Правовые основы обеспечения ИБ в коммерческой организации
В жизни каждой коммерческой организации наступает период, когда она понимает, что среди всей информации, которая хранится в ее информационных системах, есть такая, относительно которой следует проявлять некоторую степень заботы. Чаще всего это связано с тем, что обладание какими-то данными дает преимущество перед другими игроками рынка (например, условия взаимоотношений с постоянными клиентами, план выхода на новый рынок или план повышения степени охвата существующего рынка).
Очень часто руководство компании привлекает своих технических специалистов для реализации каких-либо технических мер контроля передачи данных или мониторинга действий пользователей, но при этом упускает из виду юридическую сторону вопроса. Впоследствии это приводит к тому, что при возникновении утечки информации или появления угрозы бизнесу организация просто не в силах наказать виновного или взыскать с него возмещение ущерба в рамках гражданско-правового законодательства.
Данная статья является попыткой проанализировать существующее законодательство Казахстана для построения схемы обеспечения правовой защищенности информации субъектов рынка.
Казахстан выбран только из-за моего текущего географического расположения. В целом, российское законодательство концептуально ничем не отличается. Если сообществу будет интересна тема, то я проведу такой анализ и для российского законодательства.
Правовая основа
Начнем с Гражданского Кодекса Республики Казахстан (далее по тексту — ГК РК).
ГК РК заявляет, что государство гарантирует нам, как предпринимателям, защиту наших интересов в области ограничения компанией доступа к некоторой ее информации, которая определяется в правовом поле как «коммерческая тайна».
5. Коммерческая (предпринимательская) тайна охраняется законом. Порядок определения сведений, составляющих коммерческую тайну, средства ее защиты, а также перечень сведений, которые не должны входить в состав коммерческой тайны, устанавливаются законодательством.
…
Что же такое «коммерческая тайна»? Это понятие раскрывается в Законе РК № 124-III О частном предпринимательстве (далее по тексту — Закон № 124-III) и состоит в следующем. Если наша компания обладает некоторой информацией, бесконтрольная передача которой противоречит нашим интересам на рынке (маркетинговая, бухгалтерская информация, данные об информационных системах, позволяющие получить доступ к вышеуказанной информации, и т.п.), то компания может на законном основании ограничить круг лиц, имеющих доступ к ней.
Коммерческая тайна — информация, определяемая и охраняемая субъектом частного предпринимательства, свободный доступ на законном основании к которой имеет ограниченный круг лиц, разглашение, получение, использование которой может нанести ущерб его интересам.
…
Обратимся к статье 11 Закона № 124-III. Она говорит нам о том, что:
- компания сама вправе определить, распространение какой информации она хочет ограничить (есть небольшой перечень того, к чему ограничивать доступ нельзя);
- компания сама определяет круг лиц, которым будет доступна информация, относящаяся к коммерческой тайне компании, и сама должна обеспечивать ее защиту;
- для закрепления своей позиции компания может требовать у работников подписку о неразглашении информации;
- компания вправе ограничивать доступ проверяющих организаций к информации, отнесенной к коммерческой тайне, и ожидать от них неразглашения коммерческой тайны, доступ к которой они получили в процессе проверки;
- информация, составляющая коммерческую тайну компании, может разглашаться только при условии согласия компании (за исключением случаев разглашения по решению суда и т.п.)
2. Субъект частного предпринимательства определяет круг лиц, имеющих право свободного доступа к информации, составляющей коммерческую тайну, и принимает меры к охране ее конфиденциальности.
3. Порядок отнесения информации к категориям доступа, условия хранения и использования информации, составляющей коммерческую тайну, определяются субъектом частного предпринимательства.
4. Лица, незаконными методами получившие, раскрывшие или использовавшие информацию, составляющую коммерческую тайну, обязаны возместить причиненный ущерб в соответствии с гражданским законодательством Республики Казахстан.
5. Субъект частного предпринимательства или лицо, им уполномоченное, вправе требовать у своих работников подписку о неразглашении информации, составляющей коммерческую тайну, а лиц, осуществляющих его проверку, предупреждать об ответственности в соответствии с законами Республики Казахстан.
6. Перечень информации, подлежащей обязательному опубликованию либо обязательному доведению до сведения акционеров, участников хозяйственного товарищества или иного определенного круга лиц, устанавливается учредительными документами субъекта частного предпринимательства в соответствии с законами Республики Казахстан.
7. Субъект частного предпринимательства вправе не предоставлять государственным органам и должностным лицам при выполнении регистрационных, контрольных функций и при совершении других действий доступ к информации, составляющей коммерческую тайну, кроме той, которая необходима для реализации возложенных на них функций.
8. Исключен
9. Правоохранительные органы вправе запрашивать и получать необходимую информацию, в том числе составляющую коммерческую тайну, как от субъекта частного предпринимательства, так и от государственных органов, обладающих этой информацией, на основании санкции прокурора, постановления следственных органов о возбуждении уголовного дела либо на основании постановления суда.
10. Информация, составляющая коммерческую и иную охраняемую законом тайну, не может быть разглашена без согласия субъекта частного предпринимательства, за исключением информации, по которой имеется вступившее в законную силу решение суда.
11. Обобщенная информация, не раскрывающая сведения, составляющие коммерческую и иную охраняемую законом тайну субъекта частного предпринимательства, является общедоступной.
12. К общедоступной информации субъекта частного предпринимательства относятся:
1) фамилия, имя, отчество (при его наличии) или наименование индивидуального предпринимателя;
2) наименование и дата регистрации юридического лица;
3) идентификационный номер;
4) юридический адрес (место нахождения);
5) вид деятельности;
6) фамилия, имя, отчество (при его наличии) руководителя.
Возмещение ущерба
Зачем мы уделяем столько внимания этим статьям? Ответ кроется в статье 126 ГК РК. Эта статья дает нам довольно много интересной информации.
- Для того, чтобы иметь возможность получить поддержку государства в плане возмещения ущерба от разглашения, должны выполняться одновременно три условия:
- информация должна иметь действительную или потенциальную коммерческую ценность в силу неизвестности третьим лицам;
- доступ к этой информации должен быть ограничен;
- компания должна предпринимать меры по защите данной информации от разглашения.
- Требовать возмещения ущерба компания может в следующих случаях:
- информация получена третьим лицом незаконными методами;
- работник разгласил информацию, хотя трудовой договор предусматривал соглашение о неразглашении;
- контрагент разгласил информацию, хотя гражданско-правовой договор предусматривал соглашение о неразглашении.
- Гражданским законодательством защищается информация, составляющая служебную или коммерческую тайну, в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности.
- Лица, незаконными методами получившие такую информацию, а также служащие вопреки трудовому договору или контрагенты вопреки гражданско-правовому договору, разгласившие служебную или коммерческую тайну, обязаны возместить причиненный ущерб.
Для более ясного понимания этой статьи рассмотрим несколько примеров.
Входные условия:
- Компания определила, какая информация имеет для нее коммерческую ценность и задокументировала перечень в каком-либо документе, с которым знакомит под роспись всех работников.
- Компания установила средства разграничения доступа к информации (пароли, явки), не позволяющие менеджеру получать доступ к информации бухгалтера, а бухгалтеру — к информации менеджера.
Случай 1. Компания заключила с работниками соглашения о неразглашении. Работник разгласил информацию, доверенную ему для выполнения его должностных обязанностей.
Результат: компания вправе требовать возмещения работником ущерба, нанесенного этим разглашением.
Случай 2. Компания не заключила с работниками соглашения о неразглашении. Работник разгласил информацию, доверенную ему для выполнения его служебных обязанностей.
Результат: компания не вправе требовать возмещения работником ущерба, нанесенного этим разглашением.
Случай 3. Компания не заключила с работниками соглашения о неразглашении. Менеджер украл документы бухгалтера и передал их третьим лицам.
Результат: компания вправе требовать возмещения менеджером ущерба, нанесенного этим разглашением, так как менеджер получил доступ к информации незаконным методом.
Дисциплинарные взыскания
Трудовой Кодекс Республики Казахстан (далее по тексту — ТК РК) дает нам, как работодателю, возможность применить к работнику дисциплинарное взыскание. Причем, данная возможность существует:
- независимо от того, заключала компания с работником соглашение о неразглашении или нет;
- независимо от того, будет ли компания требовать возмещение работником ущерба или нет.
Виды дисциплинарных взысканий:
- замечание;
- выговор;
- строгий выговор;
- расторжение трудового договора.
…
6) не разглашать сведений, составляющих государственные секреты, служебную, коммерческую или иную охраняемую законом тайну, ставших ему известными в связи с выполнением трудовых обязанностей;
…
…
12) разглашения работником сведений, составляющих государственные секреты и иную охраняемую законом тайну, ставших ему известными в связи с выполнением трудовых обязанностей;
…
1) замечание;
2) выговор;
3) строгий выговор;
4) расторжение трудового договора по инициативе работодателя в случаях, установленных настоящим Кодексом.
…
Для осуществления возможности наложения на работника дисциплинарного взыскания должны быть выполнены те же входные условия, что и в предыдущем разделе:
- Компания определила, какая информация имеет коммерческую ценность для компании и задокументировала перечень в каком-либо документе, с которым знакомит под роспись всех работников.
- Компания установила средства разграничения доступа к информации (пароли, явки), не позволяющие менеджеру получать доступ к информации бухгалтера, а бухгалтеру — к информации менеджера.
Уголовное преследование
Независимо от того, собирается ли компания требовать возмещение материального ущерба и будет ли компания налагать на работника дисциплинарное взыскание, компания имеет право подать иск с целью возбуждения уголовного дела против нарушителя.
Здесь есть очень важный момент. Уголовный Кодекс Республики Казахстан (далее по тексту — УК РК) предполагает наказание не только за разглашение коммерческой тайны, но и за незаконный сбор сведений, составляющих коммерческую тайну, в целях разглашения либо незаконного использования.
2. Незаконные разглашение или использование сведений, составляющих коммерческую или банковскую тайну, без согласия их владельца лицом, которому они была доверена по службе или работе, совершенные из корыстной или иной личной заинтересованности и причинившие крупный ущерб, — наказываются штрафом в размере от двухсот до пятисот месячных расчетных показателей либо исправительными работами на срок от одного года до двух лет, либо ограничением свободы на срок до трех лет или лишением свободы на тот же срок со штрафом в размере до ста месячных расчетных показателей либо без такового.
Резюме
- Законодательство дает компании право установить режим конфиденциальности для некоторых видов данных. Для этого необходимо:
- определить перечень данных, являющихся коммерческой тайной;
- определить, кому и в каких случаях предоставлять доступ к какой-либо информации, являющейся коммерческой тайной;
- ознакомить работников с этими документами под роспись;
- ограничить свободный доступ к данной информации.
Кроме того, желательно заключать с работниками и контрагентами соглашения о неразглашении коммерческой тайны.
- В случае разглашения работником коммерческой тайны компания вправе наложить на него дисциплинарное взыскание вплоть до расторжения трудового договора:
- при соблюдении необходимых условий пункта 1;
- даже в том случае, если компания не заключила соглашения о неразглашении.
- В случае разглашения работником или контрагентом коммерческой тайны компания вправе требовать возмещения нанесенного ущерба при условии соблюдения всех условий пункта 1 (включая соглашение о неразглашении).
- В случае, если разглашение коммерческой тайны работником повлекло за собой крупный ущерб, компания вправе подать иск о возбуждении уголовного дела.
- В случае, если коммерческая тайна была украдена третьими лицами путем взлома или перехвата, компания вправе:
- подать иск о возбуждении уголовного дела;
- требовать возмещения нанесенного вреда при условии соблюдения необходимых условий пункта 1.
Автор: bugaga0112358