Как проверяется соблюдение документа о конфиденциальной информации?

Содержание
  1. Проверка Роскомнадзора по защите персональных данных: как подготовиться и избежать штрафов
  2. Виды проверок Роскомнадзора
  3. – Плановая проверка
  4. – Внеплановая проверка
  5. – Документарная проверка
  6. – Выездная проверка
  7. Как выполнить требования законодательства и подготовиться к проверке Роскомнадзора?
  8. Проверка Роскомнадзора: на что обращают внимание инспекторы?  
  9. Какие персональные данные можно обрабатывать без уведомления:
  10. Почему и как Роскомнадзор проводит проверки управляющих организаций
  11. Уо и тсж являются операторами персональных данных
  12. Роскомнадзор получил право проводить проверки операторов персональных данных
  13. Уо и тсж могут попасть в план проверок раз в два года
  14. Уо и тсж уведомляются за 3 дня или за 24 часа до начала проверки
  15. Оператор ПДн обязан ответить на запрос Роскомнадзора в течение 5 рабочих дней
  16. Оператор ПДн обязан создать условия для проведения проверки
  17. За неустранение нарушений выдаётся требование об остановке обработки персональных данных
  18. Важно знать
  19. Контроль исполнения конфиденциальных документов
  20. Как организовать контроль исполнения документов
  21. Как определяется конфиденциальность документов 
  22. Ответственность за разглашение конфиденциальной информации
  23. От чего зависит тяжесть наказания
  24. Характерные особенности секретности
  25. Порядок сохранности тайн
  26. Что принадлежит к распространению сведений
  27. Доказательная база
  28. Для кого достаточно дисциплинарного взыскания
  29. За какие действия наказывают по административному кодексу?
  30. Серьезная ответственность
  31. Нарушения гражданских прав
  32. и особенности, подписанных соглашений

Проверка Роскомнадзора по защите персональных данных: как подготовиться и избежать штрафов

Как проверяется соблюдение документа о конфиденциальной информации?

Согласно Федеральному закону №294-ФЗ плановая проверка Роскомнадзора осуществляется не чаще 1 раза в 3 года.

Таким образом, если в указанный период в вашей компании она проводилась и в дальнейшем вы не допускали каких-либо нарушений, в ближайшее время ожидать проверки не стоит.

Если же за последние 3 года инспекторы не были у вас в гостях, то самое время подготовиться к их визиту. Тем более что в настоящее время Госдума рассматривает законопроект о значительном увеличении штрафов за нарушения в обработке персональных данных.

Виды проверок Роскомнадзора

Проверки Роскомнадзора бывают плановыми и внеплановыми, документарными и выездными.

– Плановая проверка

О плановых проверках Роскомнадзор предупреждает заранее. За 3 дня по почте приходит  уведомление, в котором указано, какого числа будет проверка. Но каждая компания может заранее узнать, включена ли она в список тех, кого будут проверять в текущем году. План проверок опубликован на сайте Роскомнадзора.    

– Внеплановая проверка

Часто проводится по жалобам физических лиц. Например, люди могут жаловаться на нежелательную рекламную рассылку, SMS-спам, назойливые телефонные звонки. О внеплановой проверке Роскомнадзор предупреждает за 24 часа.

– Документарная проверка

В этом случае Роскомнадзор запрашивает список документов, копии которых необходимо отослать в территориальный орган Роскомнадзора.

– Выездная проверка

При выездной проверке в компанию приезжают инспекторы. Обычно несколько человек. Инспекторы на месте проверяют, как компания выполняет требования Федерального закона №152-ФЗ.

В случае и с плановой, и с внеплановой проверкой у компании слишком мало времени на то, чтобы подготовиться и исправить все нарушения. Поэтому делать все нужно заранее.

Как выполнить требования законодательства и подготовиться к проверке Роскомнадзора?

Федеральный закон №152-ФЗ требует от компаний выполнения определенных организационных, правовых и технических требований.

Чтобы выполнить их самостоятельно, нужно изучить не только сам закон, но и его подзаконные акты, разобраться в том, какие именно меры необходимо предпринять.

Но можно поступить проще — привлечь специалиста на аутсорсинге, который выполнит объем необходимой работы: изучит все процессы обработки персональных данных в компании, составит необходимые документы, внедрит средства защиты и т д.

Если привлечение внешнего специалиста для вас дорого, сделайте выбор в пользу бюджетного варианта и используйте специальные онлайн-сервисы для выполнения законодательства о персональных данных.

Если же вы решили действовать самостоятельно, то вам придется выполнить несколько шагов:

  1. Для начала найдите в компании человека, который будет следить за выполнением законодательства в области персональных данных. Часто в компаниях малого и среднего бизнеса эта функция делегируется бухгалтеру, кадровику или юристу. Реже ее берет на себя руководитель. В крупных компаниях вопросами защиты информации может заниматься целый отдел.
  2. Назначьте ответственного за организацию обработки персональных данных в компании. Скорее всего, это будет тот же человек, который  занимается вопросами персональных данных.
  3. Изучите процесс обработки персональных данных в компании, например, какие персональные данные компания собирает, в каких целях. Компания может собирать персональные данные работников для выполнения трудового законодательства или данные клиентов для выполнения заключенных с ними договоров, ей также могут понадобиться персональные данные соискателей на вакантные должности. Возможно, компания передает эти данные в другую организацию,  например, данные сотрудников в бухгалтерию.
  4. На основе полученной информации разработайте пакет документов, включающий политику компании в отношении обработки персональных данных, положение по неавтоматизированной обработке, приказ о назначении ответственных и ряд других положений, приказов, инструкций и актов. Разработанные документы необходимо утвердить.
  5. Обязательно ознакомьте с утвержденными документами всех работников, которые имеют к ним отношение. Например, с положением по неавтоматизированной обработке нужно ознакомить только тех работников, которые работают непосредственно с бумажными документами, содержащими персональные данные.
  6. Основной документ — политику компании в отношении обработки персональных данных — разместите в общедоступном месте, чтобы каждый желающий мог ее прочесть. Лучше всего копию документа разместить на информационном стенде. Если у компании есть сайт, на котором собираются персональные данные пользователей, например, ФИО, телефон и e-mail для регистрации, то на сайте также нужно разместить политику, причем в том месте, где она будет заметна пользователю.
  7. Подайте уведомление в Роскомнадзор об обработке персональных данных. Уведомление оформляется в двух видах — электронном и печатном. 

Чтобы выслать уведомление в электронном виде, нужно на сайте Роскомнадзора заполнить электронную форму. После отправки электронного уведомления, распечатайте форму и отправьте ее по почте в территориальный орган Роскомнадзора.

В течение 30 дней Роскомнадзор рассмотрит ваше уведомление и добавит компанию в реестр операторов. Присутствие компании в реестре свидетельствует не только о выполнении одного из требований Федерального закона №152-ФЗ, но и о добропорядочности и прозрачности деятельности компании, что важно для контрагентов.

Проверка Роскомнадзора: на что обращают внимание инспекторы?  

Прежде всего, инспекторы захотят ознакомиться со всеми необходимыми документами. Первое, на что обратят внимание проверяющие, — подавала ли компания уведомление в Роскомнадзор. Компания, которая не отправила уведомление и не попадает под исключения закона, будет привлечена к ответственности.

Какие персональные данные можно обрабатывать без уведомления:

  1. данные, которые обрабатываются в соответствии с трудовым законодательством;
  2. данные, полученные оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
  3. данные, относящиеся к членам (участникам) общественного объединения или религиозной организации и обрабатываемые соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством РФ, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
  4. данные, сделанные субъектом персональных данных общедоступными;
  5. данные, включающие в себя только фамилии, имена и отчества субъектов персональных данных;
  6. данные, необходимые в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
  7. данные, включенные в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
  8. данные, обрабатываемые без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.
  9. данные, обрабатываемые в случаях, предусмотренных законодательством о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Если уведомление было подано в Роскомнадзор, при проверке инспекторы будут ориентироваться на него и сравнивать его с реальными процессами обработки персональных данных в компании. Если информация не соответствует действительности, например, после подачи уведомления в компании поменялся ответственный за организацию обработки персональных данных, ее могут оштрафовать за то, что в Роскомнадзор вовремя не было отправлено информационное письмо о произошедшем изменении.

Роскомнадзор просматривает сайт компании. Если на сайте организован сбор информации (ФИО, телефон, электронный адрес пользователя), но не опубликована политика компании в отношении обработки персональных данных, компанию могут оштрафовать.

Во время проверки Роскомнадзор может попросить формы документов, в которых содержатся персональные данные. Например, это могут быть анкеты для соискателей вакантных должностей. Сами формы нужно подготовить заранее. Инспекторам также может быть интересна форма согласия на обработку персональных данных.

Роскомнадзор обращает особое внимание на обработку специальных категорий персональных данных.

К ним относится информация о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни.

Такие данные можно собирать только с письменного согласия человека и только на законных основаниях, например, если информация о состоянии здоровья работника нужна работодателю для понимания того, сможет ли он выполнять свои трудовые функции.

Если компания передает персональные данные другим компаниям (например, банкам в рамках зарплатного проекта), то следует  обратить внимание на то, как составлен договор с этими компаниями. Согласно ч.3 ст.

6 №152-ФЗ в договоре должно быть прописано следующее: с какой целью передаются персональные данные другой компании, какие действия она будет совершать с ними, обязанность компании обеспечивать конфиденциальность и безопасность полученных персональных данных.

В договоре должно быть указано, что компания, которой передаются персональные данные, принимает правовые, организационные и технические меры для защиты персональных данных. Роскомнадзор обязательно попросит копию договора.

В помещения, в которых обрабатываются персональные данные, должен быть контролируемый доступ. Это значит, что, например, клиент банка не должен иметь возможности подсмотреть персональные данные. Они могут быть доступны только работникам, которые имеют допуск к их обработке.

Также нужно обеспечить раздельное хранение документов, содержащих персональные данные разных физических лиц. То есть личные данные работников должны храниться отдельно от договоров с клиентами.

Это могут быть запираемые шкафы или сейфы. В конце рабочего дня документы должны быть убраны.

Если Роскомнадзор во время проверки увидит разбросанные документы с персональными данными на столах работников, к компании возникнут вопросы.

В целом проверка Роскомнадзора не так страшна, как многим кажется. Если в компании документы поддерживаются в актуальном состоянии, подано уведомление и информация в нем соответствует реальности, в компании приняты все организационно-правовые меры, то контролирующему органу придраться будет не к чему.

Елена Республиканская

Источник: https://kontur.ru/articles/1775

Почему и как Роскомнадзор проводит проверки управляющих организаций

Как проверяется соблюдение документа о конфиденциальной информации?

Управляющие организации, ТСЖ и кооперативы по роду своей деятельности являются операторами персональных данных, поэтому в отношении таких организаций Роскомнадзор имеет право проводить проверки согласно постановлению Правительства РФ от 13.02.2019 № 146. Рассказываем об этом подробнее.

Уо и тсж являются операторами персональных данных

Персональные данные (ПДн) – это любая информация, которая относится к физическому лицу – субъекту ПДн и помогает идентифицировать его (ч. 1 ст. 3 № 152-ФЗ). К таким данным относятся общие сведения о человеке: фамилия, имя, отчество, дата и место рождения, данные документа, удостоверяющего личность, другие сведения, по которым прямо или косвенно можно определить конкретного человека.

Действия, которые совершаются с ПДн: сбор, запись, систематизация и накопление, хранение, обновление, изменение, использование, передача и др. – называются их обработкой (ч. 3 ст. 3 № 152-ФЗ). Лица и организации, обрабатывающие персональные данные, являются операторами ПДн.

УО, ТСЖ и кооперативы обрабатывают персональные данные жителей многоквартирных домов в силу пп. 2 ст.

6 № 152-ФЗ: начисляя плату за ЖКУ, ведя реестры собственников, оформляя платёжные документы, передавая ПДн собственников помещений в РСО при заключении прямого договора.

Обработку персональных данных подразумевают заключённый УО с собственниками помещений в МКД договор управления или устав ТСН (ст. ст. 135, 155, 162 ЖК РФ).

Вправе ли УО передавать РСО персональные данные при прямом договоре

Роскомнадзор получил право проводить проверки операторов персональных данных

Поскольку УО, ТСЖ и ЖК работают с персональными данными собственников и жителей многоквартирных домов, то к ним применяются нормы постановления Правительства РФ от 13.02.2019 № 146. Постановлением в соответствии с ч. 1.1 ст. 23 № 152-ФЗ утверждены Правила проведения государственного контроля и надзора за обработкой персональных данных.

Согласно п. 2 ПП РФ № 146, функции госконтроля и надзора за обработкой ПДн возложены на Роскомнадзор. Ведомство должно предупреждать, выявлять и пресекать нарушения в деятельности операторов персональных данных.

Для этого Роскомнадзор уполномочен проводить плановые и внеплановые, документарные и выездные проверки, профилактические мероприятия, принимать меры, чтобы устранить последствия противоправных действий операторов ПДн (п. 3 ПП РФ № 146).

Уо и тсж могут попасть в план проверок раз в два года

Плановые проверки в отношении операторов персональных данных проводятся в соответствии с графиком, размещённым в интернете. Попасть в такой план может любой оператор ПДн, если с момента его регистрации как юрлица или с момента последней проверки прошло 3 года (п.п. 5, 6 ПП РФ № 146).

При этом поставщики информации в государственные информационные системы могут оказываться в плане по контролю чаще: раз в два года (пп. «а» п. 7 ПП РФ № 416).

Роскомнадзор имеет право проводить и внеплановые проверки операторов ПДн по нескольким основаниям:

  • неисполнение выданного ранее предписания по устранению нарушений;
  • по требованию прокурора, поручению Президента РФ, Правительства РФ;
  • по заявлению граждан, если они в обращении докажут факт нарушения их прав;
  • по результатам проверки, проведённой Роскомнадзором без взаимодействия с оператором ПДн.

Внеплановые проверки, организованные по двум последним приведённым выше причинам, должны быть согласованы с прокуратурой.

Роскомнадзор об обработке персональных данных

Уо и тсж уведомляются за 3 дня или за 24 часа до начала проверки

О проведении плановой проверки Роскомнадзор должен уведомить оператора не позднее, чем за 3 рабочих дня до этого, о внеплановой – не менее чем за 24 часа до её начала (п.п. 11, 12 ПП РФ №416). Копия приказа о проведении проверки направляется проверяемому:

  • по почте с уведомлением о вручении;
  • по электронной почте, если адрес оператора размещён на его сайте;
  • по электронной почте, если оператор сообщал адрес ранее в Роскомнадзор;
  • либо другим доступным способом.

При этом электронный образ документа должен быть подписан усиленной электронной подписью уполномоченного должностного лица Роскомнадзора.

Срок проведения плановой проверки – 20 рабочих дней, внеплановой – 10 рабочих дней. Продлить проверку можно не более, чем в два раза (п.п. 16, 17 ПП РФ № 416). Во время контрольных мероприятий проверяются соблюдение оператором требований к обработке ПДн, документы и информационные системы персональных данных.

Оператор ПДн обязан ответить на запрос Роскомнадзора в течение 5 рабочих дней

Роскомнадзор может проводить плановые выездные и документарные проверки. Внеплановые проверки могут быть только выездными (п. 25 ПП РФ № 416).

В рамках документарной проверки оператор ПДн должен предоставить документы и информацию по запросу ведомства в течение 5 рабочих дней со дня получения письма (п. 27 ПП РФ № 416). Документы предоставляются в виде заверенных печатью и подписью копий либо в электронном виде с использованием усиленной электронной подписи.

Дополнительные пояснения в рамках той же проверки должны быть направлены оператором ПДн в ведомство в течение 3 рабочих дней после получения запроса (п. 30 ПП РФ № 416).

Необходимо обратить внимание, что дата поступления ответа на запрос от оператора – это дата, которую указывает Роскомнадзор при принятии пакета документов, а не дата его отправки. Если документы не предоставлены в срок, то в отношении оператора проводится выездная проверка.

Что делать с персональными данными в протоколе ОСС для ГИС ЖКХ

Оператор ПДн обязан создать условия для проведения проверки

Если документарная проверка проходит по месту размещения Роскомнадзора, то выездная – по месту размещения оператора персональных данных. Если оператор является физическим лицом, а не юрлицом или индивидуальным предпринимателем, то в его отношении выездная проверка проводиться не может (п. 32 ПП РФ № 416).

Перед началом проверки должностное лицо Роскомнадзора должно предъявить удостоверение и ознакомить проверяемого с приказом о проведении выездной проверки (п. 33 ПП РФ № 416). Оператор ПДн со своей стороны должен создать необходимые условия для проведения контрольных мероприятий, обеспечить доступ в помещения и к оборудованию.

Если проверяемый препятствует действиям сотрудников Роскомнадзора, проводящих проверку, то об этом составляется акт. Затем контрольный орган имеет право обратиться в прокуратуру или в правоохранительные органы (п. 38 ПП РФ № 416).

При составлении такого акта, а также при отсутствии оператора ПДн в день проверки она приостанавливается до момента устранения причин остановки либо же до проведения внеплановой проверки без предварительного уведомления оператора ПДн (п.п. 39, 40 ПП РФ № 416).

За неустранение нарушений выдаётся требование об остановке обработки персональных данных

По результатам проверки Роскомнадзор составляет в двух экземплярах акт, в котором делает заключение об отсутствии нарушений или об их наличии с указанием на статьи НПА (п.п. 43, 44 ПП РФ № 416). При этом акт должен быть подписан представителем проверяемого юрлица или индивидуального предпринимателя. Если оператор ПДн отказался подписать акт, то об этом в акте делается отметка.

Экземпляр акта проверки вручается оператору персональных данных под подпись или направляется с уведомлением о вручении либо другим доступным способом в течение 10 дней со дня его подписания (п. 44 ПП РФ № 416).

Если Роскомнадзор выявил нарушения при проверке, то вместе с актом оператору вручается предписание об устранении нарушений со сроком выполнения не более 6 месяцев с дня вручения этих документов (п. 47 ПП РФ № 416). Оператор должен предоставить в Роскомнадзор информацию о выполнении предписания – в ином случае в его отношении проводится внеплановая выездная проверка.

Если невыполнение предписания влечёт нарушение прав и интересов субъектов персональных данных, то оператор обязан по требованию Роскомнадзора прекратить обработку любых персональных данных до устранения допущенных нарушений (п. 50 ПП РФ № 416). Если этого не сделать, оператор ПДн будет привлечён к административной ответственности.

Важно знать

Правила проведение проверок управляющих организаций и ТСЖ как операторов персональных данных во многом схожи с правилами проверок, которые проводит в их отношении орган Госжилнадзора.

УО и ТСЖ должны иметь в виду, что Роскомнадзор имеет право планово проверять их чаще, чем других операторов ПДн, поскольку они являются поставщиками информации в ГИС ЖКХ.

В ходе контрольных мероприятий будут проверяться как документы, так и порядок их хранения и информационные системы, с помощью которых происходит обработка ПДн.

Хотя внеплановыми могут быть только выездные проверки, плановая документарная проверка легко может превратиться во внеплановую, если Роскомнадзор обнаружит какие-либо нарушения в работе оператора ПДн или в срок не получит необходимые документы.

В случае неустранения нарушений, затрагивающих интересы и права субъектов ПДн, оператор обязан остановить любую обработку персональных данных.

В отношении УО и ТСЖ это значит, что в такой ситуации они не смогут выставлять счета на оплату жилищно-коммунальных услуг, проводить общие собрания собственников, передавать данные в РСО в рамках договоров ресурсоснабжения и даже обрабатывать заявки, поступающие в аварийно-диспетчерскую службу.

Хотите, чтобы в вашей ленте было больше статей и новостей о ЖКХ и эффективном управлении МКД? Тогда:
– поддержите эту публикацию, нажав «палец вверх»

Источник: https://zen.yandex.ru/media/id/5a5864e93dceb7ffefabddd3/pochemu-i-kak-roskomnadzor-provodit-proverki-upravliaiuscih-organizacii-5ca4a1b73dd2f700b3b0c564

Контроль исполнения конфиденциальных документов

Как проверяется соблюдение документа о конфиденциальной информации?

В государственной организации или компании циркулируют документы с различной степенью конфиденциальности. Это могут быть документы, содержащие государственную или коммерческую тайну.

Когда на основании поручения руководителя эти документы поступают на исполнение в подразделение, возникает риск, что к их содержанию получат доступ лица, не имеющие на это право, например, сотрудники отдела делопроизводства, обеспечивающие контроль за исполнением поручений, или специалисты IТ-подразделений, налаживающие программу электронного документооборота (ЭДО). Существуют организационные и технические решения, благодаря которым рисков утечки сведений из конфиденциальных документов можно избежать.    

Как организовать контроль исполнения документов

Документы, которые поступают на исполнение в подразделение юридического лица, бывают двух видов.

Первая группа – это входящая корреспонденция, к которой относятся поручения вышестоящих организаций, запросы правоохранительных органов, письма от граждан, деловая переписка с контрагентами, претензии, договоры.

Во вторую группу входят документы организации – поручения или приказы руководства, инструкции, проекты соглашений.

Когда на основании какого-то документа сотрудники организации должны совершить ответные шаги (подготовить письмо – ответ на обращение, подобрать первичную документацию, произвести визирование), руководством назначается исполнитель. В поручении определяется срок исполнения. По его истечении соответствующие подразделения обязаны обеспечить контроль исполнения конфиденциальных документов с точки зрения своевременности и правильности. 

Как определяется конфиденциальность документов 

Уровень конфиденциальности зависит от статуса организации и ее отношения к сохранению режима коммерческой тайны.

Для государственных компаний или фирм, работающих с государственным заказом, нередко сталкиваются с государственной тайной, охрана которой обеспечивается отдельными правилами, например, проставлением грифа конфиденциальности «секретно» и разрешением работать с такими данными только лицам, имеющим официальный допуск. 

Для частной фирмы конфиденциальность определяется фактом внесения соответствующих данных в список информации, относящейся к коммерческой тайне. Ее режим регулируется нормами ГК РФ, а преднамеренное разглашение может караться в рамках административного и уголовного кодекса.

Чтобы коммерческая информация получила такой статус, в организации необходимо издать приказ о том, что вводится в действие режим коммерческой тайны, и ознакомить с ним под роспись сотрудников.

Приложением к такому приказу является перечень сведений, составляющих коммерческую тайну. 

Поскольку речь идет о контроле исполнения конфиденциальных документов, в перечень должно попасть положение, что к коммерческой тайне относятся все сведения, связанные с таким контролем. В некоторых компаниях в режиме коммерческой тайны обрабатываются все поручения и документы, стоящие на контроле исполнения. 

Такую же оговорку необходимо сделать по отношению к документам, содержащим персональные данные, так как их правовой статус относит их к конфиденциальным сведениям.

Все процедуры, относящиеся к обработке конфиденциальных документов, должны быть отражены во внутренних положениях компании.

Сотрудники должны быть проинформированы о том, что сведения о порядке исполнения, сроках, назначенных для обработки и подготовки ответов, не должны доверяться третьим лицам.

В компании должна формироваться корпоративная культура, в которой единственный намек на то, что документ имеет статус конфиденциального, должен повышать внимательность по отношению к нему. 

Обычно в организации создается два внутренних положения, определяющих порядок контроля за исполнением. Первое касается исполнения документов любого уровня, второе – только конфиденциальных. 

Этапы контроля выглядят следующим образом: 

  • генерация конфиденциального документа или его поступление в компанию;
  • подготовка поручения. Чаще всего оно выглядит как резолюция, когда на документе или на прикрепленном к нему бланке пишутся ответственный исполнитель, другие лица, отвечающие за подготовку ответа, какие-либо замечания и дата исполнения. Именно эти данные вносятся в журналы контроля;
  • постановка поручения на контроль. На контроль ставятся не все документы конфиденциального характера, а только наиболее важные, на которые необходимо дать срочный ответ или иным образом исполнить содержащиеся в них требования. В этом случае на документе ставится отметка «На контроль», он учитывается в журнале отдела делопроизводства. В системах ЭДО обычно контролируется исполнение всех документов, назначенному сотруднику приходит напоминание об истечении предусмотренных для поручения сроков выполнения;
  • проверка соблюдения предварительного срока выполнения;
  • продление срока или отказ от продления;
  • проверка исполнения на итоговом сроке.

На всех стадиях допуск к секретным данным, содержащимся в конфиденциальных документах, могут получить неуполномоченные лица.

Решением вопроса исполнения конфиденциальных документов с точки зрения распределения их по зонам ответственности становится создание ступенчатой системы обработки, в которой документы с высокой степенью секретности могут быть переданы только уполномоченным лицам:

  • решение об отнесении входящей корреспонденции к той или иной категории принимает уполномоченный сотрудник отдела делопроизводства;
  • секретный документ расписывается только тем руководителям подразделений, которые имеют соответствующий допуск;
  • исполнитель назначается по тем же принципам;
  • контроль исполнения может быть поручен любому сотруднику отдела делопроизводства при условии, что он не будет ознакомлен с текстом документа.

При реализации такой структуры обработки на уровне ручного режима утечка данных из-за действий неуполномоченного лица маловероятна.

В некоторых компаниях и государственных организациях создается подразделение конфиденциального делопроизводства, через которое проходят секретные документы.

Сотрудник, которому поручена обработка документов, должен сверить количество листов, а также проконтролировать, совпадает ли учетный номер документа с тем, который зафиксирован в журналах учета.

Также передача документов от исполнителя к исполнителю происходит непосредственно, без привлечения сотрудников подразделения. Передача оформляется распиской, позволяющей установить сроки, в которые передан документ.

Существует ситуация, в которой конфиденциальный документ адресован только для информирования и не требует исполнения. Обычно его доставляют специальной почтой, хранят в отдельных помещениях с ограниченным доступом.

 

В этой ситуации ознакомление с ними сотрудников происходит под роспись в подразделении, отвечающем за конфиденциальный документооборот. В современном мире эта процедура иногда оказывается архаичной, но для высокой степени конфиденциальности необходимо исключить любые возможности скопировать информацию и передать ее третьим лицам.

Подписи, говорящие о том, что ознакомление произведено, могут ставиться как на самих документах, так и на специально созданных листах или в учетных книгах. Это отдельные журналы регистрации, с которыми могут работать только сотрудники, имеющие доступ к данным, содержащим государственную тайну.

Такие документы, равно как и процесс их исполнения, никогда не попадут в системы электронного документооборота. 

При организации контроля исполнения конфиденциальных документов в системах ЭДО возникают свои сложности. В любой компании в них попадают сведения, носящие характер коммерческой тайны, персональные данные сотрудников.

В них же обрабатываются и поручения, в результате контроль исполнения документов конфиденциального характера становится непростой задачей.

Системный администратор, в случае если отдельные документы в этой системе отмечаются значком «важно» или «секретно», понимает, что именно представляет интерес для конкурентов. Так же легко, в случае проникновения в систему ЭДО, наиболее важные сведения найдет и хакер.

Внимание злоумышленника особенно привлекут документы, которые поставлены на контроль исполнения. Эта процедура говорит об их важности для компании, а значит, и для конкурентов. Задача защиты таких документов решается определенными требованиями к информационным системам, определяющим уровень безопасности.

В ряде компаний система ЭДО настраивается таким образом, что компьютеры ее пользователей не подключены к Сети, соответственно, данные о порядке исполнения конфиденциальных документов не могут быть переданы третьим лицам напрямую. Но такая настройка исключает возможность гибкой работы с мобильных устройств: пользователи привязаны к своим рабочим местам, не имеют возможности выполнять поручения удаленно.

Исполнение документов как процесс остается неотъемлемой частью работы большинства крупных компаний, вынужденных создавать отдельные подразделения и бизнес-процессы, посвященные этому вопросу.

Несмотря на то, что это отвлекает значительные финансовые и человеческие ресурсы, часто только такое решение может уберечь ценные сведения от их распространения и передачи конкурентам, иным заинтересованным лицам.

14.11.2019

Источник: https://searchinform.ru/services/outsource-ib/zaschita-informatsii/kontrol-ispolneniya-konfidentsialnykh-dokumentov/

Ответственность за разглашение конфиденциальной информации

Как проверяется соблюдение документа о конфиденциальной информации?

Разглашение конфиденциальной информации — наказуемое деяние. Вид распространенных данных влияет на уровень ответственности перед законом. В юридическом праве существуют критерии, которые защищаются разными кодексами: гражданским, административным или уголовным.

Каждый гражданин может попасть под подсудность одного из них за предоставление в свободный доступ сведений, что считается преступлением. Если они находятся в перечне под охраной законодательных положений и регламентируются нормативными актами.

Ступень ответственности определит суд по сопутствующим нарушение факторам.

От чего зависит тяжесть наказания

Прежде чем устанавливать уровень вины за разглашение конфиденциальной информации, стоит понять, что к ней относится по закону и праву. Конфиденциальность означает секретность.

Данные, содержащиеся в закрытом доступе посторонним лицам, защищены от их проникновения законом, нарушителей наказывают. На страже стоит Федеральный закон № 149 со статьей 5, которая утверждает защищенность информационных технологий и разделяет материалы по видам доступности.

Но в любой их форме, если лицо имеет к ним доступ, не может передавать сведения сторонним людям кроме правообладателей.

Если из-за противоправных действий будет нанесен ущерб предприятию или работодателю виновного ждет наказание:

  • дисциплинарное;
  • материальное;
  • административное;
  • уголовное.

В зависимости от тяжести вины определяют, какую гражданин должен нести ответственность за разглашение конфиденциальной информации, если предприятие не секретное, возможно, руководство ограничится простым увольнением.

Характерные особенности секретности

Информационные сведения имеют широкое понятие. Ограничить свободный доступ к ним или полностью запретить может федеральное законодательство. Если данные настолько важны, что угрожают государственной безопасности, они относятся к военной тайне и принадлежат к стратегическому значению.

Подобное распространение, документальное или устное, считается тяжким преступлением и строго карается. Разглашение конфиденциальной информации принадлежит к уведомлениям ограниченно закрытым.

Если они не подлежат к общедоступным сведениям, с ними работают правоохранительные или надзорные органы по установлению закона.

В секрете должны содержаться детали:

  • следствий в ходе судебных разбирательств;
  • персональные из жизни каждого гражданина, его личные данные;
  • телефонных разговоров, переписки;
  • коммерческих действий юридических и физических лиц, если они являются тайной определенной законом и нормативными актами организации;
  • профессиональных сведений, которые доверены были населением работнику – врачу, адвокату, следователю.

Отсюда можно сделать вывод, что тайна бывает:

  • государственной;
  • коммерческой;
  • служебной;
  • персональной;
  • иной.

Каждого работника, занимающего ответственную должность, заранее предупреждают, что конфиденциальная информация не подлежит разглашению.

Порядок сохранности тайн

Прежде всего, как физические, так и юридические лица обязаны хранить свои секреты в надлежащем состоянии. Суд удовлетворит претензии, если истцом были предприняты меры надежной защиты.

Предприниматели могут подать исковое заявление в любом случае при обнаружении, что произошла утечка или разглашение конфиденциальной информации.

Но даже в правилах дорожного движения автовладелец может ответить за угон своего автомобиля, когда оставляет в нем ключи.

Поэтому предъявляются строгие требования :

  1. Документации с конфиденциальными данными в местах, ограниченных к свободному доступу. Это могут быть закрытые помещения или сейфы.
  2. Электронных данных, их защиту осуществляют пароли, коды, логины.
  3. Бумажных и электронных носителей, где должен стоять специальный гриф, предупреждающий о секретности.
  4. Трудовых договоров, в них прописывают условия для сотрудников в отношении коммерческих тайн.
  5. Локальных актов, в приказном порядке утверждают персонал, должности которого позволяет работать с закрытой для остальных информацией, они согласны хранить корпоративные секреты и ставят свои подписи под обязательствами.

При обнаружении утечки данных они должны сообщить руководству, так как бездействие тоже является нарушением производственной дисциплины.

Что принадлежит к распространению сведений

На каждом предприятии может произойти свой особенный случай, когда участвовали при разглашении конфиденциальной информации сотрудники.

Например:

  • инженер передал разработки коллег за определенную оплату конкурентам;
  • по недоразумению или желая разбогатеть, лаборант предоставляет доступ преступным элементам общества, к закрытым помещениям, где содержатся данные об испытаниях нового лекарственного препарата;
  • хвастовство за праздничным столом работника секретного ведомства позволило распространиться из уст в уста закрытым сведениям;
  • специалист регулярно выносил схемы, расчеты, подробности технических открытий за пределы предприятия, это серьезные преступные действия, квалифицировать которые способна судебная инстанция.

В каком бы статусе ни был пострадавший или организация, обратиться за восстановлением справедливости он может в правовое ведомство в законном порядке, самосуд исключен.

Доказательная база

Открывают дело в суде о несанкционированном распространении тайных сведений при наличии доказанных фактов. Процедура имеет заявительный характер, как и любое обращение в судебную инстанцию.

Подавать иск нужно с доказательствами:

  • письменными свидетельскими показаниями от сотрудников;
  • зафиксированными фактами пересылки документов;
  • обнаруженными копиями, сделанными без специальных распоряжений руководства;
  • записанными на камеру наблюдениями о противоправных действиях – передача третьим лицам документов, их копирование, фотографирование.
  • выявление косвенных признаков, доказательств нет, но утечка есть, при этом доступ имеет один из сотрудников.

Разглашение конфиденциальной информации по договору запрещено, это одно из требований к персоналу при приеме на работу отдельных специалистов. Условия о секретности содержат и должностные инструкции.

Для кого достаточно дисциплинарного взыскания

Если руководство решит, что служащий больше не позволит себе допустить халатность, его не уволят, а только:

  • предупредят;
  • сделают замечание;
  • лишат премии;
  • объявят выговор.

Подобные взыскания относятся к дисциплинарным, в их признаках отсутствует прямой умысел, нет причинения ущерба.

За какие действия наказывают по административному кодексу?

Штраф за разглашение конфиденциальной информации в размере 10000 рублей предусмотрен, если распространялись личные или коммерческие данные.

Административные нарушения не содержат передачу третьим лицам государственных тайн.

Разбирательства ведутся в отношении действий внутри предприятий за передачу конкурентам сведений о порядке работы, структуре, внедрения в производство новых разработок.

Серьезная ответственность

По УК РФ осуждают за уголовные преступления.

За разглашение конфиденциальной информации статья 183 регламентирует наказания, если граждане незаконно получили и распространили сведения, принадлежащие к коммерческим, налоговым, банковским тайнам.

Когда были похищены документы, происходил подкуп, давление на лиц с помощью угроз, проступки попадают под действие Федерального закона № 193 или № 420.

Степень ответственности зависит от тяжести преступления:

  • штрафные санкции по размеру зарплаты или годичного дохода;
  • исправительные или принудительные работы;
  • лишение свободы.

Только Уголовный кодекс предусматривает реальный тюремный срок за проступки, попавшие под действия его юрисдикции.

Нарушения гражданских прав

По ГК РФ предусмотрена ответственность в следующих случаях:

  • пренебрежительное отношение к своим профессиональным обязанностям;
  • нанесение вреда субъекту;
  • причинение морального ущерба за распространение личных данных.

Если профессиональная деятельность и трудовой договор содержат условия, что информация является конфиденциальной и не подлежит разглашению, а работник ознакомлен и подписал требования, значит, он несет ответственность за любое нарушение подобного характера.

и особенности, подписанных соглашений

Компании работают по разным производственным направлениям. Руководители и учредители предприятий стараются защитить себя от распространения тайн по характеру:

  • научно-техническому;
  • технологическому;
  • финансовому;
  • деловому.

Для сохранения секретности в учреждениях подписывают соглашения, что в рабочих процессах информация является конфиденциальной и не подлежит разглашению.

Специалисты подписывают обязательства по содержанию:

  • после изучения и знакомства с любыми данными не использовать их для собственных нужд;
  • сообщать руководству сведения о попытках сторонних лиц узнать производственные секреты;
  • соответствовать в работе нормам и требованиям относительно конфиденциальности;
  • когда прекратится допуск к секретным разработкам, соблюдать срок сохранения тайны, в течение периода, установленного локальным актом.

Сотрудник после подписания соглашения дает согласие на дисциплинарную или другую ответственность, предусмотренную договором. Персонал перед принятием на работу и после, когда он приступит к своим обязанностям, неоднократно проверяется службой безопасности организации. Вначале досконально изучают переданные документы.

Дают подписать трудовой договор и соглашение о неразглашении. Предоставляют испытательный срок, знакомят с доступом к конфиденциальным данным. В этот период специалиста оценивают не только по профессиональным навыкам, но и по его разговорам.

Когда происходит увольнение, бывшего коллегу предупреждают о последствиях в случае разглашения ему не принадлежащих тайн.

Источник

Источник: https://zakon.temaretik.com/1562060855544908604/otvetstvennost-za-razglashenie-konfidentsialnoj-informatsii/

Юрист поможет
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: