18 ноября 2013 в 23:11

Правовые основы обеспечения ИБ в коммерческой организации

В жизни каждой коммерческой организации наступает период, когда она понимает, что среди всей информации, которая хранится в ее информационных системах, есть такая, относительно которой следует проявлять некоторую степень заботы. Чаще всего это связано с тем, что обладание какими-то данными дает преимущество перед другими игроками рынка (например, условия взаимоотношений с постоянными клиентами, план выхода на новый рынок или план повышения степени охвата существующего рынка).

Очень часто руководство компании привлекает своих технических специалистов для реализации каких-либо технических мер контроля передачи данных или мониторинга действий пользователей, но при этом упускает из виду юридическую сторону вопроса. Впоследствии это приводит к тому, что при возникновении утечки информации или появления угрозы бизнесу организация просто не в силах наказать виновного или взыскать с него возмещение ущерба в рамках гражданско-правового законодательства.

Данная статья является попыткой проанализировать существующее законодательство Казахстана для построения схемы обеспечения правовой защищенности информации субъектов рынка.
Казахстан выбран только из-за моего текущего географического расположения. В целом, российское законодательство концептуально ничем не отличается. Если сообществу будет интересна тема, то я проведу такой анализ и для российского законодательства.

Правовая основа

Начнем с Гражданского Кодекса Республики Казахстан (далее по тексту — ГК РК).

ГК РК заявляет, что государство гарантирует нам, как предпринимателям, защиту наших интересов в области ограничения компанией доступа к некоторой ее информации, которая определяется в правовом поле как «коммерческая тайна».

Статья 10 ГК РК. Защита прав предпринимателей и потребителей

5. Коммерческая (предпринимательская) тайна охраняется законом. Порядок определения сведений, составляющих коммерческую тайну, средства ее защиты, а также перечень сведений, которые не должны входить в состав коммерческой тайны, устанавливаются законодательством.



Что же такое «коммерческая тайна»? Это понятие раскрывается в Законе РК № 124-III О частном предпринимательстве (далее по тексту — Закон № 124-III) и состоит в следующем. Если наша компания обладает некоторой информацией, бесконтрольная передача которой противоречит нашим интересам на рынке (маркетинговая, бухгалтерская информация, данные об информационных системах, позволяющие получить доступ к вышеуказанной информации, и т.п.), то компания может на законном основании ограничить круг лиц, имеющих доступ к ней.

Статья 1 Закона № 124-III. Основные понятия и определения, используемые в настоящем Законе

Коммерческая тайна — информация, определяемая и охраняемая субъектом частного предпринимательства, свободный доступ на законном основании к которой имеет ограниченный круг лиц, разглашение, получение, использование которой может нанести ущерб его интересам.



Обратимся к статье 11 Закона № 124-III. Она говорит нам о том, что:
  1. компания сама вправе определить, распространение какой информации она хочет ограничить (есть небольшой перечень того, к чему ограничивать доступ нельзя);
  2. компания сама определяет круг лиц, которым будет доступна информация, относящаяся к коммерческой тайне компании, и сама должна обеспечивать ее защиту;
  3. для закрепления своей позиции компания может требовать у работников подписку о неразглашении информации;
  4. компания вправе ограничивать доступ проверяющих организаций к информации, отнесенной к коммерческой тайне, и ожидать от них неразглашения коммерческой тайны, доступ к которой они получили в процессе проверки;
  5. информация, составляющая коммерческую тайну компании, может разглашаться только при условии согласия компании (за исключением случаев разглашения по решению суда и т.п.)

Статья 11 Закона № 124-III. Охрана информации о субъекте частного предпринимательства
1. Охрана коммерческой тайны заключается в запрете незаконного получения, распространения либо использования информации, составляющей коммерческую тайну.
2. Субъект частного предпринимательства определяет круг лиц, имеющих право свободного доступа к информации, составляющей коммерческую тайну, и принимает меры к охране ее конфиденциальности.
3. Порядок отнесения информации к категориям доступа, условия хранения и использования информации, составляющей коммерческую тайну, определяются субъектом частного предпринимательства.
4. Лица, незаконными методами получившие, раскрывшие или использовавшие информацию, составляющую коммерческую тайну, обязаны возместить причиненный ущерб в соответствии с гражданским законодательством Республики Казахстан.
5. Субъект частного предпринимательства или лицо, им уполномоченное, вправе требовать у своих работников подписку о неразглашении информации, составляющей коммерческую тайну, а лиц, осуществляющих его проверку, предупреждать об ответственности в соответствии с законами Республики Казахстан.
6. Перечень информации, подлежащей обязательному опубликованию либо обязательному доведению до сведения акционеров, участников хозяйственного товарищества или иного определенного круга лиц, устанавливается учредительными документами субъекта частного предпринимательства в соответствии с законами Республики Казахстан.
7. Субъект частного предпринимательства вправе не предоставлять государственным органам и должностным лицам при выполнении регистрационных, контрольных функций и при совершении других действий доступ к информации, составляющей коммерческую тайну, кроме той, которая необходима для реализации возложенных на них функций.
8. Исключен
9. Правоохранительные органы вправе запрашивать и получать необходимую информацию, в том числе составляющую коммерческую тайну, как от субъекта частного предпринимательства, так и от государственных органов, обладающих этой информацией, на основании санкции прокурора, постановления следственных органов о возбуждении уголовного дела либо на основании постановления суда.
10. Информация, составляющая коммерческую и иную охраняемую законом тайну, не может быть разглашена без согласия субъекта частного предпринимательства, за исключением информации, по которой имеется вступившее в законную силу решение суда.
11. Обобщенная информация, не раскрывающая сведения, составляющие коммерческую и иную охраняемую законом тайну субъекта частного предпринимательства, является общедоступной.
12. К общедоступной информации субъекта частного предпринимательства относятся:
1) фамилия, имя, отчество (при его наличии) или наименование индивидуального предпринимателя;
2) наименование и дата регистрации юридического лица;
3) идентификационный номер;
4) юридический адрес (место нахождения);
5) вид деятельности;
6) фамилия, имя, отчество (при его наличии) руководителя.


Возмещение ущерба

Зачем мы уделяем столько внимания этим статьям? Ответ кроется в статье 126 ГК РК. Эта статья дает нам довольно много интересной информации.
  1. Для того, чтобы иметь возможность получить поддержку государства в плане возмещения ущерба от разглашения, должны выполняться одновременно три условия:
    • информация должна иметь действительную или потенциальную коммерческую ценность в силу неизвестности третьим лицам;
    • доступ к этой информации должен быть ограничен;
    • компания должна предпринимать меры по защите данной информации от разглашения.
  2. Требовать возмещения ущерба компания может в следующих случаях:
    • информация получена третьим лицом незаконными методами;
    • работник разгласил информацию, хотя трудовой договор предусматривал соглашение о неразглашении;
    • контрагент разгласил информацию, хотя гражданско-правовой договор предусматривал соглашение о неразглашении.

Статья 126 ГК РК. Служебная и коммерческая тайна
  1. Гражданским законодательством защищается информация, составляющая служебную или коммерческую тайну, в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности.
  2. Лица, незаконными методами получившие такую информацию, а также служащие вопреки трудовому договору или контрагенты вопреки гражданско-правовому договору, разгласившие служебную или коммерческую тайну, обязаны возместить причиненный ущерб.



Для более ясного понимания этой статьи рассмотрим несколько примеров.
Входные условия:
  1. Компания определила, какая информация имеет для нее коммерческую ценность и задокументировала перечень в каком-либо документе, с которым знакомит под роспись всех работников.
  2. Компания установила средства разграничения доступа к информации (пароли, явки), не позволяющие менеджеру получать доступ к информации бухгалтера, а бухгалтеру — к информации менеджера.

Случай 1. Компания заключила с работниками соглашения о неразглашении. Работник разгласил информацию, доверенную ему для выполнения его должностных обязанностей.
Результат: компания вправе требовать возмещения работником ущерба, нанесенного этим разглашением.
Случай 2. Компания не заключила с работниками соглашения о неразглашении. Работник разгласил информацию, доверенную ему для выполнения его служебных обязанностей.
Результат: компания не вправе требовать возмещения работником ущерба, нанесенного этим разглашением.
Случай 3. Компания не заключила с работниками соглашения о неразглашении. Менеджер украл документы бухгалтера и передал их третьим лицам.
Результат: компания вправе требовать возмещения менеджером ущерба, нанесенного этим разглашением, так как менеджер получил доступ к информации незаконным методом.

Дисциплинарные взыскания

Трудовой Кодекс Республики Казахстан (далее по тексту — ТК РК) дает нам, как работодателю, возможность применить к работнику дисциплинарное взыскание. Причем, данная возможность существует:
  1. независимо от того, заключала компания с работником соглашение о неразглашении или нет;
  2. независимо от того, будет ли компания требовать возмещение работником ущерба или нет.

Виды дисциплинарных взысканий:
  • замечание;
  • выговор;
  • строгий выговор;
  • расторжение трудового договора.

Статья 22 ТК РК. Основные права и обязанности работника
1. Работник обязан:

6) не разглашать сведений, составляющих государственные секреты, служебную, коммерческую или иную охраняемую законом тайну, ставших ему известными в связи с выполнением трудовых обязанностей;


Статья 54 ТК РК. Основания расторжения трудового договора по инициативе работодателя
1. Трудовой договор с работником по инициативе работодателя может быть расторгнут в случаях:

12) разглашения работником сведений, составляющих государственные секреты и иную охраняемую законом тайну, ставших ему известными в связи с выполнением трудовых обязанностей;


Статья 72 ТК РК. Дисциплинарные взыскания
1. За совершение работником дисциплинарного проступка работодатель вправе применять следующие виды дисциплинарных взысканий:
1) замечание;
2) выговор;
3) строгий выговор;
4) расторжение трудового договора по инициативе работодателя в случаях, установленных настоящим Кодексом.



Для осуществления возможности наложения на работника дисциплинарного взыскания должны быть выполнены те же входные условия, что и в предыдущем разделе:
  1. Компания определила, какая информация имеет коммерческую ценность для компании и задокументировала перечень в каком-либо документе, с которым знакомит под роспись всех работников.
  2. Компания установила средства разграничения доступа к информации (пароли, явки), не позволяющие менеджеру получать доступ к информации бухгалтера, а бухгалтеру — к информации менеджера.


Уголовное преследование

Независимо от того, собирается ли компания требовать возмещение материального ущерба и будет ли компания налагать на работника дисциплинарное взыскание, компания имеет право подать иск с целью возбуждения уголовного дела против нарушителя.
Здесь есть очень важный момент. Уголовный Кодекс Республики Казахстан (далее по тексту — УК РК) предполагает наказание не только за разглашение коммерческой тайны, но и за незаконный сбор сведений, составляющих коммерческую тайну, в целях разглашения либо незаконного использования.

Статья 200 УК РК. Незаконные получение и разглашение сведений, составляющих коммерческую или банковскую тайну
1. Собирание сведений, составляющих коммерческую или банковскую тайну, путем похищения документов, подкупа или угроз в отношении лиц, владеющих коммерческой или банковской тайной, или их близких, перехвата в средствах связи, незаконного проникновения в компьютерную систему или сеть, использования специальных технических средств, а равно иным незаконным способом в целях разглашения либо незаконного использования этих сведений — наказывается штрафом в размере от ста до двухсот месячных расчетных показателей, либо исправительными работами на срок до двух лет, либо ограничением свободы на срок до одного года, либо лишением свободы на тот же срок.
2. Незаконные разглашение или использование сведений, составляющих коммерческую или банковскую тайну, без согласия их владельца лицом, которому они была доверена по службе или работе, совершенные из корыстной или иной личной заинтересованности и причинившие крупный ущерб, — наказываются штрафом в размере от двухсот до пятисот месячных расчетных показателей либо исправительными работами на срок от одного года до двух лет, либо ограничением свободы на срок до трех лет или лишением свободы на тот же срок со штрафом в размере до ста месячных расчетных показателей либо без такового.


Резюме

  1. Законодательство дает компании право установить режим конфиденциальности для некоторых видов данных. Для этого необходимо:
    • определить перечень данных, являющихся коммерческой тайной;
    • определить, кому и в каких случаях предоставлять доступ к какой-либо информации, являющейся коммерческой тайной;
    • ознакомить работников с этими документами под роспись;
    • ограничить свободный доступ к данной информации.
    Кроме того, желательно заключать с работниками и контрагентами соглашения о неразглашении коммерческой тайны.
  2. В случае разглашения работником коммерческой тайны компания вправе наложить на него дисциплинарное взыскание вплоть до расторжения трудового договора:
    • при соблюдении необходимых условий пункта 1;
    • даже в том случае, если компания не заключила соглашения о неразглашении.
  3. В случае разглашения работником или контрагентом коммерческой тайны компания вправе требовать возмещения нанесенного ущерба при условии соблюдения всех условий пункта 1 (включая соглашение о неразглашении).
  4. В случае, если разглашение коммерческой тайны работником повлекло за собой крупный ущерб, компания вправе подать иск о возбуждении уголовного дела.
  5. В случае, если коммерческая тайна была украдена третьими лицами путем взлома или перехвата, компания вправе:
    • подать иск о возбуждении уголовного дела;
    • требовать возмещения нанесенного вреда при условии соблюдения необходимых условий пункта 1.
Александр @bugaga0112358
карма
18,2
рейтинг 0,0
Самое читаемое Разработка

Комментарии (6)

  • 0
    Из обсуждения определения коммерчекской тайны (КТ).
    ХХХ: Фирма может объявить любую информацию КТ и требовать от своих сотрудников ее соблюдения. Гендир может объявить КТ хоть размер трусов секретарши
    УУУ: Объявить он может что угодно. Но наказать за разглашение, если это не соответствует озвученным ранее критериям – увы. Хотя… если он:
    — повесил секретарше ниже пояса табличку с грифом «КТ» с указанием обладателя этой информации и места его нахождения;
    — внес соответствующие изменения в перечень информации, составляющей КТ предприятия;
    — ограничил доступ к трусам секретарши путем путем установления порядка обращения с ними и контролем за соблюдением такого порядка;
    — и готов обосновать действительную или потенциальную коммерческую ценность секретности их размера, то — таки да, это КТ.
    • +1
      Не катит.

      Статья 150 ГК РФ
      1. Жизнь и здоровье, достоинство личности, личная неприкосновенность, честь и доброе имя, деловая репутация, неприкосновенность частной жизни, неприкосновенность жилища, личная и семейная тайна, свобода передвижения, свобода выбора места пребывания и жительства, имя гражданина, авторство, иные нематериальные блага, принадлежащие гражданину от рождения или в силу закона, неотчуждаемы и непередаваемы иным способом.

      Статья 152.2 ГК РФ
      1. Если иное прямо не предусмотрено законом, не допускаются без согласия гражданина сбор, хранение, распространение и использование любой информации о его частной жизни, в частности сведений о его происхождении, о месте его пребывания или жительства, о личной и семейной жизни.

      Не являются нарушением правил, установленных абзацем первым настоящего пункта, сбор, хранение, распространение и использование информации о частной жизни гражданина в государственных, общественных или иных публичных интересах, а также в случаях, если информация о частной жизни гражданина ранее стала общедоступной либо была раскрыта самим гражданином или по его воле.

      Тайна частной жизни в данном случае первична, так что КТ не получится.
      • –1
        Уголовный кодекс? конституция? вы еще скажите про свободу слова
        • +1
          Что-то вы не в то окно, по-моему.
          • 0
            немного не верно высказал своё мнение, но всё же я имел ввиду, что "* тайна" — это довольно смешное понятие в нашем мире (с точки зрения морали и законов)
            • +1
              В целом по больнице, конечно, оно так. Но в конкретно приведенном случае объявление данных сведений коммерческой тайной будет незаконным, а соответственно и нарушения режима коммерческой тайны не будет. И, кроме того, выполнение подобных действий с сотрудником будет тоже незаконным.
              Секретарши тоже должны понимать свои права. Если ее уволят за разглашение подобной тайны, то она может просто посидеть 4-5 месяцев дома или найти новую работу, затем подать в суд, восстановиться в должности и истребовать потерянную заработную плату и возмещение морального вреда за нарушение тайны частной жизни. И если второй иск еще может тянуться, то решение по первому иску выносится довольно быстро, и, как правило, в пользу работника, а исполнение по решению совершается в тот же день.

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.