А.В. Федотова, юрист-консультант ООО «ИК Ю-Софт»
Секретарь является не только лицом компании, но одним из тех сотрудников, которые имеют доступ к колоссальному объёму документов и сведений, в том числе и конфиденциальных. Безусловно, знание правил работы и своевременная защита конфиденциальной информации от разглашения необходимы и для надлежащего исполнения секретарём своих должностных обязанностей, и для продуктивной работы всей организации.
В первую очередь следует понять, какая информация признаётся конфиденциальной, с учётом того что закон не содержит такого юридического определения. При этом оно содержится в Приказе ФНС РФ от 12.12.2006 № САЭ-3-13/848@ «О проведении опытной эксплуатации унифицированной системы приёма, хранения и первичной обработки налоговых деклараций и бухгалтерской отчётности в электронном виде по телекоммуникационным каналам связи» (вместе с «Временным регламентом обмена электронными документами с ЭЦП по телекоммуникационным каналам связи в унифицированной системе приёма, хранения и первичной обработки налоговых деклараций и бухгалтерской отчётности»), где указано: «Конфиденциальная информация — требующая защиты информация, доступ к которой ограничивается в соответствии с действующим законодательством Российской Федерации, а также настоящим Регламентом...». Кроме того, в Указе Президента РФ от 06.03.1997 № 188 (ред. от 13.07.2015) «Об утверждении Перечня сведений конфиденциального характера» рассмотрены категории сведений, которые являются конфиденциальными.
К таким сведениям относятся:
1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.
2. Сведения, составляющие тайну следствия и судопроизводства, сведения о лицах, в отношении которых в соответствии с федеральными законами от 20 апреля 1995 г. № 45-ФЗ «О государственной защите судей, должностных лиц правоохранительных и контролирующих органов» и от 20 августа 2004 г. № 119-ФЗ «О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства», другими нормативными правовыми актами Российской Федерации принято решение о применении мер государственной защиты, а также сведения о мерах государственной защиты указанных лиц, если законодательством РФ такие сведения не отнесены к сведениям, составляющим государственную тайну.
3. Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом РФ и федеральными законами (служебная тайна).
4. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией РФ и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).
5. Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом РФ и федеральными законами (коммерческая тайна).
6. Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.
7. Сведения, содержащиеся в личных делах осуждённых, а также сведения о принудительном исполнении судебных актов, актов других органов и должностных лиц, кроме сведений, которые являются общедоступными в соответствии с Федеральным законом от 2 октября 2007 г. № 229-ФЗ «Об исполнительном производстве».
Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» в ст. 9 устанавливает общие требования к защите конфиденциальной информации. Конкретные требования по каждому виду конфиденциальных сведений содержатся в специальных законах, например, в Федеральном законе от 29.07.2004 № 98-ФЗ «О коммерческой тайне» (далее — Закон о коммерческой тайне), Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон о персональных данных) и т. д.
Вопросы защиты именно коммерческой тайны и персональных данных являются общими для подавляющего количества организаций. И это объяснимо, ведь, например, информация, составляющая коммерческую тайну, включает сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введён режим коммерческой тайны (ст. 3 Закона о коммерческой тайне). Разглашение такой информации может повлечь для организации крайне негативные последствия, включая конфликты с контрагентами, возникновение значительных убытков и даже банкротство.
При работе с персональными данными также необходимо соблюдать установленные требования, поскольку в противном случае возникает риск привлечения виновного лица как к административной, так и гражданской ответственности. Это связано с тем, что персональные данные, то есть любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных), находятся под защитой закона.
В целях обеспечения надлежащего режима конфиденциальности в компании необходимо создать внутренний локальный акт, который определит объём информации ограниченного доступа и порядок работы с ней.
Обратите внимание, что меры по охране конфиденциальности информации должны включать в себя, в частности, определение перечня информации, составляющей коммерческую тайну; установление порядка обращения с этой информацией и контроля за соблюдением такого порядка; учёт лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана; регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров; нанесение на материальные носители, содержащие информацию, составляющую коммерческую тайну, или включение в состав реквизитов документов, содержащих такую информацию, грифа «Коммерческая тайна» с указанием обладателя такой информации (для юридических лиц — полное наименование и место нахождения, для индивидуальных предпринимателей — фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства). В частности, для создания такого документа можно ориентироваться и на порядок работы с конфиденциальной информацией, указанной в Решении Совета Евразийской экономической комиссии от 18.09.2014 № 71 «О Порядке работы с документами ограниченного распространения (конфиденциальными и для служебного пользования) в Евразийской экономической комиссии».
В Положении о персональных данных целесообразно указать перечень документов организации, содержащих персональные данные, требования к обработке персональных данных, порядок их передачи работникам внутри организации, а также сторонним лицам и государственным органам; порядок доступа к персональным данным работников, который включает предоставление персональных данных отдельным работникам организации и передачу персональных данных представителям других организаций и государственных органов; ответственность за нарушение правил хранения и использования персональных данных.
Перед началом работы с конфиденциальной информацией секретарь должен быть ознакомлен с соответствующими внутренними локальными актами. Их соблюдение является обязательным.
Секретарь не вправе использовать конфиденциальную информацию, ставшую ему известной в связи с исполнением служебных (должностных) обязанностей, в целях, не связанных с исполнением служебных (должностных) обязанностей, а также использовать или разглашать такую информацию в корыстных или иных личных целях.
Работа с документами ограниченного распространения осуществляется секретарём на рабочем месте на принадлежащих работодателю технических средствах обработки информации, защищённых от несанкционированного доступа и доступа к ресурсам общедоступных сетей, с соблюдением мер по обеспечению защиты информации при её автоматизированной обработке в локальной вычислительной сети работодателя, определяемых в соответствии с требованиями и стандартами защиты информации.
При выполнении операций с документами, содержащими конфиденциальную информацию, секретарём должны быть приняты меры по защите такой информации, в том числе по исключению ознакомления с документами (проектами документов, вариантами и черновиками) не допущенных к работе с такими документами; контролю процесса вывода текста документов на печать, исключающему ознакомление с документами не допущенных к работе с такими документами лиц; недопущение воздействия на технические средства обработки такой информации и вывод их из строя; учёт лиц, получивших доступ к информации ограниченного распространения; предотвращение воздействия на информацию с нарушением установленных правил изменения информации, приводящим к искажению, подделке, уничтожению (полному или частичному), хищению, неправомерному перехвату, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования материального носителя информации); предотвращение воздействия на информацию вследствие ошибок пользователей, сбоя технических и программных средств информационных систем, природных явлений или иных не направленных на изменение информации событий, приводящих к искажению, подделке, уничтожению (полному или частичному), хищению, неправомерному перехвату, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования материального носителя информации); предотвращение умышленного воздействия, в том числе электромагнитного и (или) воздействия другой физической природы, осуществляемого с противоправной целью).
Секретарь не должен выносить документы ограниченного распространения на любых видах материальных носителей информации, дела с такими документами из служебных помещений.
При оставлении рабочего места документы (проекты документов, варианты и черновики), внешние (съёмные) материальные носители информации должны быть помещены секретарём в запираемые шкафы (сейфы, ящики).
При приёме поступивших конфиденциальных документов секретарь проверяет конверт (пакет, бандероль) на наличие повреждений и (или) следов несанкционированного доступа к содержимому конверта (пакета, бандероли), а также проверяет содержимое конверта (пакета, бандероли) на предмет комплектности конфиденциальных документов.
В случае обнаружения повреждений конверта (пакета, бандероли), следов несанкционированного доступа к содержимому конверта (пакета, бандероли) либо обнаружения расхождения между составом содержимого секретарём составляется акт в 2 экземплярах, один из которых направляется отправителю, а другой хранится в организации, принявшей конверт (пакет, бандероль).
Поступившие документы, которые содержат конфиденциальную информацию и указание на первой странице документа грифа «Для служебного пользования», «Коммерческая тайна», «Конфиденциально» и др., а также внутренние документы, подготовленные на основе конфиденциальных документов (воспроизводимой из таких документов или содержащейся в таких документах информации), подлежат регистрации в качестве конфиденциальных документов.
При регистрации входящего документа ограниченного распространения в качестве конфиденциального документа к регистрационному номеру, присваиваемому автоматически в общем массиве документации, добавляется буквенный индекс «конф», печатаемый без кавычек, пробелов, знаков препинания и иных технических знаков.
Дополнительно к реквизитам, проставляемым на штампе, указывается количество листов документа и через знак "+" общее количество всех приложений к документу. На первом листе каждого приложения в правом нижнем углу проставляется штамп или пишется "К вх. № ___".
При регистрации входящего документа ограниченного распространения из вскрытого конверта (пакета, бандероли) регистрационный номер проставляется на лицевой стороне первой страницы документа в нижнем правом углу с использованием штампа. При этом к регистрационному номеру документа добавляется соответствующий буквенный индекс.
При регистрации созданного в организации документа ограниченного распространения к регистрационному номеру, присваиваемому автоматически в общем массиве документации, в зависимости от грифа ограничения доступа к документу добавляется буквенный индекс «конф» — для конфиденциального документа, или «ДСП» — для документа для служебного пользования, печатаемый без кавычек, пробелов, знаков препинания и иных технических знаков.
На оборотной стороне последнего листа оригинала регистрируемого документа ограниченного распространения указываются сведения о количестве подготовленных экземпляров, об адресатах, которым направлены экземпляры документа (с указанием номера экземпляра по каждому адресату), об исполнителе (фамилия, инициалы, номер телефона).
При регистрации в системе электронного документооборота созданного в организации документа, которому присвоен гриф ограничения доступа, в электронной карточке документа в зависимости от вида ограничения распространения документа выбирается режим доступа «Конфиденциально» или «Для служебного пользования».
В процессе регистрации в системе электронного документооборота документ ограниченного распространения не подлежит сканированию и прикреплению к электронной карточке документа.
Передача секретарём документов ограниченного распространения по электронным каналам связи в пределах локальной вычислительной сети работодателя осуществляется с использованием методов и способов защиты информации, определяемых в соответствии с требованиями и стандартами защиты информации.
Указанные нюансы работы с конфиденциальной информацией являются общими, во внутреннем локальном акте организации могут быть указаны дополнительные меры защиты.