Над статьей работали:
Автор: Сыскова Юлия
Утечка конфиденциальных сведений может дорого обойтись фирме, поэтому необходимо предпринять все возможные меры по их защите. Что нужно сделать, чтобы защитить такие сведения, какая ответственность установлена за их разглашение, расскажем далее в нашей статье.
Разглашение конфиденциальной информации – это действия или бездействие, в результате которых такая информация становится известна третьим лицам без согласия ее обладателя либо вопреки договору с ним (п. 9 ст. 3 Закона «О коммерческой тайне» от 29.07.2004 № 98-ФЗ).
Информацию можно разгласить:
• устно – во время делового или личного общения;
• опубликовав сведения в Интернете, СМИ, научных трудах;
• передав документы, содержащие такие данные, третьему лицу;
• потеряв документы, которые содержат конфиденциальные сведения, или оставив их без контроля и защиты, в том числе на рабочем месте, при копировании, распечатке, на экране монитора.
Закон предусматривает случаи, когда передача конфиденциальной информации не признается ее разглашением. Как правило, в этих случаях передача сведений необходима для обеспечения интересов государства, прав и законных интересов других лиц. Например, можно свободно передавать персональные данные, если они необходимы для осуществления правосудия или исполнения судебного акта (пп. 3, 3.1 ч. 1 ст. 6 Закона «О персональных данных» от 27.07.2006 № 152-ФЗ). А сведения, составляющие коммерческую тайну, их обладатель обязан безвозмездно передать по мотивированному требованию государственного органа (ч. 1 ст. 6 закона № 98-ФЗ).
Разглашение конфиденциальной информации предусматривает привлечение виновных лиц к различным видам ответственности в зависимости от типа такой информации и субъекта, совершившего правонарушение.
Выделяют следующие основные виды конфиденциальной информации:
• государственная тайна;
• коммерческая тайна;
• персональные данные.
Далее остановимся на том, какая ответственность предусмотрена за разглашение каждого из этих видов сведений.
Ответственность за разглашение гостайны
Перечень сведений, отнесенных к государственной тайне, закреплен в ст. 5 Закона РФ «О государственной тайне» от 21.07.1993 № 5485-1 и в Указе Президента РФ от 30.11.1995 № 1203.
Должностные лица и граждане, виновные в нарушении законодательства РФ о гостайне, несут ответственность (ст. 26 закона № 5485-1):
• административную,
• уголовную,
• гражданско-правовую,
• дисциплинарную.
Разглашение государственной тайны (за исключением случаев, если это влечет уголовную ответственность) лицом, получившим к ней доступ в связи с исполнением служебных или профессиональных обязанностей, влечет:
• наложение административного штрафа на должностных лиц в размере от 40 до 50 тыс. рублей или дисквалификацию на срок до трех лет;
• наложение штрафа на малые предприятия, в том числе микропредприятия — от 50 до 100 тыс. рублей, на других юрлиц — от 100 до 200 тыс. рублей (ч. 2 ст. 4.1.2, ст. 13.14 КоАП РФ).
Использование СМИ, а также информационно-телекоммуникационных сетей для разглашения сведений, составляющих государственную или иную, специально охраняемую законом тайну, влечет наложение штрафа на малые предприятия в размере от 200 до 500 тыс. рублей, на других юрлиц — от 400 тыс. до 1 млн рублей (ч. 2 ст. 4.1.2, ч. 7 ст. 13.15 КоАП РФ).
Также административная ответственность может наступить за нарушение правил защиты информации, составляющей гостайну: могут оштрафовать за использование несертифицированных средств защиты (ч. 3 ст. 13.12 КоАП РФ).
Уголовная ответственность может наступить, в частности, по ст. 283 УК РФ. К ней могут привлечь физическое лицо, которому тайные сведения были доверены или стали известны по службе, работе, учебе или в иных случаях, предусмотренных законодательством. Наказание в зависимости от последствий: арест или лишение свободы, причем иногда с лишением права занимать определенные должности или заниматься определенной деятельностью.
Имущественный вред, причиненный Российской Федерации разглашением гостайны, подлежит возмещению по ст. 15, 1064, 1082 ГК РФ.
Работник, имеющий допуск к гостайне, может быть привлечен к дисциплинарной ответственности, в том числе в виде увольнения (пп. «в» п. 6 ч. 1 ст. 81, ст. 192 ТК РФ).
Гражданско-правовая ответственность предусматривает возмещение вреда (убытков) в связи с разглашением государственной тайны (ст. 15, 1082 ГК РФ).
Ответственность за разглашение коммерческой тайны
Разглашение коммерческой тайны может повлечь гражданско-правовую, дисциплинарную, административную и даже уголовную ответственность (ч. 1 ст. 14 закона № 98-ФЗ). Все зависит от тяжести последствий разглашения и статуса субъекта, которого привлекают к ответственности.
Как правило, лицо можно привлечь к ответственности, только если разглашена информация, в отношении которой установлен режим коммерческой тайны. Исключение — секрет производства (ноу-хау), для которого этот режим необязателен (п. 1 ст. 1465 ГК РФ, п. 144 Постановления Пленума ВС РФ от 23.04.2019 № 10).
Чаще всего к административной ответственности за разглашение коммерческой тайны привлекают по ст. 13.14 КоАП РФ. В качестве наказания для граждан и организаций предусмотрен только штраф, а для должностных лиц – штраф или дисквалификация. При этом неважно, причинило разглашение вред или нет, достаточно самого его факта.
Уголовная ответственность за незаконное разглашение или использование сведений, составляющих коммерческую тайну, предусмотрена ч. 2–4 ст. 183 УК РФ. Привлечь по ней могут лицо, которому тайна была доверена или стала известна по службе или работе. Наказание варьируется от штрафа до лишения свободы.
Гражданско-правовая ответственность может выражаться в возмещении убытков и (или) в обязанности заплатить неустойку по договору, если она была предусмотрена в качестве санкции за данное нарушение, а также в ответственности за нарушение исключительного права на секрет производства (ст. 15, 330, 393, 1082, 1472 ГК РФ, пп. 144, 145 Постановления Пленума Верховного Суда РФ от 23.04.2019 № 10).
Ответственность за разглашение коммерческой тайны может быть согласована в договоре в качестве условия, предоставляющего право изменить такой договор (например, увеличить цену исполнения) или даже расторгнуть его (п. 2 ст. 310, ст. 421, 450, 450.1 ГК РФ).
Разглашение коммерческой тайны может послужить основанием для привлечения виновного работника к дисциплинарной ответственности, в том числе в виде увольнения (ч. 2 ст. 14 закона № 98-ФЗ, пп. «в» п. 6 ч. 1 ст. 81, ст. 192 ТК РФ).
За ущерб, причиненный работодателю в случае разглашения сведений, составляющих коммерческой тайну, предусмотрена материальная ответственность работника в полном размере (ст. 238, п. 7 ч. 1 ст. 243 ТК РФ).
Ответственность за разглашение персональных данных
Операторы и другие лица, которые получили доступ к персональным данным, по общему правилу не вправе их раскрывать и распространять без согласия субъекта персональных данных. За нарушение этой обязанности их могут привлечь к ответственности (ст. 7, 24 закона № 152-ФЗ).
Поскольку распространение данных считается их обработкой, при их незаконном распространении компанию и ее должностных лиц, в частности, могут привлечь к административной ответственности по ч. 1–2.1 ст. 13.11 КоАП РФ. Также нельзя исключить применение статьи 13.14 КоАП РФ, поскольку доступ к персональным данным ограничен федеральным законом (ст. 7 закона № 152-ФЗ).
Также административная ответственность может наступить, если не будет обеспечена сохранность данных при их неавтоматизированной обработке и это повлечет неправомерный или случайный доступ к ним либо их распространение (ч. 6 ст. 13.11 КоАП РФ).
В качестве наказания за указанные нарушения назначают разные суммы штрафов, а в случае применения ст. 13.14 КоАП РФ к должностному лицу возможна дисквалификация.
Уголовная ответственность установлена лишь за распространение сведений, которые составляют личную или семейную тайну лица (ч. 1 ст. 137 УК РФ). При этом под их распространением понимают сообщение таких сведений одному или нескольким лицам в устной, письменной или иной форме и любым способом, в частности, путем размещения информации в Интернете (п. 3 Постановления Пленума ВС РФ от 25.12.2018 № 46). Наказание за такое деяние — от штрафа до лишения свободы.
Если работник разгласил персональные данные, то при соблюдении определенных условий его можно привлечь к дисциплинарной и материальной ответственности. Например, если менеджер по персоналу сообщил сторонней организации Ф.И.О. и телефонные номера других сотрудников. В этом случае можно применить дисциплинарное взыскание, вплоть до увольнения по пп. «в» п. 6 ч. 1 ст. 81 ТК РФ.
Материальную ответственность работник будет нести, только если компании пришлось возмещать материальный ущерб или моральный вред пострадавшим по его вине лицам (ст. 90, ч. 1 ст. 238 ТК РФ).
Гражданско-правовая ответственность наступает, если разглашение персональных данных повлекло убытки или причинило моральный вред субъекту персональных данных.
Моральный вред компенсируется, даже если был возмещен имущественный вред и понесенные физическим лицом убытки (ч. 2 ст. 24 закона № 152-ФЗ). Размер денежной компенсации определит суд с учетом вины и страданий потерпевшего (ст. 151, п. 2 ст. 1101 ГК РФ).
За разглашение конфиденциальной информации сотрудника можно привлечь одновременно к разным видам ответственности, например, дисциплинарной, материальной, административной. В частности, за один проступок можно объявить работнику выговор и одновременно взыскать с него материальный ущерб. Возмещение ущерба производится независимо от привлечения работника к дисциплинарной, административной или уголовной ответственности за причиненный ущерб (ч. 6 ст. 248, ст. 419 ТК РФ).
За разглашение конфиденциальной информации сотрудника можно уволить по пп. «в» п. 6 ч. 1 ст. 81 ТК РФ. В этом случае потребуется соблюсти специальный порядок, в частности, затребовать у него объяснение, составить акт, если он его не представит (ч. 1 ст. 193 ТК РФ).
Если после оценки всех обстоятельств основания для увольнения есть, нужно издать приказ об увольнении и ознакомить с ним работника (ч. 1, 2 ст. 84.1, ч. 6 ст. 193 ТК РФ).
Нельзя уволить на таком основании беременную, а также тех, кто находится в отпуске или на больничном (ч. 6 ст. 81, ч. 1 ст. 261 ТК РФ).
Если в действиях контрагента есть состав преступления или административного правонарушения, то его или его должностных лиц можно привлечь к уголовной или административной ответственности.
Чаще всего партнеры имеют дело с коммерческой тайной. За ее разглашение зачастую наступает гражданско-правовая ответственность.
По общему правилу можно потребовать возместить убытки, причиненные разглашением сведений, или же применить санкции, установленные договором с нарушителем, например, штраф (ст. 15, 1472, п. 1 ст. 330 ГК РФ).
К ответственности можно привлечь:
• контрагента, если с ним заключили договор с условием о конфиденциальности или отдельное соглашение об этом;
• партнера по переговорам (не потребителя), если ему передали информацию в качестве конфиденциальной. При этом не имеет значения, что договор с ним так и не был заключен (пп. 4, 6 ст. 434.1 ГК РФ);
• госорган или орган местного самоуправления, который получил доступ к коммерческой тайне (ч. 3 ст. 14 закона № 98-ФЗ). Например, если информация, составляющая коммерческую тайну, стала известна конкурентам из-за невнимательности или корыстных мотивов служащего налогового органа.
Ниже мы подробно остановимся на том, что нужно предпринять, чтобы предотвратить разглашение конфиденциальных сведений контрагентами и смочь привлечь их к ответственности в случае необходимости.
Чтобы защитить конфиденциальную информацию, необходимо принять целый комплекс мер правового, организационного и технического характера. Например, хранить документы в сейфах, установить видеонаблюдение в отдельных помещениях, вести журнал учета документов, использовать шифрование при пересылке по электронной почте, ограничить доступ в Интернет и заблокировать USB-разъемы на компьютерах отдельных сотрудников.
Меры зависят от вида защищаемой информации. В частности, разнятся меры для защиты персональных данных и коммерческой тайны.
Защита персональных данных
Чтобы защитить персональные данные, необходимо принять меры, предусмотренные ТК РФ и законом № 152-ФЗ. В противном случае компанию и ее должностных лиц могут привлечь к ответственности по ст. 13.11 КоАП РФ.
Для защиты персональных данных работников нужно:
• установить порядок хранения и использования персональных данных (ст. 87 ТК РФ, п. 2 ч. 1 ст. 18.1 закона № 152-ФЗ). Для этого необходимо составить и утвердить политику об обработке персональных данных;
• ознакомить с ней каждого сотрудника под подпись (п. 8 ст. 86 ТК РФ, п. 6 ч. 1 ст. 18.1 закона № 152-ФЗ). Это даст возможность в дальнейшем привлечь работника к ответственности за нарушение установленного порядка;
• установить перечень лиц, которые имеют доступ к персональным данным работников. Такие лица могут получать только те сведения, которые необходимы им для выполнения конкретных функций (ст. 88 ТК РФ).
Компания выступает оператором персональных данных в отношении не только своих работников, но и прочих физлиц, чьи данные получает. Это могут быть клиенты, партнеры, лица, получающие СМС-рассылки и тому подобное.
До начала обработки персональных данных таких лиц необходимо уведомить Роскомнадзор о намерении это делать, за исключением предусмотренных законом случаев (ч. 1 ст. 22 закона № 152-ФЗ).
В ряде случаев нужно получить согласие на обработку персональных данных от лиц, которые обращаются в компанию. Например, его нужно взять у кандидатов на вакантные должности, которые приходят на собеседования и вносят в анкеты свои персональные данные.
Если у компании есть интернет-сайт, через который она получает персональные данные например, посредством формы обратной связи или подписки на новости, необходимо (ч. 2 ст. 18.1 закона № 152-ФЗ, письмо Роскомнадзора от 19.10.2021 № 08-71063):
• опубликовать на нем политику обработки персональных данных;
• опубликовать сведения о реализуемых требованиях к защите персональных данных;
• обеспечить доступ к указанным документам с использованием средств соответствующей информационно-телекоммуникационной сети.
За нарушение этой обязанности компанию и ее должностных лиц могут привлечь к ответственности по ч. 3 ст. 13.11 КоАП РФ.
Защита информации, имеющей коммерческую тайну
Для защиты информации, имеющей коммерческую ценность, необходимо установить режим коммерческой тайны. Он считается установленным после того, как компания примет все указанные в законе меры. Необходимо (ч. 1, 2 ст. 10 закона № 98-ФЗ):
• определить перечень информации, которая составляет коммерческую тайну. Речь идет именно об информации, а не о конкретных документах. Их список рекомендуем определить отдельно, указав, какая именно информация и в каких конкретно документах может содержаться. Чтобы не допустить разглашения коммерческой тайны сотрудниками, нужно ознакомить их под подпись с указанными перечнями;
• установить порядок обращения с этой информацией и контролировать его соблюдение. Это удобно сделать, разработав инструкцию по работе с коммерческой тайной;
• вести учет лиц, получивших доступ к коммерческой тайне. Список лиц лучше составить по должностям. Лицо, которому предоставлен доступ, в свою очередь, должно взять на себя письменное обязательство по сохранению информации, относящейся к коммерческой тайне. В противном случае лицо сможет заявить, что не знало о статусе документа;
• урегулировать отношения по использованию информации, составляющей коммерческую тайну, работниками и контрагентами. Самый простой способ – включить соответствующие положения в договоры с контрагентам и в трудовые договоры;
• нанести гриф «Коммерческая тайна» на материальные носители, которые содержат информацию, или включить его в реквизиты документов.
Кроме того, нужно создать сотрудникам необходимые условия для соблюдения ими режима коммерческой тайны (ч. 1 ст. 11 закона № 98-ФЗ). Например, выдать сейф, установить программные средства защиты информации.
Для предотвращения разглашения конфиденциальной информации контрагентами нужно заключить с каждым из них соглашение о конфиденциальности. Можно включить условие о конфиденциальности в договор. Необходимо прописать:
• перечень сведений, которые являются конфиденциальными. Можно также сослаться на документы, которыми сведения отнесены к конфиденциальным, например, на положение о коммерческой тайне. Чем подробнее будут описаны сведения, тем проще будет доказать, что они подпадают под действие соглашения о конфиденциальности и подлежат охране;
• обязанность обеспечить конфиденциальность полученной информации;
• ответственность за разглашение конфиденциальной информации. По общему правилу можно потребовать возместить убытки (ст. 15, 1472 ГК РФ). Однако взыскать их непросто. Чтобы избежать связанных с этим проблем, рекомендуем предусмотреть санкции в договоре, например, неустойку (п. 1 ст. 330 ГК РФ). Надо четко прописать нарушения, за которые уплачивается неустойка, и ее размер.
Прежде чем заключать соглашение с контрагентом о конфиденциальности, нужно объявить соответствующие сведения коммерческой тайной внутри своей организации. Это позволит наиболее эффективно защитить информацию.
Помимо заключения соглашения, рекомендуем тщательно фиксировать факты передачи конфиденциальной информации. В случае возникновения спора необходимо будет доказать, что соответствующие сведения либо документы были переданы контрагенту. В связи с этим документы, содержащие конфиденциальную информацию, нужно передавать по акту приема-передачи, а если такой возможности нет — направлять ценным или заказным письмом с описью вложения. Как в акте, так и в описи нужно указывать все реквизиты передаваемых документов (номера, даты и так далее).
Вы можете оставить первый комментарий