выключить дудлвключить дудл

Конфиденциальность – самый надежный способ разглашения?

Информация – мощнейшее оружие в современном мире. В связи с этим возникают вопросы: вся ли информация представляет такую ценность? Как ограничить доступ к важной информации? Как ее защитить? Есть ли жизнь после ее разглашения? Давайте разбираться.

Информация бывает разная, в том числе и с ограниченным доступом. Она включает в себя конфиденциальную, тайную и служебную информацию. Определяющей характеристикой тайной информации является содержание в ней какой-либо тайны: государственной, профессиональной, банковской и т.д. Служебная информация, в свою очередь, характеризируется принадлежностью к субъектам государственной власти. Информацию, которая не подпадает ни под одну из вышеперечисленных характеристик, можно определить, как конфиденциальную.

Согласно украинскому законодательству, конфиденциальной информацией являются персональные данные (информация о человеке, с помощью которой он может быть идентифицирован) и любая другая информация, доступ к которой ограничен физическим или юридическим лицом. Выходит, что есть информация, которая автоматические считается конфиденциальной (персональные данные:
ФИО, дата и место рождения, адрес, семейное, социальное, имущественное положение и прочее), а есть информация, которая становится конфиденциальной только после присвоения ей такого статуса. На этом остановимся подробней.

Есть несколько вариантом индикации информации как конфиденциальной.

1. Заключая договор, перечислите с контрагентом всю информацию, к которой должен быть ограничен доступ. Параллельно также определите способы ее хранения, передачи и ответственность за разглашение. Руководствуясь свободой договора, вы можете предусмотреть хоть ларец с позолотой в качестве надлежащего места хранения конфиденциальной информации.

2. Маркируйте тот или иной документ пометкой «Конфиденциальная информация».

3. Выдайте приказ по предприятию или положение о конфиденциальности той или иной информации в вашей компании (например, график работы компании, планирование зданий, особенности производства и пр.). Помните, что все сотрудники должны быть ознакомлены с такими документами под роспись.

После того, как вы определили и оповестили тех, кого нужно о том, что та или иная информация является конфиденциальной, позаботьтесь о
ее сохранности. Как это сделать? Во-первых, ограничьте доступ третьих лиц к такой информации: установите пропускную систему в офисе, храните конфиденциальную информацию в сейфах или специальных помещениях, установите пароли и другую защиту на гаджеты, которые содержат конфиденциальную информацию. Во-вторых, передавайте такую информацию в зашифрованном виде, по проверенным каналам связи и только авторизированным лицам. Третье, предусмотрите ответственность за разглашение конфиденциальной информации со своими сотрудниками и контрагентами, например, с помощью дополнительного подписания договора о неразглашении конфиденциальной информации (NDA).

В Европе, к примеру, для того чтобы предотвратить утечку конфиденциальной информации, компании активно внедряют различные DLP-системы (data loss prevention) на компьютеры своих сотрудников. Такие системы по защите от утечки данных контролируют передвижение данных по нескольким каналам, которые могут оказаться уязвимыми к атакам, – USB разъемы, внешние диски, Интернет, почтовые сервисы и прочее. DLP-системы фильтруют данные, отслеживают их сохранность, принимают решение о возможном пропуске, а в случае утечки – блокируют передачу данных. Таким образом, если один из сотрудников решит «одолжить» у компании конфиденциальную информацию, при наличии DLP-системы, у него не будет возможности переслать или скачать себе такую информацию.

Информация как доказательная база

Что касается отечественного рынка розничной торговли и многих других компаний, имеющих дело с клиентскими базами, аналитическими данными, то здесь, действительно есть повод для беспокойства. Украинские компании реально не готовы к защите информации, относящейся к коммерческой или конфиденциальной.

Во-первых, в большинстве случаев мероприятия по защите данных сводились к формальностям, а с персоналом не велась надлежащая работа. Вследствие чего уровень информационной гигиены оставляет желать лучшего, а базовые принципы информационной безопасности соблюдаются лишь в нескольких десятках компаний.

Во-вторых, корпоративные службы безопасности, как и правоохранительные органы, не имеют навыков, практики и алгоритмов формирования доказательной базы по фактах неправомерного сбора или использования информации. Поэтому даже в случае выявления недобросовестного распространения данных, процедура фиксирования следов проступка может быть нарушена и проведена не в соответствии с законодательством, что прямо повлияет на ответственность виновных.

В-третьих. В связи с некачественным сбором доказательств, несоблюдением процедуры ознакомления сотрудника с перечнем конфиденциальной или коммерческой информации, отсутствием положений о порядке доступа и работы с такой информацией или наличия соответствующего пункта в должностных обязанностях суды часто стают на защиту лиц, к которым есть претензии по утечке.

Во что могут перерасти подобные конфликты в Украине в будущем? Процесс адаптации защиты конфиденциальной информации будет весьма сложным. О каких-либо тенденциях можно будет говорить только после формирования достаточной судебной практики и реализации института ответственности в Украине.

Потому что, исходя из практики, изменения в законодательстве не дают гарантии реализации права на защиту, если не отлажен механизм привлечения в реальной ответственности.

В связи с этим, маркетинговым агентствам, ритейлерам, FMCG производителям при построении стратегии относительно защиты данных, имеющих «симптомы» конфиденциальности, будет целесообразно учитывать такие пункты:

- минимизировать техническую уязвимость данных, балансируя между удобностью работы с ними и ограничениями в доступе;

- проработать юридическую сторону защиты:

от превентивных мер при вводе сотрудника в должность до обеспечения передачи данных при увольнении;

- выстраивать общую культуру компании с целью повышения реального уровня лояльности и вовлеченности персонала.

Авторы:
Наталия Дикая — юрист Практики ТМТ ЮК Juscutum