Популярное
Свежее
Моя лента
Сообщения
Рейтинг
Курсы
Маркет
Подписка ChatGPT
Темы
AI
Сервисы
Маркетинг
Личный опыт
Деньги
Крипто
Инвестиции
Карьера
Путешествия
Телеграм
Показать все
vc.ru
О проекте
Правила
Реклама
Приложения
Два Пиэр.Консалтинг
Трибуна

Конфиденциальная информация: фиксация, разглашение, расследование

В данной статье эксперты Два ПиЭр.Консалтинг (https://2pir.org) подскажут:
- как юридически «обезопаситься» от утечки данных, а при разглашении – как расследовать данные инциденты;
- какие ИТ-меры предпринять, чтобы защитить конфиденциальную информацию.

Компания Два ПиЭр.Консалтинг специализируется на оказании правовых и ИТ-услуг в сфере расследования инцидентов, связанных с нарушением информационной безопасности, включая случаи утечек данных.
Компания Два ПиЭр.Консалтинг специализируется на оказании правовых и ИТ-услуг в сфере расследования инцидентов, связанных с нарушением информационной безопасности, включая случаи утечек данных.

К сведениям конфиденциального характера согласно Указу № 188 относятся:

  • личные данные физических лиц («персональные данные»);
  • информация, составляющая тайну следствия и судопроизводства (включая сведения о свидетелях, потерпевших, подозреваемых и обвиняемых);
  • служебная тайна (информация ограниченного доступа государственных служащих);
  • профессиональная тайна (тайна адвокатская, врачебная, банковская и пр.);
  • коммерческая тайна (информация, представляющая ценность для бизнеса);
  • патентная тайна (до момента официального опубликования патента)

Для бизнеса наиболее актуальными являются коммерческая тайна и персональные данные.

С 5 июля 2025 г. штраф за разглашение коммерческой тайны составляет до 5 млн. рублей (ст. 183 УК РФ). Предусмотрены серьёзные санкции за нарушение законов о персональных данных: при массовой утечке - до 15 млн. рублей, а при повторной утечке - штраф в размере 1-3% годового оборота компании, но не менее 20-25 млн. рублей и не более 500 млн. рублей. Кроме того, существуют отдельные виды нарушений, связанные с несоблюдением порядка обработки персональных данных, предоставлением некорректной информации субъекту персональных данных и пр.

Ошибки при обращении с данными могут влететь в копеечку. Опыт крупных компаний подтверждает, что инциденты утечек происходят независимо от качества технической защиты. Однако компании с отлаженными бизнес-процессами способны преодолевать подобные ситуации более эффективно. Важную роль играет также грамотная юридическая подготовка.

Меры, необходимые для защиты данных

Если законодательство о персональных данных императивно для всех, то в отношении режима коммерческой тайны каждая компания решает сама, устанавливать ли его или нет, т.к. это ее право, а не обязанность. Если решение положительное, то компания обязана соблюдать положения ФЗ № 98-ФЗ и осуществлять следующие меры:

  1. Определить перечень сведений, составляющих коммерческую тайну. Компания самостоятельно определяет, какая именно информация подлежит охране в качестве коммерческой тайны, маркирует ее, знакомит с ней работников под роспись, устанавливает специальный режим работы (ИТ-меры и внутренние документы)
  2. Организовать внутренний контроль доступа к охраняемой информации. Необходимо ограничить круг лиц, имеющих доступ к документам. Для этого могут использоваться системы аутентификации пользователей и ограничения прав доступа. Желательно, чтобы в компании, помимо юриста, был отдельный ИБ-специалист или DPO
  3. Заключить соглашения о неразглашении (NDA). Все сотрудники/подрядчики/контрагенты, имеющие доступ к коммерческой тайне, обязаны подписать соглашение о неразглашении, которое юридически закрепляет обязательство сохранять конфиденциальность
  4. Осуществить охрану помещений и оборудования. Компьютерные серверы/облака/ИБ-системы, содержащие информацию, должны быть официально закуплены, установлены, прописаны во внутренних документах, находиться под охраной и ограниченным физическим доступом
  5. Регистрировать доступ и операции с конфиденциальной информацией. Рекомендуется вести учет всех операций, совершаемых с конфиденциальными материалами, включая запись в журнале регистрации действий работников
  6. Принять внутренние инструкции и регламенты. Следует разработать внутренние регламенты, регулирующие порядок обращения с информацией, включая правила передачи и уничтожения документов, использования работниками ИТ-техники и пр. Порядок может быть закреплен в Положении о коммерческой тайне, Положении об обработке персональных данных, Политике информационной безопасности и иных локальных актах

Важно, чтобы вся информация всегда передавалась по акту за подписью сторон (передающей и принимающей). При работе с персональными данными – передача должна осуществляться согласно закону № 152-ФЗ (с согласия субъекта, по поручению на обработку и пр.)

Чем тщательнее организован процесс, тем проще зафиксировать случаи утечки или разглашения информации и привлечь виновных к юридической ответственности. Иначе последствия негативных действий можно обнаружить, но доказать их в суде окажется невозможно.

Расследование инцидентов

При утечке данных или разглашении коммерческой тайны нужно зафиксировать произошедшие факты, организовать служебное расследование, собрать доказательства внутри ИТ-ресурсов (логи серверов, системные журналы), задокументировать все действия через юриста и/или нотариуса, незамедлительно уведомить Роскомнадзор о произошедшем инциденте (при утечке персональных данных) и о результатах внутреннего расследования (по форме: https://pd.rkn.gov.ru/incidents/form/), оценить последствия, постараться определить виновных и (возможно) провести комплаенс всех документов и систем, чтобы предотвратить подобные инциденты в будущем.

Практика судов свидетельствует о том, что компании часто сталкиваются с трудностями при попытке доказать законность увольнения сотрудника за нарушение режима коммерческой тайны. Основная проблема в том, что работодатель обязан представить доказательства, подтверждающие факт передачи закрытой информации третьим лицам, её принадлежность к коммерческой тайне и наличие обязательства сотрудника хранить такую информацию в тайне. Если какой-то из этих факторов останется неподтверждённым, судебное решение, скорее всего, будет принято в пользу работника.

В подобной ситуации важно реально взглянуть на состояние внутренней документации компании и определить, какие шаги в области информационной технологии необходимо предпринять, а какие бизнес-процессы оптимизировать. Обычно информационная безопасность сосредоточена на профилактике угроз, а не на расследованиях. Без грамотно оформленных соглашений и локальных актов доказать чьи-то проступки станет крайне проблематично.

Чем мы можем помочь?

Эксперты Два ПиЭр.Консалтинг готовы предложить своим клиентам комплексный подход к защите конфиденциальных сведений путём сочетания правового сопровождения и современных ИТ-технологий:

• Правовые услуги:

  • Проведение юридических консультаций в области защиты персональных данных и коммерческой тайны, разработка соответствующих документов.
  • Оказание помощи при урегулировании конфликтов, возникающих вследствие нарушений конфиденциальности.

• ИТ услуги:

  • Организация проведения ИТ-аудитов корпоративной инфраструктуры с целью выявления уязвимых мест и предотвращения возможных угроз.
  • Разработка и внедрение механизмов защиты коммерческой тайны, особенно актуальных в ситуациях увольнения сотрудников, когда существует риск несанкционированного распространения чувствительной информации.
1
Начать дискуссию