдению и защите конфиденциальности зависит от типа информации. Его обычно устанавливают во внутренних нормативных актах раскрывающей стороны.

Обычно владельцы конфиденциальной информации определяют перечень такой информации, ограничивают доступ и учитывают лиц, которые получили возможность знакомиться с ней. Кроме этого, заключают соглашения о конфиденциальности с любыми получателями информации, маркируют грифами и другими средствами защиты материальные носители с конфиденциальной информацией компании. Также указывают, что необходимо использовать специальные технические средства защиты и ограничения доступа.

В соглашении о конфиденциальности зеркально отразите меры, которые уже применяет раскрывающая сторона. Это обеспечит хотя бы минимальный уровень защиты передаваемых данных.

Нельзя требовать возместить убытки или применять другие санкции, если контрагент раскрыл общедоступную информацию, например, из открытых реестров или сведения, которые в силу закона не могут быть конфиденциальными. Это правило работает, даже если стороны договорились сохранять конфиденциальность такой информации.

Стороны вправе предусмотреть дополнительные гарантии и включить санкции на случай их нарушения. Например, включить в соглашение заверения и гарантии получающей стороны, что она соблюдает все необходимые меры защиты конфиденциальной информации. На случай нарушения этой гарантии в соглашении можно предусмотреть штраф.

Экономическая ценность данных

Согласно Алессандро Аккисти, Кертису Тейлору и Лиаду Вагману в книге «Экономика конфиденциальности» (2015), индивидуальные данные можно рассматривать как имеющие два типа ценности: коммерческую ценность и частную ценность. Сбор данных может иметь как положительные, так и отрицательные последствия, а также может привести к нарушению конфиденциальности и денежным затратам. Согласно Аккисти, Тейлору и Вагману, есть все новые и новые опасения по поводу прогресса сбора данных, поскольку анализ данных становится все более эффективным.

Вводятся в действие такие правила, как Директива ЕС о защите данных, Закон США о защите конфиденциальности детей в Интернете и многие другие; тем не менее, ИТ-отрасль постоянно развивается и требует, чтобы пользователи были наделены полномочиями и сосредоточились на самостоятельном управлении конфиденциальностью в Интернете

Таким образом, для законодателей очень важно продолжать уделять внимание правильному балансу между использованием Интернета и экономикой конфиденциальности

Конфиденциальность в договорных отношениях: общие правила

Понятие «конфиденциальная информация» законом не определено, но его можно вывести из положений ст. 2 закона «Об информации…» от 27.07.2006 № 149-ФЗ.

Конфиденциальная информация — это сведения в любом виде (устные, письменные), которые лицо, получившее к ним доступ, не может передать третьим лицам без согласия их обладателя. Обладатель информации, в свою очередь, — это лицо, которое имеет право разрешать или ограничивать доступ к ней. Часто условие о конфиденциальности называют англоязычной аббревиатурой NDA.

В ст. 3 закона «О коммерческой тайне» (далее — закон № 98-ФЗ) дается определение коммерческой тайны, которое по содержанию схоже с определением секрета производства, но по смыслу является более широким.

Коммерческая тайна — это сведения любого характера, имеющие действительную или потенциальную коммерческую ценность, поскольку на законном основании неизвестны и недоступны третьим лицам, и в отношении этих сведений их обладателем введен режим коммерческой тайны. То есть коммерческая тайна — это и секретные сведения, и введенный режим.

Согласно ст. 1465 ГК РФ обладатель секрета производства для сохранения конфиденциальности должен ввести режим коммерческой тайны. 

Проставляем гриф коммерческой тайны — образец

Подробнее

Какая информация может быть конфиденциальной по договору

Согласно Указу Президента РФ «Об утверждении перечня сведений конфиденциального характера» от 06.03.1997 № 188 конфиденциальной может быть информация:

• позволяющая установить личность, факты, события и обстоятельства частной жизни гражданина;
• полученная в ходе ведения следствия и судопроизводства;
• полученная при исполнении профессиональных или служебных обязанностей, в т. ч. коммерческая тайна;
• находящаяся в личных делах осужденных и должников по исполнительному производству, кроме той, которая является общедоступной, и т. д. 

Подробнее о каждом виде информации, которая может стать конфиденциальной, и нормативных актах, их регулирующих, смотрите в нашей статье Служебная и коммерческая тайна — нюансы.

Условие о конфиденциальности предоставляемой информации любого из вышеперечисленных видов и обязательство о ее нераспространении могут быть внесены в трудовой договор.

В гражданско-правовых договорах, как правило, говорится о коммерческой тайне.