Конфиденциальность в организации. Как защитить конфиденциальную информацию на предприятии? Защита информации на предприятии

Конфиденциальность

Конфиденциальность. (англ. confidence - доверие) - необходимость предотвращения утечки (разглашения) какой-либо информации.

В англо-американской традиции различают два основных вида конфиденциальности: добровольную (privacy) и принудительную (secrecy). (См. Эдвард Шилз - The Torment of Secrecy: The Background & Consequences Of American Security Policies (Chicago: Dee ) В первом случае имеются в виду прерогативы личности, во втором случае имеется в виду информация для служебного пользования, доступная ограниченному кругу официальных лиц фирмы, корпорации, государственного органа, общественной или политической организации. Хотя privacy и secrecy схожи по значению, на практике они обычно противоречат друг другу: усиление secrecy ведёт к нарушению и уменьшению privacy. В тоталитарных и авторитарных государствах под конфиденциальностью, как правило, имеется в виду только secrecy.

Определения

Конфиденциальность информации - принцип аудита , заключающийся в том, что аудиторы обязаны обеспечивать сохранность документов , получаемых или составляемых ими в ходе аудиторской деятельности, и не вправе передавать эти документы или их копии каким бы то ни было третьим лицам, либо разглашать устно содержащиеся в них сведения без согласия собственника экономического субъекта, за исключением случаев, предусмотренных законодательными актами.

Конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определённой информации, требование не передавать такую информацию третьим лицам без согласия её обладателя .

Конфиденциальная информация - информация , доступ к которой ограничивается в соответствии с законодательством Российской Федерации и представляет собой коммерческую, служебную или личную тайны, охраняющиеся её владельцем.

Служебная тайна - защищаемая по закону конфиденциальная информация, ставшая известной в государственных органах и органах местного самоуправления только на законных основаниях и в силу исполнения их представителями служебных обязанностей, а также служебная информация о деятельности государственных органов, доступ к которой ограничен федеральным законом или в силу служебной необходимости. Однозначное определение понятия «служебная тайна» в действующем законодательстве РФ отсутствует. Служебная тайна является одним из объектов гражданских прав по гражданскому законодательству РФ. Режим защиты служебной тайны в целом аналогичен режиму защиты коммерческой тайны . В ряде случаев за разглашение служебной тайны закон предусматривает уголовную ответственность (например, за разглашение тайны усыновления , или за разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну, лицом, которому такие сведения стали известны по службе) .

Служебная тайна - информация с ограниченным доступом, за исключением сведений, отнесенных к государственной тайне и персональным данным, содержащаяся в государственных (муниципальных) информационных ресурсах, накопленная за счет государственного (муниципального) бюджета и являющаяся собственностью государства, защита которой осуществляется в интересах государства .

Защита конфиденциальности является одной из трёх задач информационной безопасности (наряду с защитой целостности и доступность информации).

Актуальность конфиденциальности

С момента начала использования компьютерных технологий во всех сферах деятельности человека, появилось много проблем, связанных с защитой конфиденциальности. Главным образом это связано с обработкой документов с применением компьютерных технологий. Многие административные меры по защите конфиденциальности частных лиц и организаций утратили свою силу в связи с переходом документооборота в абсолютно новую среду.

При получении личных писем, при заключении договоров, во время деловой переписки, при телефонных разговорах со знакомыми и незнакомыми людьми, человек пользовался различными средствами аутентификации . Личные письма отправлялись с указанием существующего почтового адреса или имели штамп именно тех почтовых отделений, где проводилась обработка таких писем. При заключении договоров применялись бланки, произведённые на типографиях , на которых с использованием пишущих машинок, имевших уникальные серийные номера, печатался текст, который затем подписывался должностным лицом и заверялся печатью организации. При разговорах по телефону, достоверно было известно, что разговор ведётся именно с тем человеком, голос которого был ранее известен. Многие сотни административных мер были направлены на защиту конфиденциальности при общении людей.

С внедрением компьютерных технологий в жизнь человека многое изменилось. При использовании, например, электронной почты появилась возможность указания несуществующего обратного адреса или имитации получения письма от знакомого человека. При повседневном общении через сеть Интернет многие признаки, идентифицирующие того или иного человека в обычной жизни (пол, возраст, степень образования), перестали быть таковыми. Появилась так называемая «виртуальная реальность ».

Быстро и эффективно решить проблемы связанные с защитой конфиденциальности в компьютерных системах невозможно. Появилась необходимость в комплексном подходе к решению данных проблем. Этот подход должен предполагать использование организационных и правовых мер, а также программно-аппаратных средств, обеспечивающих защиту конфиденциальности, целостности и доступности.

На сегодняшний день в организациях для обеспечения корректной работы со сведениями конфиденциального характера существует набор норм. Руководитель организации подписывает перечень сведений, имеющих конфиденциальный характер. В договоре, подписываемом работником и работодателем, существует пункт, в котором говорится об ответственности за некорректную работу с конфиденциальными сведениями, в результате чего при несоблюдении прописанных в договоре норм по работе с этими сведениями, появляется законное основание для привлечения таких сотрудников к административной или уголовной ответственности . А также в организациях имеется комплекс мер, направленных на обеспечение защиты конфиденциальных сведений. Например, такими мерами могут являться: подбор квалифицированного персонала, прогнозирование возможных угроз и проведение мероприятий по их предотвращению, использование различного уровня доступа персонала к информации с различной секретностью.

Так как невозможно детально изучить данную область в короткие сроки, было введено направление по подготовке специалистов в сфере информационной безопасности.

С помощью программно-аппаратных средств защиты информации, представленных различными производителями, можно достичь более высоких показателей эффективности, если применять их комплексно. К таким средствам относят оборудование для криптографической защиты речевой информации, программы для криптографической защиты текстовой или иной информации, программы для обеспечения аутентификации почтовых сообщений посредством электронной цифровой подписи, программы обеспечения антивирусной защиты , программы защиты от сетевых вторжений , программы выявления вторжений, программы для скрытия обратного адреса отправителя электронного письма.

Подобный перечень программно-аппаратных средств, как правило, разрабатывается специалистами в области защиты информации с учётом многих факторов, например характеристики автоматизированной системы, количества пользователей в этой системе, различия уровня доступа этих пользователей и т. д.

Конфиденциальность в законодательстве РФ

Примечания

Литература

• Большой юридический словарь. 3-е изд., доп. и перераб. / Под ред. проф. А. Я. Сухарева. - М.: ИНФРА-М, 2007. - VI, 858 с - (Б-ка словарей «ИНФРА-М»)

Ссылки

• Конфиденциальная информация в российском законодательстве

См. также

Wikimedia Foundation . 2010 .

Синонимы :

Антонимы :

Смотреть что такое "Конфиденциальность" в других словарях:

Секретность, тайность, доверительность, засекреченность. Ant. открытость, гласность Словарь русских синонимов. конфиденциальность см. секретность Словарь синонимов русского языка. Практический справочник. М.: Русский язык … Словарь синонимов

конфиденциальность - Свойство информации, состоящее в том, что она не может быть доступна для ознакомления неавторизованным пользователям и / или процессам. Содержание критической информации в секрете; доступ к ней ограничен узким кругом пользователей (отдельных лиц… … Справочник технического переводчика

КОНФИДЕН ИАЛЬНЫЙ [дэ], ая, ое; лен, льна (книжн.). Секретный, доверительный. К. разговор. Сообщить конфиденциально (нареч.). Толковый словарь Ожегова. С.И. Ожегов, Н.Ю. Шведова. 1949 1992 … Толковый словарь Ожегова

Конфиденциальность - Этическое требование, применяющееся как в экспериментальных исследованиях, так и в психотерапии. Согласно этому требованию участники или пациенты имеют право на то, чтобы информация, собранная во время исследования или сеанса лечения, не… … Большая психологическая энциклопедия

конфиденциальность - 2.6 конфиденциальность (confidentiality): Свойство информации быть недоступной и закрытой для неавторизованного индивидуума, логического объекта или процесса. [ИСО/МЭК 7498 2] Источник … Словарь-справочник терминов нормативно-технической документации

конфиденциальность - ▲ ограниченность доступ, к (предмету), сведения конфиденциальность. конфиденциальный не подлежащий широкой огласке; доступный узкому кругу лиц (# разговор). конфиденциально. доверительность. доверительный (# тон). доверительно. доверять (#… … Идеографический словарь русского языка

Определение понятия

Конфиденциальность - это комплекс мер по предотвращению утечки и разглашения той или иной информации. Сущность данного понятия также можно уяснить, ознакомившись с его переводом с разных языков. Это звучит примерно, как "тайна" или "доверие". С каждым годом эта категория становится все более значимой в разных сферах. Конфиденциальность можно считать необходимым условием для многих видов деятельности, среди которых медицинская, адвокатская, аудиторская и прочие.

Законодательное регулирование

Конфиденциальность - это достаточно серьезная тема, которая затрагивает практически все сферы общественной жизни. Именно поэтому регулирование данного вопроса уже давно происходит на законодательном уровне. Так, в соответствии со специальным Указом президента Российской Федерации конфиденциальными считаются следующие виды информации :

• вся личная информация, идентифицирующая человека, а также факты, касающиеся его частной жизни (исключения составляют сведения, предоставленные в средства массовой информации, а также подписание документов, разрешающих распространение данных);
• данные о ведении расследования и судебные документы, а также информация о лицах, которым обеспечивается защита в рамках государственных программ;
• служебная тайна, к которой относятся данные о работе государственных органов, научных лабораторий, а также предприятий оборонного сектора;
• сведения о таких видах деятельности, как медицинская, адвокатская, аудиторская, судебная, следственная и так далее;
• коммерческая тайна, заключающаяся в подробностях о производственном и технологическом процессе, а также организации работы предприятия в целом;
• сведения о научных разработках до момента получения патентной документации или же до внедрения в эксплуатацию.

Где нужна конфиденциальность информации

Любая сфера деятельности требует сохранения в тайне определенного объема информации. Примером может послужить коммерческое предприятие. Его работники не имеют права разглашать сведения о технологии производства, организационной структуре и прочих моментах, что закрепляется в соответствующих пунктах трудового договора. Нарушение данного правила грозит штрафом или увольнением.

Наверное, все слышали такое словосочетание, как государственная тайна. Это целый ряд сведений, которые находятся под защитой властных институтов и правоохранительных органов. Речь идет о научной, военной, политической, разведывательной и прочих видах деятельности. Предавая данные факты огласке, индивид не только может нанести государству экономический ущерб, но еще и поставить под угрозу его безопасность. За подобные правонарушения предусматривается серьезная ответственность.

В медицинских и прочих заведениях подобного рода также необходимо соблюдать конфиденциальность. Персонал не имеет права разглашать информацию о клиентах. Это же касается и аудиторских фирм. В противном случае потерпевшая сторона может инициировать судебное разбирательство.

Что не может быть конфиденциальной информацией

Рамки политики конфиденциальности не распространяются на следующие виды информации:

• информация, указанная в учредительных документах;
• данные свидетельства о регистрации предприятия;
• сведения об имуществе организации;
• информация о соблюдении правил безопасности и норм экологической ответственности;
• о кадровом составе, а также системе вознаграждения за проделанную работу;
• факты установленного нарушения норм закона;
• сведения о проведении конкурсов, тендеров и прочих мероприятий, в которых решается судьба объектов государственной собственности;
• финансовая отчетность некоммерческих организаций.

Охрана конфиденциальности

Конфиденциальность данных может быть защищена их владельцем следующим образом:

• для начала стоит составить перечень сведений, которые попадают в категорию "коммерческая тайна" в соответствии с законодательством;
• установление внутреннего порядка охраны информации путем ограничения круга лиц, имеющих к ней доступ, а также внедрение ответственности за несоблюдение правил;
• ведение учета лиц, которые допущены к конфиденциальным данным;
• внесение пункта об ответственности за распространение секретной информации в трудовой договор, а также коммерческие контракты с контрагентами;
• четкая фиксация на цифровых и бумажных носителях всей информации с целью доказательства ее подлинности и правообладания;
• незамедлительная регистрация в соответствующих органах тех сведений, которые должны находиться под защитой.

Данный перечень мероприятий может быть дополнен на усмотрение предпринимателя. Главное условие - это соответствие их законодательным нормам.

Выводы

Конфиденциальность - это объективная необходимость в современных условиях. Каждый человек, а также организация имеет право на сохранение в тайне определенной информации. Нарушение данной нормы влечет за собой наступление административной, а в некоторых случаях и уголовной ответственности.

Условия конфиденциальности во многом зависят от того, о какой сфере деятельности идет речь. Данного правила стоит придерживаться во всем, что касается коммерческой или государственной тайны, а также частной жизни индивида, независимо от его социального статуса и рода деятельности.

Понятие "конфиденциальная информация" очень часто встречается в юридической практике. Что оно означает, и какие виды существуют? Рассмотрим это далее.

Общее понятие

Прежде чем рассматривать то, какие существуют виды конфиденциальной информации, следует детально разобраться в общих особенностях самого понятия.

Итак, если говорить очень простым языком, то к категории конфиденциальной информации относятся все те задокументированные сведения, которые хранятся на определенном предприятии или в организации любой формы собственности, распространение которых является нежелательным для самого лица. Это связано с тем, что такие сведения, как правило, представляют собой данные относительно определенных особенностей деятельности компании или фирмы, разглашение которых может нанести вред их обладателю.

Если говорить юридическими терминами, то в первых статьях Закона "Об информации" говорится о том, что рассматриваемое понятие подразумевает под собой документированные сведения, доступ к которым охраняется от всестороннего вмешательства законодательством России, действующим в настоящее время.

Законодательное регулирование

Понятие конфиденциальной информации, ее виды и характеристика закреплены в определенных нормативных актах, которые в настоящее время действуют на территории России. Какие относятся к их числу?

Главную роль в определении такого понятия играет Закон "Об информации", который закрепляет само понятие как в общем, так и в узком смыслах. Что касается видов конфиденциальной информации по законам РФ, то их полный перечень детальным образом представлен в положениях, прописанных в Указе Президента №188.

Кроме всего прочего, конфиденциальную информацию могут составлять сведения относительно конкретного лица - такие данные именуются персональными данными. Регулирование данного понятия производится на основании статей Закона "О персональных данных".

Обеспечение сохранности конфиденциальной информации, полученной в результате ведения деятельности определенного характера, в России происходит на основании актов отраслевого законодательства. В частности, к таким относятся законы "О нотариате", Об адвокатской деятельности", "О врачебной тайне" и т. п.

Кроме всего этого, отдельное внимание следует уделять сохранности информации, которая представляет собой тайну деятельности предприятия. Данные положения отлично регулирует Закон "О коммерческой тайне".

Методы регулирования конфиденциальной информации

Для того чтобы обеспечить надлежащую сохранность информации, составляющей конфиденциальные сведения, законодатель предусмотрел определенный перечень мер и методов, которые позволяют делать это.

Так, законодатель отмечает то, что для того, чтобы обеспечить сохранность конфиденциальных сведений, необходимо четко определиться, какие данные подходят к их числу. С такой целью предусматривается установление самого понятия "конфиденциальная информация", виды ее, а также определенный перечень сведений, которые могут составлять ее.

Кроме этого, для обеспечения сохранности сведений, представляющих собой тайну, законодатель предусматривает определенный порядок выдачи фактов, отнесенных к данной категории, а также определенные запреты на действия, наличие которых может привести к нарушению установленного режима безопасности информации, отведенной под группу секретной.

Виды

Что касается основных видов конфиденциальной информации, то на практике можно встретить небольшое их количество. Все они перечислены в содержании Указа Президента №188, который был издан в 1997 году.

Персональные данные

Если говорить кратко, вид конфиденциальной информации, представляющий собой персональные данные, подразумевает под своим понятием определенный спектр данных, которые касаются непосредственно определенного лица, именуемого в юридической практике субъектом персональных данных. Какие сведения относятся к этой группе данных? В первую очередь, под ними подразумеваются личные сведения - фамилия, имя, а также отчество. Кроме этого, в числе сведений, составляющих персональную информацию, законодатель определяет адрес, по которому лицо прописано или совершает свое проживание, место рождения и дату, место фактического пребывания в определенный момент. К списку данных, представляющих собой конфиденциальную информацию, также относят и сведения, имеющиеся в документах, удостоверяющих личность человека (дату и место его выдачи, серию, номер и т. п.)

Кроме всего прочего, к перечню сведений, составляющих персональные данные, законодатель также определяет и ту информацию, которая известна сотрудникам органов ЗАГС в результате совершения ими своих профессиональных обязанностей.

Законодатель определяет особенные принципы произведения обработки данных, которые представляют собой персональную информацию. Безусловно, все они должны быть соблюдены надлежащим образом. Практика показывает, что именно это позволяет точно обеспечить сохранность данных.

Работа с конфиденциальной информации в российском законодательстве предусматривает соблюдение соответствия всех целей, для которых осуществляется обработка предоставленных лицом сведений, тем, что были заявлены в качестве тех, для которых истребовались данные. Кроме этого, их объем должен полностью соответствовать тому, который необходим для реализации заявленной цели.

Законодатель предусматривает то, что все данные, которые были отведены под группу сведений, составляющих персональную информацию, должны быть исключительно достоверными. Что касается органов и специалистов, которые производят их обработку, то они не должны использовать те сведения, которые не нужны для достижения поставленной цели.

Что касается процесса хранения данных, то оно должно осуществляться лишь таким образом, чтобы по предоставленным сведениям можно было определить их владельца. Если говорить о сроках, в течение которых должен производиться процесс хранения данный вид конфиденциальной информации из классификации, рассматриваемой в этой статье, то он не должен превышать то время, которое необходимо для реализации поставленной цели. По истечении отведенного периода все данные должны быть уничтожены в установленном порядке. То же самое следует сделать тогда, когда отсутствует необходимость использования сведений.

Обработка персональных данных

Существуют определенные правила обработки персональных данных, которые обязательно следует учитывать в процессе работы с ними. Так, данный процесс осуществляется исключительно в соответствии со всеми требованиями, которые представлены в статьях ФЗ "Об информации". В соответствии предписанными в нем положениями, обработку данных может осуществлять исключительно оператор и только по согласию самого лица.

В определенных случаях данное согласие не требуется. В частности, это касается того момента, когда обработка персональных данных производится для получения статистических данных или для изучения, подтверждения научных утверждений. В некоторых случаях, это требуется для того, чтобы произвести защиту жизни и здоровья людей, а также некоторых других интересов, отнесенных к группе жизненно важных. В том случае, если журналист занимается осуществлением своей профессиональной деятельности, тогда когда факт заполучения им информации не принесет существенного ущерба лицу, являющемуся владельцем данных, он также может использовать сведения в своей работе.

В юридической практике нередко случаются такие ситуации, когда использование персональных данных лица без его согласия на то, производится в целях обеспечения соблюдения требований, предписанных договором, исполнения его положений. Однако, это возможно лишь в том случае, когда одной из его сторон является субъект, занимающийся предпринимательской деятельностью.

Коммерческая тайна

Это особый вид конфиденциальной информации. Правовой способ ее защиты и хранения также отличается своими определенными особенностями. В чем они состоят?

В первую очередь, следует понимать то, что коммерческая тайна - это информация, которая представляет собой особенности производства товаров, а также ведения бизнеса, при раскрытии которой предприятие или организация попросту перестанет получать доход.

Следует понимать еще и то, что наряду с коммерческой тайной в юридической практике существует и служебная. Данное понятие может быть использовано только в определенных государственных службах. Она представляет собой секретную информацию, охраняемую законом в особенном порядке. Что касается ее содержания, то оно, как правило, касается особенностей несения государственной службы, которые скрыты от всеобщего обозрения и имеют режим закрытого или ограниченного доступа.

Основные положения, которые касаются коммерческой и служебной тайны регулируются нормами, прописанными в статьях Законов "О коммерческой тайне" и "О служебной тайне".

За разглашение лицами, которые являются носителями информации, представляющей собой служебную или коммерческую тайну, вверенных им сведений, они могут быть подвержены ответственности, различных видов: уголовной, гражданско-правовой, административной, а также дисциплинарной, что особенно часто применяется на различных предприятиях.

Документированные информационные ресурсы

Это один из основных видов конфиденциальной информации, который очень часто используется как среди юридических, так и среди физических лиц. Она имеет особенный режим обеспечения сохранности представленных данных, а ее оформление представлено в особой форме.

Так, документированным информационным ресурсом признаются сведения определенного характера, которые зафиксированы на носителе материального типа с указанием отдельных реквизитов, перечень которых для каждого варианта документа представлен в законодательстве отдельно.

Что касается вида носителя конфиденциальной информации, то в качестве него, как правило, используется бумага. Вся фиксация сведений на носителе должна осуществляться в строгом соответствии с указанными в документе требованиями. На эти материальные носители может быть установлено право собственности, что осуществляется в соответствии с нормами гражданского законодательства.

Профессиональная и следственная тайна

В России, как и в других государствах, имеется определенный перечень профессий, которые, в силу своих особенностей, предусматривают обработку лицами определенных данных, которые составляют собой информацию, запрещенную для разглашения. К таким группам лиц, в первую очередь относятся адвокаты, нотариусы, специалисты в области медицины и т. п. Доступ к данным, полученным ими в ходе выполнения трудовых обязанностей, ограничивается на основании положений, представленных в отдельных нормативных актах, а также в Конституции государства. Так, например, в силу особенностей своей деятельности, нотариус знает об особенностях заключения каких-либо сделок, а также об их содержании. Однако лицо, которое занимается осуществлением нотариальной деятельности, не может никоим образом разглашать третьи лицам полученные им сведения.

Какие виды ценной конфиденциальной информации относятся к данной группе? В первую очередь, законодатель определяет таковой сведения, имеющиеся в личной переписке, телефонных переговорах, письмах и в иных отправлениях, которые совершаются через почтовые отделения, телеграфы, а также другие сообщения, взятые из иных источников. В таком случае лишь пользователь почтовых или, например, телеграфных услуг имеет право дать согласие на разглашение данных, составляющих На деле существуют определенные виды конфиденциальной информации в школе, обеспечивать сохранность которой обязаны сотрудники учреждения. К числу таковых могут быть отнесены данные, представленные в медицинских карточках, сведения о факте удочерения или усыновления, о безопасности здания школы, под чем подразумевается ее антитеррористическая защищенность и т. п.

Отдельное внимание следует уделить еще одному существующему в юридической практике понятию - такому, как следственная тайна. Сведения, которые были получены в ходе проведения расследований, а также ведения оперативной деятельности, также не подлежат разглашению, в особенности, лицами, которые имеют к ним прямой или косвенный доступ. Еще один вид охраняемой законом информации - судопроизводства. Обеспечивать надлежащую сохранность сведений, отнесенных к данной группе, обязаны все сотрудники аппарата суда, а, в особенности, те, которые имеют прямое отношение к рассмотрению дела. В том случае, если лицо нарушает установленный режим, в результате чего происходит утечка секретных сведений, оно может понести ответственность - дисциплинарную или уголовную, в зависимости от того, насколько серьезные последствия повлекло за собой деяние и какую форму вины имеет совершенное действие.

Сведения о сущности изобретения

Отдельное внимание законодатель уделяет вопросу, связанному с обеспечением сохранности сведений, которые составляют собой сущность изобретений или каких-либо полезных моделей. Сохранность сведений должна охраняться до того момента, пока оно не будет заявлено в свет официально, а также не будет опубликована информация об объектах.

Каким именно образом обеспечивается защита представленных объектов? Все меры, которые принимает для этого государство, предписаны статьями Гражданского кодекса, в части 4.

Данное понятие и вид конфиденциальной информации предусматривает особенный характер ее защиты. В частности, она может быть представлена в юрисдикционной форме, которая производится с участием специализированных государственных органов, а также созданием патента на это особенное изобретение.

Нередко защита новых изобретений осуществляется в гражданско-правовой форме. Специалисты в области юриспруденции отмечают, что она применяется, как правило, в том случае, когда лицензиат осознанно или случайным образом нарушает прописанные в договоре права и сознательно уклоняется от предусмотренных его содержанием обязанностей. Как правило, по результатам проведения такой формы защиты потерпевшая сторона получает компенсационную выплату, размер которой равен сумме понесенных убытков.

Кроме представленных выше форм защиты этого вида конфиденциальной информации, существует также и административный порядок. Он предусматривает письменное обращение стороны, чьи законные интересы были ущемлены, в специальный орган - Палату патентного ведомства, которая относится к группе апелляционных органов. Законодатель предусматривает довольно длительный процесс рассмотрения поданной заявки, который может длиться до 4 месяцев. По результатам процедуры, как правило, орган принимает свое решение в пользу пострадавшей стороны. На деле такая практика особенно пользуется популярностью среди обладателей патента, который признается недействительным.

Защита засекреченных сведений

Виды конфиденциальной информации и их защита прописаны в положениях различных законов, в числе которых имеется немалое количество отраслевых. Что касается защиты сведений, то она предусматривает комплекс определенных мер, которые создают препятствия к доступу к данным. К ним может быть отнесена необходимость произведения хранения документов-носителей секретных сведений в специальных сейфах, передачу электронных данных по локальной сети, ограничение списка лиц к данным и т. п.

Кроме всего этого, при нарушении установленных требований, виновное лицо обязано понести наказание, соразмерное причиненном им ущербу.

Информация – важнейший производственный фактор. Предприятия, которые ведут активную работу по накоплению и анализу данных, в современной экономической среде чувствуют себя гораздо увереннее. Благодаря анализу своей аудитории компания может повысить сумму среднего чека за счет бонусов, за которые готовы платить потребители.

Вы узнаете:

• Что такое конфиденциальность персональных данных.
• Какие ошибки сбора, хранения и конфиденциальности персональных данных наиболее часто допускаются в бизнесе.
• Как обеспечить безопасность хранения и конфиденциальности данных.
• Что такое политика конфиденциальности сайта и как ее составить.
• Какие предусмотрены штрафы за нарушение конфиденциальности персональных данных с 2017 года.

Сегодня информация является неотъемлемой составляющей эффективной работы предприятия. Однако следует также помнить, что крайне необходимо соблюдать конфиденциальность персональных данных.

Срочно проверьте своих партнеров!

Вы знаете, что налоговики при проверке могут цепляться к любому подозрительному факту о контрагенте ? Поэтому очень важно проверять тех, с кем Вы работаете. Сегодня, Вы можете бесплатно получить информацию о прошедших проверках Вашего партнера, а главное получить перечень выявленных нарушений!

Обработка, хранение и конфиденциальность персональных данных клиентов

Итак, в современных экономических условиях очень важна конфиденциальность персональных данных. Закон, регламентирующий отношения в рамках получения и обработки ПДн, – ФЗ «О персональных данных» №152 от 27.07.2006 г. В нем указана следующая информация:

• ключевые термины, касающиеся обработки ПДн;
• в соответствии с какими принципами и условиями должны обрабатываться персональные сведения;
• какими обязанностями наделен оператор ПДн;
• какими правами наделен субъект ПДн;
• какие типы ответственности предусмотрены за нарушение требований №152-ФЗ;
• какие госорганы контролируют соблюдение требований закона.

Персональные данные – это любые сведения, которые прямо или косвенно относятся к физическому лицу, которое называют субъектом персональных данных.

Оператор – это госорган, орган местного самоуправления, юридическое или физическое лицо, которое в отдельном порядке или вместе с иными лицами организует и (или) проводит обработку персональной информации, определяет, зачем это нужно, из чего должны состоять персональные данные, а также устанавливает, какие действия (операции) по отношению к ПДн необходимы.

Обработкой ПДн называют любую операцию или совокупность операций, которые совершают в отношении персональной информации с применением автоматизированных средств или без них. Если обрабатывают данные, значит, их собирают, записывают, систематизируют, копят, хранят, уточняют (обновляют, изменяют), извлекают, используют, передают (распространяют, предоставляют доступ), обезличивают, блокируют, удаляют, уничтожают.

Что такое конфиденциальность персональных данных, закон четко разъясняет. Однако он не уточняет, какая именно информация является персональной. Но, если отталкиваться непосредственно от названия «персональных данных», то это любые сведения, относящиеся к физическому лицу:

• дата рождения;
• адрес;
• телефон;
• e-mail;
• фотография;
• ссылка на персональный сайт;
• ссылка на аккаунт в соцсетях.

Словом, это любая информация, по которой можно точно определить гражданина. Если вам предоставляют персональные сведения, вы становитесь оператором ПДн.

Субъект ПДн – это физическое лицо, которое можно определить на основе персональной информации. То есть, это человек, сведения о котором должны находиться под защитой.

Какими правами №152-ФЗ наделяет субъекта персональных данных

1. Право на доступ к своим ПДн. Субъект вправе получать сведения об операторе, узнавать, с какой именно информацией он работает; наделен правом прямого доступа к этой информации.
2. Право субъекта при обработке ПДн. Обработку ПДн, необходимую для того, чтобы продвигать на рынке товары, услуги, работы, а также в политических целях, можно проводить только с разрешения субъекта. Она недействительна, если субъект не давал на нее разрешения, только если оператор не доказал обратное. Если субъект требует завершить обработку ПДн, то оператор обязан сразу же выполнить это требование.
3. Права субъекта при вынесении решений на основании исключительно автоматизированной обработки его персональной информации. По закону РФ, недопустимо принимать решения относительно субъекта ПДн лишь на основании автоматизированной обработки, если нет его письменного согласия или же в ситуациях, описанных в федеральных законах.
4. Право субъекта обжаловать действия или бездействие оператора. Если, по мнению носителя персональных данных, оператор некачественно обрабатывает ПДн, чем нарушает его свободы и права, то гражданин всегда может обратиться в инстанцию, специализирующуюся на защите прав субъектов ПДн, или в судебный орган.

Субъект имеет право требовать возместить ему финансовые потери и компенсировать моральный ущерб через суд. Оператор персональных данных должен сообщать в Роскомнадзор об обработке и защищать эту информацию.

В законе также определено, когда оператор может не сообщать в службу об обработке ПДн:

• если оператор и носитель персональных данных состоят в трудовых отношениях;
• если оператор и субъект ранее заключили между собой договор, и ПДн требуются для исполнения обязательств по нему;
• если ПДн относятся к членам религиозных и общественных организаций, и обработка ведется в соответствии с учредительной документацией и законодательством РФ;
• если ПДн находятся в общем доступе;
• если ПДн состоят только из ФИО;
• если ПДн необходимы, чтобы получить однократный пропуск на территорию или для решения подобных задач;
• если ПДн являются частью федеральных автоматизированных информационных систем и государственных информационных систем персональных данных;
• если ПДн обрабатываются без использования автоматизированных средств в соответствии с законодательством РФ.

Статья 7 (конфиденциальность персональных данных) №152-ФЗ гласит, что операторам и иным лицам, которым доступны персональные данные, запрещено распространять эту информацию посторонним людям, если субъекты не давали на это своего согласия, или же это не предусмотрено законодательством.

Но множество компаний неверно полагают, что, если они не обязаны сообщать уполномоченной инстанции об обработке, то и действия, которые по закону должны выполнять операторы ПДн, тоже не обязательны к исполнению. Но это мнение ошибочно. Если операторы нарушают законодательные требования, касающиеся обработки, это расценивается как неисполнение законодательных норм. За подобные действия предусмотрено наказание.

Конфиденциальность персональных данных – это обязательное требование, которое должен соблюдать как оператор, так и любой другой человек, получивший доступ к ПДн. Конфиденциальность не обеспечивается лишь в том в случае, если:

• персональная информация обезличена;
• персональная информация находится в общем доступе.

Персональные данные перестают считаются конфиденциальными, если они обезличиваются, или же если с момента начала их хранения проходит 75 лет, если об ином не сказано в законодательстве РФ.

На основании №152-ФЗ, оператор персональных данных должен:

1. Обеспечивать безопасную обработку ПДн, то есть проводить необходимые мероприятия организационного и технического характера, направленные на конфиденциальность персональных данных и их защиту от взлома, уничтожения, внесения изменений, блокирования, копирования, распространения и иных незаконных действий.
2. Уведомлять уполномоченную инстанцию по защите прав носителей ПДн (Роскомнадзор) о том, что он намерен обработать персональную информацию. Роскомнадзор заносит в реестр операторов данные об операторе. Сведения в этом реестре общедоступны. Исключение составляет лишь информация о средствах обеспечения безопасности ПДн в ходе обработки.
3. Получать у носителей ПДн разрешение в письменном виде на обработку информации. Делать это оператор обязан, когда получает персональные данные (в том числе, от третьих лиц). Лишь после наличия разрешения он может приступить к обработке. Исключение составляют случаи, когда оператор получил ПДн в порядке, предусмотренном ФЗ, или же эта информация общедоступна. Следует подчеркнуть, что носитель данных вправе запретить обработку сведений о себе.
4. Предоставлять носителю ПДн по требованию всю имеющуюся о нем информацию, методах ее защиты, а также сообщать, с какой целью и в каких условиях будет проводиться обработка.

В обязанности оператора также входит уничтожение, блокировка соответствующих персональных данных, внесение в них изменений, которые предоставляет носитель ПДн или его законный представитель в связи с тем, что информация неполная, неверная, неактуальна, получена противозаконным путем или не соответствует обозначенной цели обработки.

Также оператор должен доказать, что субъект не возражает против обработки его ПДн. Если же обрабатываются общедоступные персональные данные, оператор обязан предъявить доказательства в пользу того, что информация открыта для всех.

1. Предоставлять уполномоченной инстанции по защите прав субъектов персональных данных по запросу сведения, необходимые для ее деятельности. В России работу операторов ПДн контролируют Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций, Федеральная служба по техническому и экспортному контролю и Федеральная служба безопасности.

В законе также указано, когда разрешение носителя ПДн не требуется. Это ситуации, когда:

• данные обрабатываются в соответствии с иными ФЗ;
• между оператором и субъектом ПДн заключен договор, положения которого предполагают обработку информации об этом субъекте;
• необходимо обработать ПДн, чтобы защитить жизнь, здоровье и иные жизненно важные интересы субъекта, но получить его согласие не представляется возможным, к примеру, из-за того, что физическое лицо госпитализировано;
• необходимо обработать персональные данные, чтобы почтовые предприятия смогли доставить посылку;
• данные нужно обработать журналисту в профессиональных целях, или же в целях научной, литературной или другой творческой деятельности. Но при этом интересы и права носителя ПДн должны быть соблюдены;
• нужно обработать персональные данные для последующей публикации на основании ФЗ.

В иных ситуациях оператор обязан действовать в соответствии с нормами закона РФ по обработке информации и соблюдать конфиденциальность персональных данных. При нарушении законодательных норм в отношении оператора применяют уголовную, административную, гражданскую, дисциплинарную или иную ответственность.

Интересные факты про конфиденциальность персональных данных

1. В российском законодательстве отсутствует четко определенный перечень.

В №152-ФЗ персональные данные трактуются как любые сведения, относящиеся к определенному или определяемому на их основании физическому лицу (субъекту ПДн). Данное определение малоинформативно.

1. Различают три вида персональных данных.

• Общие ПДн – это ФИО, адрес, номер телефона физического лица.
• Специальные ПДн – это информация о расе, национальности субъекта, его политической позиции, философской и религиозной точки зрения, здоровье и половой жизни.
• Биометрические ПДн – это физиологические особенности, анатомические характеристики, отпечатки ладоней, пальцев, сетчатка глаз, анализ ДНК и т. п.

1. Судебная практика по персональным данным.

В соответствии с имеющейся сегодня судебной практикой, к персональным данным относят:

• ФИО физического лица, дату рождения (день, месяц, год), адрес. Речь в данном случае также идет о семейном, социальном, имущественном положении, образовании, профессии, доходах (Постановление по делу № А15-2016/2009 от 05.10.2010 г. Президиум ВАС РФ, Постановление по делу № А36-5713/2014 от 29.04.2015 г. 19-й ААС).
• Паспортные данные (см., например, Апелляционное определение Мосгорсуда от 22.05.2014 г. № 33-14709).

Некоторые суды придерживаются мнения, что по серии и номеру паспорта можно идентифицировать бланк документа, но не физическое лицо. Соответственно, это не ПДн (более подробно с этой информацией вы можете ознакомиться из определения Мосгорсуда от 29.02.2012 г. № 33-6709; Постановления Тринадцатого арбитражного апелляционного суда от 21 июня 2010 г. по делу № А56-4788/2010).

Однако сложно признать эту позицию верной и обоснованной, поскольку по номеру и серии паспорта можно легко определить физическое лицо.

• E-mail (это подтверждает, к примеру, Решение по делу № 12-253/2015 от 26.05.2015 г. Калининский районный суд (г. Санкт-Петербург).

Роскомнадзор неоднозначно подходит к вопросу, связанному с отнесением e-mail к персональным данным. На эту тему существуют разъяснения этой службы, где указано, что если в e-mail содержится ФИО, то его можно отнести к персональным данным. Если же адрес электронной почты состоит из набора букв и знаков, то это неправомерно.

• Данные техпаспорта на дом (см., например, Определение Приморского краевого суда от 28.04.2014 г. № 33-3718).
• Адреса мест проживания индивидуальных предпринимателей, которые в себе содержит план проведения проверок юридических лиц и индивидуальных предпринимателей. План является общедоступным и должен находиться на официальном сайте администрации (см., к примеру, Апелляционное определение Волгоградского облсуда от 24.04.2014 г. № 33-4427/2014).
• Информацию о пересечении госграницы (см., к примеру, Апелляционное определение Мосгорсуда от 10.04.2014 г. № 33-11688).
• Адрес, по которому зарегистрировано должностное лицо, информация о его доходах, собственности, распространяемая в форме, не предусмотренной для официальной процедуры (к примеру, Определение Санкт-Петербургского городского суда от 31.03.2014 г. № 33-4198/14).
• Сведения о работнике, прописанные в трудовом договоре (см., к примеру, Апелляционное определение ВС Республики Саха (Якутия) от 23.10.2013 г. № 33-4172/13).

При отнесении информации к персональной нужно также учитывать и следующие моменты:

• Подтверждение и проверка того, что сведения относятся к определенному физическому лицу, не требуются (в законе о подобных мероприятиях ничего не сказано). В связи с этим оператор фактически не имеет представления о том, реальная это информация или вымышленная. Однако обрабатывать ПДн он в любом случае обязан.
• К персональной относят лишь ту информацию, по которой возможна идентификация физического лица (см., к примеру, определение Санкт-Петербургского городского суда от 26 марта 2013 г. № 33-3815/13, Апелляционное определение Мосгорсуда от 28.01.2014 г. №33-5461/14).

1. Более сложные категории ПДн.

Простыми персональными данными называют имя, фамилию и т. п. Однако есть и более сложные группы ПДн. К таковым относится IP-адрес, профиль в социальной сети и др.

По поводу данных групп ПДн даже у судов различные позиции.

• Относительно IP-адреса в одном судебном решении есть неплохой правовой анализ, где говорится следующее: "Правовые последствия при идентификации юзера через установление его ПДн по статическому IP-адресу, который назначает оператор связи, постоянно закрепленному за конечным пользовательским оборудованием при заключении договора на предоставление услуг доступа к интернету (если используется статический IP-адрес, то идентификация всех подключений пользователя всегда ведется по этому IP-адресу в сети связи) должны быть аналогичны правовым последствиям в тех случаях, когда оператор связи назначает IP-адрес пользовательскому оборудованию в автоматическом порядке, на время его подключения (период сессии) к интернету (динамический IP-адрес)". (Решение по делу № 2-5354/2015 от 24.09.2015 г. Октябрьский районный суд г. Самары (Самарская область)).

Отметим, по мнению одних судов IP-адрес не относится к ПДн (см., например, Постановление по делу № А56-75017/2014 от 01.06.2015 г. 13-й ААС), а другие, напротив, считают, что относится (Решение по делу № А76-29008/2015 от 11.02.2016 г. АС Челябинской обл.).

Отнесение статичного IP-адреса к персональным данным достаточно логично, поскольку идентификация пользователя по нему очень проста. Однако у оператора может не быть сведений о том, какой IP-адрес является статичным. В подобных ситуациях следует считать все такие адреса персональной информацией. Соответственно, конфиденциальность персональных данных такого характера должна быть сохранена.

• По поводу логина и пароля (от e-mail и социальной сети) разногласий меньше. По мнению Роскомнадзора, считать их ПДн неправомерно. Эту позицию он озвучивал много раз.

Некачественное обеспечение конфиденциальности персональных данных и другие ошибки, за которые штрафуют бизнес

Ошибка 1. Наличие формы обратной связи без политики конфиденциальности.

Сотрудники Роскомнадзора выяснили, что предприятие ТГЮК разместило на своем сайте форму обратной связи. Но документа о политике конфиденциальности, касающегося обработки персональной информации, на сайте не было. В итоге, на основании ст. 13.11 КоАП РФ, фирме выписали штраф, после чего она подала исковое заявление в суд.

Позиция компании заключалась в следующем: идентификация физического лица была невозможной, так как форма обратной связи состояла лишь из 3 элементов: имени, темы и текста сообщения. Соответственно, конфиденциальность персональных данных была соблюдена. При этом графу «имя» пользователи не обязаны были заполнять. Но судебный орган не принял эти аргументы во внимание и все же наложил на ТГЮК штраф (постановление Тамбовского областного суда от 04.10.2016 г. по делу №4А-288).

Как избежать штрафа: Если компания размещает на сайте подобную форму, то это считается сбором данных о физических лицах. Соответственно, фирма обязана действовать так, как оператор ПДн – сообщать в Роскомнадзор, что она намерена заняться сбором и обработкой персональной информации, получить разрешение носителя данных, выработать политику конфиденциальности и позаботиться о неограниченном доступе к ней. Если вы вырабатываете форму обратной связи, то в ней должна присутствовать функция получения согласия. То есть, перед тем как отправить анкету, пользователь обязан проставить галочку, подтвердив тем свое согласие на обработку персональных данных.

Ошибка 2. Передача личной информации третьим лицам.

Как осуществляется конфиденциальность персональных данных в договоре? Рассмотрим следующий пример. У гражданина образовался долг банковскому учреждению по кредиту. Банк заключил с коллекторским предприятием агентский договор «Морган энд Стаут». В соответствии с его условиями, банковская организация передала персональную информацию о должнике, и коллекторы начали звонить ему и его родственникам, обращаясь с требованием о погашении задолженности. Но при этом обрабатывать и передавать свои ПДн сторонним лицам гражданин не разрешал.

Заемщик потребовал прекращения противоправных действий и уничтожения всех персональных данных, но безрезультатно. Тогда он подал в суд иск с целью компенсации морального ущерба. Как отметил должник, у него требовали погасить долг в агрессивной форме, а потому он начал беспокоиться о здоровье, безопасности и жизни себя и своих родных.

Изучив все материалы дела, суд признал, что банк действовал незаконно, не обеспечил конфиденциальность персональных данных и постановил уничтожить всю персональную информацию о гражданине. Оба учреждения суд обязал компенсировать моральный вред (определение Ярославского областного суда от 05.03.2012 г. по делу №33-939/2012).

Как избежать штрафа: Передача персональных данных возможна исключительно с согласия физического лица, к которому они относятся. Исключения составляют случаи продажи предприятием долга на основании договора переуступки. В данном случае уже новый кредитор должен сообщать носителю ПДн о том, что личные сведения получены.

Ошибка 3. Обработка персональных данных без согласия.

Внеплановая проверка предприятия, проводимая сотрудниками Роскомнадзора, показала, что в листе кандидата на должность отсутствует поле для отметки о согласии на обработку ПДн. Генеральному директору вынесли предупреждение, с которым он не согласился и обратился в суд для обжалования. По словам руководителя, в компании сформировали комиссию, в обязанности которой вошла обработка данных. Он отметил, что при заполнении своих карточек сотрудники присутствуют лично. Помимо этого, в трудовом договоре указано, что работник согласен на обработку. Но эти аргументы, по мнению суда, явились недостаточными для отмены решения, а потому административное наказание все же было применено (постановление Самарского облсуда от 22.08.2016 г. №4а-907/2016).

Как избежать штрафа: Каждая типовая форма документации, предполагающая включение ПДн, должна содержать в себе поле для согласия на обработку. Вам следует провести аудит кадровой документации, чтобы удостовериться, что в бумагах проставлена соответствующая отметка.

Ошибка 4. Предприятие игнорирует отказы клиента получать рекламные сообщения.

Один из клиентов Сбербанка отменил свое согласие на обработку ПДн через «Почту России». Но прошел месяц, и гражданину на телефон пришло рекламное сообщение из банка с предложением оформить кредит. В ответ гражданин подал исковое заявление в суд о незаконной обработке ПДн. Он счел, что банк не обеспечил конфиденциальность персональных данных.

Позиция ответчика заключалась в том, что сообщение содержало в себе не рекламу, а индивидуальное предложение. Помимо этого, текст сообщения не включал в себя информацию, на основании которой была бы возможна идентификация физического лица. Соответственно, использования личных сведений не было, и конфиденциальность была соблюдена.

Но суд принял сторону истца – банковское учреждение знало его номер телефона и ФИО. В соответствии с решением суда, Сбербанк обязали компенсировать истцу моральный ущерб в размере 100 тыс. руб. (определение Новосибирского облсуда от 02.04.2015 г. по делу №33-2662/2015).

Как избежать штрафа: не следует игнорировать разного рода обращения физических лиц – субъектов ПДн. С 1 июля 2017 г. за это предусмотрен штраф в размере 40 тыс. руб. Физическое лицо имеет право отозвать согласие на обработку своих персональных данных, а также узнать, кто работает с его данными, с какой целью, какими способами, в какие сроки осуществляется обработка, какая именно информация о нем хранится. Назначьте работника, предоставляющего сведения по запросам физических лиц. Его контактная информация должна быть общедоступной.

Ошибка 5. Сбор сведений о физлицах без локализации.

Сотрудники Роскомнадзора в рамках анализа нарушений в интернете определили, что известная социальная сеть LinkedIn не выполняет требований по обеспечению записи, систематизации, накоплению, хранению и извлечению ПДн россиян, то есть, не соблюдает конфиденциальность персональных данных. Специалисты службы обязали компанию устранить нарушение, однако требование выполнено не было. Организация аргументировала свой отказ тем, что персональные данные граждан обрабатываются и хранятся за рубежом. Однако суд заметил, что если сайт имеет русскоязычную версию, он занимается сбором ПДн россиян, и, соответственно, обязан выполнять нормы действующего законодательства, в частности, обеспечивать конфиденциальность персональных данных. В итоге суд признал, что сайт ведет незаконную деятельность, к нему ограничили доступ, а саму организацию занесли в реестр нарушителей прав субъектов ПДн (определение Мосгорсуда от 10.11.2016 г. по делу №33-38783/2016).

Как избежать штрафа: В обязанности оператора при сборе персональной информации входит обеспечение локализации ПДн субъектов. Соответствующий закон действует с 1.09.2015 г. Проверьте информационные системы/базы данных, выявите их месторасположение и сформируйте список. Требование, связанное с локализацией ПДн, является обязательным и действует в отношении первичного сбора данных. Обрабатывать и хранить информацию можно за границей.

Рассказывает практик

Обработка персональных данных – дополнительная зона ответственности

Елена Денисова ,

руководитель коммерческой практики, CLIFF

По мнению многих предпринимателей, их деятельность напрямую не связана с обработкой ПДн, так как они просто собирают такую информацию, чтобы знать свою аудиторию. Также значительная часть бизнесменов полагает, что сайт в интернете – это не инструмент автоматизированной обработки, а потому они не собирают личную информацию о пользователях, соответственно, не должны обеспечивать конфиденциальность персональных данных. Но в соответствии с Законом, оператор ПДн – это любое лицо, как физическое, так и юридическое, организующее и осуществляющее обработку персональных сведений и определяющее цели их сбора.

Чтобы не столкнуться с проблемами хранения и применения ПДн и следовать законодательным требованиям, необходимо:

1. Выявить, в каком порядке, объеме и в какое время вы получаете информацию о своих потребителях. Если сведений, по которым можно точно определить клиента, вы не получаете (а получаете лишь e-mail и при этом не предлагаете пройти регистрацию и оставить контактную информацию, то есть, не получаете никаких данных от клиента и работаете на конфиденциальных условиях), то вы не имеете дела с ПДн. Во всех иных ситуациях вам следует четко соблюдать законодательные требования, касающиеся обеспечения конфиденциальности персональных данных.
2. Определить, как ваша компания будет получать от клиента согласие на обработку его персональной информации. Согласие субъекта необходимо, если вы планируете проводить торговые операции и вести любую деятельность по продвижению товаров, услуг, работ на рынке, используя прямой контакт клиента (посредством SMS-сообщений, телефонных звонков, e-mail и проч.). Отметим, при возникновении спорной ситуации оператор, то есть, ваше предприятие, обязан доказать факт получения от клиента согласия (в любой форме, не обязательно в письменном виде). В связи с этим следует выработать правила, в соответствии с которыми нужно собирать, обрабатывать, хранить и уничтожать ПДн, а также специальную форму согласия на проведение этих мероприятий (см. материал для скачивания). При этом клиент может не давать своего согласия, если данные обрабатываются с целью выполнения условий договора, участником которого он выступает, то есть, если сведения использует лишь ваша фирма, не передает ее посторонним лицам и только для того, чтобы оформить сделку купли-продажи с покупателем.
3. Убедиться, что в будущем удастся доказать факт получения согласия от клиента. Мало просто разместить на сайте правила и форму согласия на обработку ПДн. В случае спора это не поможет вам избежать штрафов контролирующих инстанций. У вас должен быть подписанный клиентом документ, из которого будет ясно прослеживаться его согласие на использование ПДн. Также в нем должно быть упомянуто о видах и целях обработки персональной информации. Если вы не будете располагать таким документом, то вас могут привлечь к ответственности. Безусловно, в качестве доказательства может выступать бумажная анкета с подписью покупателя, однако для торговли в интернете этот вариант не подходит.

Роскомнадзор считает, что в качестве согласия на использование персональной информации на сайте может выступать файл электронной цифровой подписи. Помимо этого, предложения оператора о продаже товара в некоторых ситуациях могут быть рассмотрены в качестве публичной оферты. То есть, когда носитель ПДн соглашается на оферту в момент оформления заказа или регистрации, то одобряет использование своих персональных сведений, оставленных продавцу. Судебные органы считают, что компаниям лучше позаботиться о наличии на своем сайте веб-метки, которая означает, что клиент согласен с правилами и порядком обработки ПДн (постановление ФАС СЗО от 13.12.2010 г. по делу №А56-73636/2009, постановление ФАС УО от 18.03.2010 г. по делу №Ф09-1736/10-С1, определение Мосгорсуда от 14.02.2011 г. по делу №33-2064).

Конфиденциальность и защита персональных данных: 4 инструмента

Конфиденциальность персональных данных может быть обеспечена исключительно в той информационной среде, в которой злоумышленники не могут вмешаться в работу ее основных элементов, таких как сетевые устройства, операционные системы, приложения и система управления базами данных (СУБД).

1. Антивирусы.

Один из действенных методов борьбы с утечкой конфиденциальных данных – защита от вирусов. Нередко из-за влияния вирусов, червей и иных вредоносных программ происходит утрата информации по скрытым каналам. В современные антивирусы включена не только сигнатурная защита, но и более инновационные методы. Речь идет, в частности, о поведенческом анализе программ, экранах уровня приложений, контроле над целостностью критической для операционной системы информации и иных способах защиты, которые обеспечивают конфиденциальность персональных данных.

1. Межсетевые экраны.

Необходимо обеспечить эффективную защиту не только всей корпоративной сети, но и каждому отдельному рабочему месту от массовых вирусных атак, а также от целенаправленных атак в сети. Здесь достаточной будет установка системы блокировки неиспользуемых сетевых протоколов и сервисов. Отметим, что именно эти функции и выполняет межсетевой экран. Нередко к его функциональности добавляют также средства организации виртуальных частных сетей – VPN.

1. Системы предотвращения вторжений.

Системы предотвращения вторжений (Intrusion Prevention System, IPS) устанавливают в разрыв сети. Такие сети предназначены для того, чтобы выявлять в проходящем трафике признаки нападения и блокировать обнаруженную наиболее популярную атаку. Это обеспечивает в конечном итоге конфиденциальность персональных данных.

IPS отличаются от шлюзовых антивирусов тем, что выполняют анализ не только содержимого IP-пакетов, но и применяемых протоколов и корректности их использования. IPS способны обеспечить защиту от большего числа атак, в отличие от шлюзовых антивирусов. Системы предотвращения вторжений выпускают фирмы, основная специализация которых – сетевая защита, например, Check Point и McAfee (продукт Network Security Platform), так и компании, производящие сетевое оборудование – Juniper и Cisco.

1. Сканеры уязвимостей.

Общие средства защиты – это и сканеры уязвимости, проверяющие операционные системы и программное обеспечение на наличие разного рода «брешей». Обычно это самостоятельные программы или устройства, которые тестируют систему следующим образом: направляют специальные запросы, имитирующие атаку на протокол или приложение. Среди самых популярных продуктов в этой категории можно выделить MaxPatrol, группу продуктов IBM ISS, Symantec и McAfee (Vulnerability Manager). Однако сейчас выпускают и пассивные сканеры, просто сканирующие трафик и выявляющие вероятные уязвимые места.

Вышеперечисленные инструменты – общие для всей сети и напрямую не относятся к защите персональных сведений. Но их наличие обговаривают в отдельном порядке, а потому этими основными средствами должен располагать каждый оператор персональных данных, причем даже для минимального уровня К4, где сам оператор может выбирать средства защиты.

В данный момент комплект инструментов для защиты от утечки персональной информации только формируется. Существует 3 категории таких продуктов:

• Системы контроля периферийных устройств.

Зачастую утечки ПДн происходят через съемные информационные носители и несанкционированные каналы связи, среди которых флэш-память, USB-диски, Bluetooth или Wi-Fi, в связи с чем необходимо контролировать и периферийные устройства. Это позволяет избегать утечек и обеспечить конфиденциальность персональных данных. На рынке есть определенные инструменты, относящиеся к данной категории, к примеру, от производителей SmartLine и SecureIT.

• Системы защиты от утечек (Data Leak Prevention, DLP).

Благодаря системам защиты от утечек можно при помощи особых алгоритмов вычленить из потока информации конфиденциальную и предотвратить ее несанкционированную передачу, поставив блок. В DLP-системах существует ряд механизмов контроля различных каналов передачи данных – e-mail, мгновенных сообщений, web-почты, печати на принтере, сохранения на съемном диске и проч. При этом такие системы ставят блок на утечку только конфиденциальной информации, так как оснащены встроенными механизмами для определения степени секретности данных, благодаря чему достигается высокая конфиденциальность персональных данных.

• Методы шифрования.

Методы шифрования применяются в процессе передачи персональной информации по сети в распределенной системе. Вы можете пользоваться продуктами класса VPN, основой которых обычно является шифрование. Но системы данного типа должны быть сертифицированными и тесно интегрированными с базами данных, в которых хранится персональная информация.

Благодаря инструментам, перечисленным выше, можно избежать утечек информации, в том числе персональной, то есть, обеспечить конфиденциальность персональных данных. При этом методы могут быть использованы и для того, чтобы защищать иную, критическую для организации, информацию. Но стоит учитывать, что для исполнения требований закона «О персональных данных» необходимо использовать сертифицированные средства защиты, одобренные ФСТЭК.

Политика о конфиденциальности персональных данных на сайте : пошаговая инструкция

Политика конфиденциальности – это тоже оферта (соглашение), но только касающаяся вопросов использования персональной информации пользователей. Если юзер принял (акцептовал) предложенные ему условия и правила, значит, дал согласие на обработку персональных данных.

То есть, пользователь может:

• зарегистрироваться/авторизоваться;
• проставить в полях соответствующие отметки;
• выполнить действия в определенной последовательности;
• использовать функционал сайта.

Все эти действия будут свидетельствовать о том, что пользователь принял правила обработки его ПДн.

Лучше применять описание не одной формы акцепта, а их совокупность, указывая, к примеру, что пользователь согласился с правилами Политики конфиденциальности, нажав соответствующую кнопку или проставив отметку в поле для Регистрации на любой стадии регистрации или в любой момент пользования интернет-ресурсом.

Универсальный шаблон Политики конфиденциальности пока не выработан. Когда вы ее разрабатываете, то так или иначе должны принимать во внимание особенности работы ресурса, его назначение, функциональные особенности, численность целевой аудитории, то, в каких объемах клиенты оставляют сведения о себе.

На основе анализа существующего законодательства в области обработки персональной информации появилась возможность сформулировать ряд рекомендаций для владельцев сайтов по содержанию Политики конфиденциальности:

Шаг 1. Если хотите, в Политику конфиденциальности можете включать главу с терминами и определениями. Однако это необязательно. Чтобы обеспечить удобство юзеров и унифицировать документацию на сайте, вы можете включить соответствующую главу с терминами и их расшифровкой – едиными как для Политики конфиденциальности, так и для Пользовательского соглашения (например, «сайт», «владелец сайта», «пользователь», «личный кабинет» и проч.).

Если даже у вас на сайте отсутствует такой раздел в Политике конфиденциальности, вы, как владелец, никаких рисков из-за этого не несете.

Шаг 2. Выделите общие положения и опишите у них:

• Предмет регулирования Политики.
• Формы акцепта юзера с правилами Политики и обработкой ПДн.
• Место разрешения спорных ситуаций, которые вытекают из Политики, с оговоркой (к примеру, вы можете указать, что все возможные споры по поводу Политики конфиденциальности и отношений между гражданином и владельцем интернет-ресурса будут разрешаться через суд по месту пребывания владельца сайта в соответствии с нормативами РФ, если об ином не сказано в федеральном законе). Оговорка требуется в целях соблюдения действующих норм законодательства. Если же в Политике указано, что споры должны разрешаться по месту пребывания Администрации сайта, пользователь заблаговременно будет знать об этом.
• Порядок внесения изменений в Политику и обновления данного документа (к примеру, «Администрация сайта вправе менять и (или) вносить дополнения в Политику конфиденциальности, при этом специально не уведомляя пользователя об этом. Политика конфиденциальности в новой редакции вступает в силу с того момента, как размещается на странице сайта, если об ином не сказано в новой редакции Политики конфиденциальности. Действующая редакция Политики конфиденциальности всегда находится на странице сайта по адресу…»). Если пользователь никак не реагирует, это означает, что он согласен с изменениями и (или) дополнениями в Политике конфиденциальности.
• Отсутствие доступа к информации, которую гражданин оставляет на сайтах третьих лиц. Это может быть связано с тем, что пользователь оплачивает услуги и предоставляет свои платежные данные.

Здесь следует четко прописать, к примеру, следующее: «пользователь признает и подтверждает, что любую информацию, включая, например, данные банковских карточек, напрямую или косвенно связанные с оплатой услуг или сервисов, он размещает на страницах сайтов третьих лиц, которые не имеют отношения к владельцу сайта; Администрации сайта такая информация недоступна, она не собирает, не систематизирует, не хранит, не уточняет, не обновляет и не изменяет, не использует, не распространяет (в том числе, не передает), не обезличивает, не блокирует, не уничтожает такие данные, не осуществляет трансграничную передачу – словом, не проводит в их отношении никаких операций.

Шаг 3. Вам следует зафиксировать тот факт, что вы предоставили согласие пользователю на использование его ПДн. Это крайне необходимо в любой политике конфиденциальности. Укажите, что когда пользователь соглашается на обработку своих данных, то руководствуется собственными интересами и делает это по собственной воле. Пользователь соглашается на обработку информации с того момента, как регистрируется на сайте и (или) совершает иные действия, связанные с пользованием сервисами или возможностями интернет-ресурса.

Шаг 4. Необходимо обозначить, с какой целью вы предоставляете согласие, например, чтобы:

• заключать с Администрацией интернет-ресурса соглашения, договоры, которые напрямую предусматривает Политика, а также иные соглашения, размещенные на сайте, и их последующее исполнение;
• участвовать в организуемых акциях, а также принимать решения и выполнять иные мероприятия с разного рода юридическими последствиями в отношении пользователя или иных лиц;
• принимать и обрабатывать запросы;
• информировать клиентов о состоянии запроса и услугах, к примеру, при помощи сообщений по e-mail или по SMS;
• улучшать качество работы интернет-ресурса;
• проводить статистические и иные исследования на основании обезличенной информации.

Вполне могут иметь место любые варианты, причем одновременно. Но основная в данном случае цель – первая в данном списке. То есть она заключается в использовании персональных данных, чтобы заключать соглашения, договоры с владельцем интернет-ресурса и исполнять их. Благодаря этому варианту можно будет объяснить отсутствие согласия на обработку персональной информации «на бумаге» в случае проблем с Роскомнадзором, и разъяснить, почему владелец не направил в данную инстанцию уведомления.

Шаг 5. Следует описать, из чего состоят персональные данные.

К персональной относится далеко не вся информация о пользователе. Персональные данные, как уже было отмечено, позволяют точно определить гражданина. К ним относятся, к примеру, ФИО, адрес места проживания, а также паспортные данные. Конфиденциальность персональных данных клиентов – обязательное к соблюдению условие для всех организаций.

В Политике конфиденциальности вы можете указать, что согласие пользователя распространяется на ФИО, адрес места проживания, телефонный номер и любые другие данные, относящиеся к личности человека, которыми сейчас располагает Администрация сайта.

Шаг 6. Обозначьте период, в течение которого действует согласие.

Вы можете указать, что согласие гражданина действует до тех пор, пока не истекут сроки хранения соответствующих сведений или документации, в которых содержится обозначенная выше информация. Эти сроки определяет законодательство РФ. По истечении указанного периода пользователь может отозвать свое согласие, направив соответствующее уведомление (в письменном виде) владельцу сайта. Сделать это он обязан не менее чем за 3 месяца до момента отзыва согласия.

Шаг 7. Зафиксируйте объем возможных действий по обработке.

Помните, что чем больше возможных действий с персональной информацией вы опишете, тем лучше. Вы можете указать, что согласие предоставляется на проведение любых операций без ограничений персональными данными, необходимыми или желаемыми для решения обозначенных выше задач. То есть, вы, как владелец сайта, получая персональные данные пользователя, с его согласия можете собирать, систематизировать, копить, хранить, уточнять (обновлять, изменять), использовать, распространять (в том числе, передавать), обезличивать, блокировать, уничтожать, осуществлять трансграничную передачу ПДн, а также выполнять иные процедуры с личной информацией гражданина в соответствии с действующими законодательными нормами РФ.

Шаг 8. Обозначьте методы обработки ПДн.

Укажите, как вы собираетесь использовать персональные данные пользователя – хранить, записывать на электронные носители с их последующим хранением, формировать перечни или как-то иначе.

Шаг 9. Обозначьте, что у вас есть право раскрытия персональных данных третьим лицам.

Зафиксируйте свое право, как владельца сайта, передавать данные третьим лицам, если необходимо достичь той или иной цели, обозначенной в Политике. Также вам следует обозначить, что пользователь не возражает против передачи его данных.

Шаг 10. Установите, в каком порядке будут отправляться юридически значимые сообщения.

Чтобы урегулировать поток обращений от пользователей, связанных с обработкой информации, необходимо усложнить процесс взаимодействия с Администрацией интернет-ресурса. Как? Например, определить письменную форму подобных обращений и способ их отправки – по e-mail или через курьера. В дополнительном порядке укажите, что если формат обращений не будет соблюден, обращения и уведомления пользователя останутся нерассмотренными.

Какие предусмотрены штрафы за нарушение конфиденциальности персональных данных с 2017 года

С 1.07.2017 г. в силу вступил ФЗ от 07.02.2017 г. № 13-ФЗ, вносящий поправки в ст. 13.11 Кодекса об административных правонарушениях. Так, на основании данного ФЗ предусмотрено расширение списка оснований, по которым на нарушителей могут наложить административное взыскание за незаконную обработку персональной информации и существенно повысить штрафы.

Основание	Размер штрафа
	Физические лица	Должностные лица	Юридические лица
Обработка ПДн в случаях, не предусмотренных законодательством РФ; обработка ПДн, несовместимая с целями сбора ПДн	предупреждение или штраф - от 1000 до 3000 руб.	предупреждение или штраф - от 5000 до 10 000 руб.	предупреждение или штраф - от 30 000 до 50 000 руб.
Обработка ПДн без письменного согласия на то их субъекта	от 3000 до 5000 руб.	от 10 000 до 20 000 руб.	от 15 000 до 75 000 руб.
	от 700 до 1500 руб.	от 3000 до 6000 руб.	от 15 000 до 30 000 руб.	от 5000 до 10 000 руб.
Непредоставление субъекту ПДн информации по их обработке	предупреждение или штраф - от 1000 до 2000 руб.	предупреждение или штраф - от 4000 до 6000 руб.	предупреждение или штраф - от 20 000 до 40 000 руб.	предупреждение или штраф - от 10 000 до 15 000 руб.
Невыполнение оператором требования субъекта ПДн или его представителя об уточнении, блокировке, уничтожении (если ПДн неполные, устаревшие, неточные, незаконно получены, не являются необходимыми для заявленной цели обработки)	предупреждение или наложение штрафа в размере от 1000 до 2000 руб.	предупреждение или штраф - от 4000 до 10 000 руб.	предупреждение или штраф - от 25 000 до 45 000 руб.	предупреждение или штраф - от 10 000 до 20 000 руб.
Необеспечение оператором при обработке ПДн без средств автоматизации обязанности по сохранности ПДн, что привело к неправомерному или случайному доступу к ПДн и стало причиной их уничтожения, изменения, блокирования, копирования	от 700 до 2000 руб.	от 4000 до 10 000 руб.	от 25 000 до 50 000 руб.	от 10 000 до 20 000 руб.
Невыполнение оператором (гос. или муниципальным органом) обязанности по обезличиванию ПДн; несоблюдение требований по обезличиванию ПДн		предупреждение или наложение административного штрафа - от 3000 до 6000 руб.

Конфиденциальность персональных данных за рубежом

• США.

В Штатах намеренно не принимают федеральный закон о защите ПДн, отдавая предпочтение законам, касающимся отдельных областей жизни. В 1988 г. видеопрокатам в США запретили публичное разглашение информации о том, какие видеокассеты берут клиенты. Такой запрет на прокаты наложили после утечки в СМИ списка видеокассет, арендованных кандидатом в судьи ВС РФ Робертом Броком. Отметим, в списке значились вполне приличные фильмы.

Очень важное значение в США имеет конфиденциальность персональных данных, передаваемых за границу. В Штатах в этом отношении действует то же правило, что и в Европе – принимающее государство должно защищать персональную информацию на должном уровне.

Непринятие общего закона о защите персональных данных в США связано со специфической экономической и политической культурой, где власти способствуют саморегуляции бизнеса. Например, свободу слова в конституции гарантирует первая поправка. Что же касается права на неприкосновенность частной жизни, то она в ней прямо не прописана и лишь подразумевается. Однако все это не мешает отдельным штатам выдвигать инициативы. С 2014 г. в Калифорнии действует закон, обязывающий сайты оповещать пользователей, отслеживаются их действия или нет. С 2015 г. поведение несовершеннолетних граждан в США не отслеживают, как и в Европе.

• Азия.

Сегодня в странах Азии действует закон о защите персональной информации в интернете. Исключение составляет лишь Китай и большая часть государств Ближнего Востока. В Индии закон о соблюдении конфиденциальности персональных данных не имеет силы за пределами страны. И, заметим, он не очень жесткий. Большую часть граждан Индии не волнует конфиденциальность персональных данных. Из информации на сайтах знакомств можно легко узнать, какую группу крови имеет тот или иной пользователь, кто ВИЧ-инфицирован. При этом правительство наделено обширными полномочиями доступа к персональной информации, а для поиска номера мобильного телефона нередко достаточно вбить имя гражданина в строку поиска.

Закон о защите персональных данных, в том числе, в интернете, приняли в 2005 году. Иностранные организации с офисом в Японии должны детально разъяснять, с какой целью они хранят ПДн, если эти сведения касаются хотя бы 5 тыс. клиентов и работников.

Отметим, японцы очень осторожно относятся к распространению своих персональных данных, даже если случаются природные катаклизмы – землетрясения или госпитализации человека. Конфиденциальность персональных данных крайне важна для них. При этом время от времени происходят крупные утечки информации и незаконные сделки по их продаже. В последние годы развитие интернета опережает закон. Нормы, выработанные лет десять назад, не учитывают существования облачных сервисов и социальных сетей.

В Сингапуре в 2013 г. приняли закон, подобный тому, что в данный момент рассматривает Совет Европы. Сегодня законодательство именно этого государства наиболее прогрессивно во всей Азии в отношении хранения ПДн.

• Южная Америка.

В Южной Америке был громкий скандал с Эдвардом Сноуденом, отчасти приведшим к принятию закона Marco Civil da Internet. Значительное место в законе отведено вопросу защиты персональной информации. Жители Бразилии относятся к конфиденциальности ПДн практически так же, как в Европе, но с некоторыми нюансами.

Совместно с Германией Бразилия продвинула в ООН первую резолюцию о защите ПДн в сети. В резолюции было сказано о том, что право на конфиденциальность персональных данных должно быть обеспечено и в реальной жизни, и в интернете. Отметим, в Бразилии электронная переписка защищается в таком же порядке, что и обычная.

Что же касается остальной Южной Америки, там законопроекты о конфиденциальности персональных данных обычно рассматривают в течение нескольких месяцев, а то и лет.

Единственная страна, где требования о защите персональной информации в интернете выполняются в полном объеме? – это Аргентина.

Информация об экспертах

Елена Денисова , руководитель коммерческой практики, CLIFF. Елена Денисова окончила Московский государственный открытый университет и Московский финансово-юридический университет. Специализируется в области коммерческого права, занимается решением задач, связанных с электронной коммерцией, включая судебную защиту ее субъектов. Обеспечивала юридическое сопровождение ряда стартапов в этой области. CLIFF - группа компаний, оказывающая юридические услуги широкого спектра. Основана в 1994 году. Штат - более 50 юристов. Одна из первых компаний, которая занялась работой с проектами в сфере электронной коммерции - от разработки платежных систем до создания с нуля интернет-проектов разных направлений. Официальный сайт - www.cliff.ru

В настоящее время огромную роль играет охрана коммерческой информации , дающей возможность конкурировать на рынке с другими фирмами.

Коммерческая тайна – это конфиденциальность сведений, позволяющая расширить размер заработка или приобрести любое другое предпринимательское преимущество. К ней относятся различные данные, имеющие коммерческую значимость. Не является таковой информация, приобретенная легально благодаря независимым источникам и разглашаемая самой фирмой в открытую. Всегда надо помнить, что шифрование большой информации может вызвать сложности в работе и создать дополнительную бумажную волокиту.

ВНИМАНИЕ . Если конфиденциальные материалы запрошены следственными либо судебными органами, они должны быть предоставлены.

Профессиональная

Не стоит путать профессиональную тайну со служебной , обязательство ее хранить характерно для государственных служащих. Характерная черта профессиональной тайны – единство с профессиональной работой.

Профессиональная тайна включает в себя данные, которые становятся известны сотрудникам во время исполнения своих обязанностей. Например, адвокатская тайна, врачебная тайна, нотариальная тайна.

Разрешается сведения :

1. о правах и обязанностях граждан и компетенциях государственных органов;
2. об экологической ситуации;
3. о работе библиотек, музеев, архивов и т.д.

При устройстве на работу в программу трудового договора может быть включен пункт о неразглашении секретных данных. Если речь идет о профессиональной или служебной тайне, то обязательство их соблюдать возникает на основе закона, вне зависимости от трудового соглашения.

Доступ к профессиональной тайне имеют :

1. лица, чья работа напрямую зависит от персональных данных (врачи, нотариусы, адвокаты);
2. лица, помогающие вышеперечисленным сотрудникам (секретари, медсестры).

Что относится к конфиденциальной информации?

СПРАВКА . Конфиденциальная информация – это документы, пользование которыми разрешается лишь некоторым лицам, их разглашение является правонарушением.

Засекреченные данные – это коммерческая, военная, банковская, служебная или государственная тайна.

Существуют отдельны виды зашифрованных материалов :

Как документально оформляется неразглашение?

Для охраны засекреченных сведений от посторонних людей формируется договор. Главная его задача – защита важных данных от потери. Существуют следующие виды соглашения:

1. Односторонний договор . В этом случае одна сторона соглашается предоставить другой засекреченные материалы. Подобные соглашения устанавливаются при наборе на работу.
2. Взаимный договор . Здесь обе стороны предоставляют друг другу зашифрованные данные. Подобные акты складываются при объединении организаций, осуществлении общих сделок и т.д.

В такие соглашения можно вписать какую угодно информацию, если лица сочтут это необходимым. Существую особые образцы для таких документов.

Лицо, подписывающее договор о неразглашении, обязано :

1. не пользоваться этими данными в личных целях;
2. не передавать сведения посторонним лицам;
3. доложить начальству, если кто-либо будет пытаться выяснить засекреченные данные;
4. не разглашать материалы после окончания допуска к ним на протяжении определенного времени.

Человек, имеющий доступ к секретным материалам, знает, что в случае разглашения он будет подвергнут юридической ответственности.

Какова ответственность за передачу данных?

В случае опубликования зашифрованной информации возможны три вида ответственности: дисциплинарная, административная, уголовная.

• Дисциплинарная ответственность реализуется в форме устного замечания, а порой – и увольнения. Наказание может последовать только после служебной проверки.
• Административное наказание получает выражение в виде штрафа.
• Уголовное наказание применимо при условии оглашения коммерческой, банковской или налоговой тайны. Возбудить уголовное дело можно только по заявлению предпринимателя, который пострадал от разглашения коммерческой тайны.

ВНИМАНИЕ . При этом собирание засекреченных материалов должно осуществляться нелегальными методами – с помощью подкупа, угроз, хищения и т.д. Наказание может варьироваться от штрафа до лишения свободы.

Помимо основного вида наказания может последовать и дополнительное наказание в форме компенсации вреда, возникшего из-за опубликования сведений.

Конфиденциальная информация – это данные, не доступные посторонним лицам. Разглашение конфиденциальной информации является правонарушением и влечет юридическую ответственность.