Чтобы надежно защитить конфиденциальную информацию, вам нужно принять целый комплекс мер, причем не только правового, но и организационного, а также технического характера. Например, хранить документы в сейфах, установить видеонаблюдение в отдельных помещениях, вести журнал учета документов, использовать шифрование при пересылке по электронной почте, ограничить доступ в Интернет и заблокировать USB-разъемы на компьютерах отдельных сотрудников и т.п.

Правовые меры зависят от того, какую информацию вы намереваетесь защитить. В частности, различные меры требуются для защиты персональных данных и коммерческой тайны.

Как защитить персональные данные

Чтобы защитить персональные данные, вы должны принять меры, предусмотренные Законом о персональных данных и Трудовым кодексом РФ. В противном случае вас могут привлечь к ответственности по ст. 13.11 КоАП РФ.

Для защиты персональных данных работников, в частности:

1. установите порядок хранения и использования персональных данных. Для этого составьте и утвердите политику об обработке персональных данных;
2. ознакомьте каждого работника под подпись с указанной политикой. Это очень важно, поскольку иначе вы не сможете привлечь работника к ответственности за нарушение предусмотренного порядка;
3. установите перечень лиц, которые имеют доступ к персональным данным работников. Такие лица должны иметь право получать только те данные, которые необходимы им для выполнения конкретных функций.

Что учесть при обработке персональных данных лиц, не являющихся сотрудниками организации

Важно помнить, что вы являетесь оператором персональных данных в отношении не только своих работников, но и прочих физлиц, чьи данные получаете. Это могут быть клиенты, партнеры или просто граждане, интересующиеся вашими услугами или товарами, посещающие ваш сайт, получающие СМС-рассылки и пр.

Это накладывает на вас определенные обязанности. В частности, вы должны до начала обработки персональных данных уведомить Роскомнадзор о намерении это делать, за исключением предусмотренных законом случаев.

В ряде случаев вам нужно получить согласие на обработку персональных данных от лиц, которые обращаются в вашу организацию. Например, его нужно взять у кандидатов на вакантные должности, которые приходят на собеседования, ведь в их анкетах есть персональные данные.

Если у вас есть интернет-сайт, через который вы получаете персональные данные (например, посредством формы обратной связи или подписки на новости), вы должны опубликовать на нем, в том числе на его страницах, с использованием которых собираете эти данные, вашу политику обработки персональных данных и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить доступ к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети. За нарушение этой обязанности вас могут привлечь к ответственности по ч. 3 ст. 13.11 КоАП РФ.

Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляют отдельно от иных его согласий на обработку его персональных данных (п. 1 ст. 10.1 Закона о персональных данных). При этом такие согласия могут быть предоставлены операторам как непосредственно, так и с использованием информационной системы Роскомнадзора. Указанные согласия предоставляются (получаются) через информационную систему Роскомнадзора в соответствии с Правилами, утвержденными приказом Роскомнадзора от 21.06.2021 N 106.

Как защитить информацию, имеющую коммерческую ценность

Режим коммерческой тайны нужен, чтобы защитить информацию, имеющую коммерческую ценность. Он считается установленным после того, как вы примете указанные в законе меры.

В частности, вам необходимо:

• определить перечень информации, которая составляет коммерческую тайну. Обратите внимание, Закон говорит именно об информации, а не о конкретных документах. Их перечень рекомендуем определить отдельно, указав, какая именно информация и в каких конкретно документах может содержаться;
• установить порядок обращения с этой информацией и контролировать его соблюдение. Это удобно сделать, разработав инструкцию по работе с коммерческой тайной;
• вести учет лиц, получивших доступ к коммерческой тайне. Список лиц лучше составить по должностям, а не по конкретным лицам — так проще предоставлять доступ к коммерческой тайне. Лицо, которому предоставлен доступ, в свою очередь, должно взять на себя письменное обязательство по сохранению информации, относящейся к коммерческой тайне. Иначе есть риск, что в случае ее разглашения лицо заявит, что не знало о статусе документа, и вы не сможете доказать обратное;
• урегулировать отношения по использованию информации, составляющей коммерческую тайну, работниками и контрагентами. Самый простой способ — включать соответствующие положения в трудовые договоры и договоры с контрагентами;
• нанести гриф «Коммерческая тайна» на материальные носители, которые содержат информацию, или включить его в реквизиты документов.

Если вы не примете какую-либо из указанных в Законе мер, режим коммерческой тайны введен не будет. В таком случае вам могут отказать в привлечении работника к ответственности за разглашение конфиденциальной информации.

Срок действия режима коммерческой тайны законодательно не установлен в отношении большинства сведений. Такой срок ограничен только в отношении первичной и интерпретированной геологической информации о недрах Законом о недрах.

Как в организации реализовать меры по защите информации

Чтобы не допустить разглашения коммерческой тайны сотрудниками, нужно ознакомить их под подпись с перечнем информации, составляющей коммерческую тайну, установленным вами режимом коммерческой тайны и ответственностью за его нарушение. Кроме того, нужно создать сотрудникам необходимые условия для соблюдения ими режима коммерческой тайны. Например, выдать сейф, установить программные средства защиты информации.

Рекомендуем включить обязанность работника не разглашать коммерческую тайну в трудовой договор или допсоглашение к нему. Вы можете заключить также отдельное соглашение о неразглашении конфиденциальной информации, сделав его приложением к трудовому договору. В этом соглашении можно установить, какие сведения являются конфиденциальными, какая ответственность наступит в случае их разглашения, а также срок, в течение которого работник обязан хранить тайну. Учтите, что закон обязывает работника не разглашать конфиденциальную информацию, обладателями которой являются работодатель и его контрагенты, и без их согласия не использовать эту информацию в личных целях в течение всего срока действия режима коммерческой тайны, в том числе после прекращения трудового договора.

Не рекомендуем устанавливать штраф за разглашение работниками конфиденциальной информации. Денежный штраф как вид дисциплинарного взыскания трудовым законодательством не предусмотрен. Вас могут привлечь к ответственности не только за применение штрафа, но и за сам факт его установления. Если вы хотите стимулировать ответственное отношение работников, проинформируйте их о том, что за незаконные разглашение или использование сведений, составляющих коммерческую тайну, вы вправе их уволить на основании пп. «в» п. 6 ч. 1 ст. 81 ТК РФ. Кроме того, в этом случае им грозят административная ответственность по ст. 13.14 КоАП РФ и даже уголовное наказание вплоть до лишения свободы в соответствии со ст. 183 УК РФ.

Информацию подготовил помощник прокурора Приволжского района В.В. Яковлев