Коммерческая тайна и персональные данные. Можно ли отказать клиенту в выдаче информации?

01.10.2019
  • 364

Наверное, каждой компании приходится сталкиваться с запросами дополнительных данных от контрагентов.

С одной стороны, желание покупателя больше узнать о потенциальном партнере, квалификации его сотрудников, руководителей понятно, с другой – это может быть конфиденциальная информация. Как относиться к таким запросам?

Правило №1

Общедоступная информация может быть предоставлена без каких-либо ограничений. 

Любая другая, в том числе персональные данные, должна быть надежна защищена от неправомерного использования. 

В современном мире, информация давно стала еще одним активом. Все мы стараемся хранить любые данные, которые таки или иначе к нам попали – от контактов деловых партнеров, до истории деловой переписки. Но чем больший объем информации накоплен компанией, тем больше внимания необходимо обращать на защиту этих данных. Причем не только от утери, но и от нецелевого использования, несанкционированного доступа и утечки.

Мы не будем обсуждать вопросы информационной безопасности, хотя они безусловно имеют прямое отношение к этой теме, но рассмотрим организационные аспекты работы с информацией в компаниях.

В общем случае любые данные, накопленные в компании, можно разделить на:

  • Общедоступные. Это данные, которые не составляют какого-либо секрета, не требуют мер по их защите, могут быть переданы или опубликованы без ограничений.
  •  Данные ограниченного доступа (конфиденциальные данные):

    • Персональные данные физических лиц. Этот сегмент информации стоит рассматривать обособленно, поскольку Законодательством отдельно регулируются вопросы защиты персональных данных.
    • Данные составляющие коммерческую или иную тайну (банковская тайна, медицинская тайна и т.д.).

Соответственно компания должна проанализировать хранимые данные и провести их классификацию. Для данных ограниченного доступа дополнительно определить состав информации и выработать меры по ее защите.

Что такое общедоступные данные

В соответствии со статьей 28 Предпринимательского кодекса общедоступной является информация, не раскрывающая сведений о деятельности конкретного субъекта предпринимательства.

К общедоступной информации о компании относятся:

  1. фамилия, имя, отчество (если оно указано в документе, удостоверяющем личность) или наименование индивидуального предпринимателя;
  2. наименование и дата регистрации юридического лица;
  3. идентификационный номер;
  4. юридический адрес (место нахождения);
  5. вид деятельности;
  6. фамилия, имя, отчество (если оно указано в документе, удостоверяющем личность) руководителя.

В соответствии со статьей 6 Закона РК О персональных данных и их защите.

Общедоступные персональные данные – персональные данные, доступ к которым является свободным с согласия субъекта или на которые в соответствии с законодательством Республики Казахстан не распространяются требования соблюдения конфиденциальности.

Например, биографические справочники, телефонные или адресные книги, социальные сети - это общедоступные источники персональных данных. Соответственно информация о физических лицах, которая в них находится – тоже является общедоступной.

Таким образом в отношении информации о физических лицах, например, о сотрудниках компании общедоступными можно считать те данные, которые опубликованы в каких-либо открытых источниках (например, в Интернете) или данные, для которых получено согласие физического лица на их свободное распространение/использование.

Данные ограниченного доступа

Любая другая информация о деятельности компании и ее сотрудниках, потенциально является конфиденциальной. 

Предприниматель вправе требовать у своих работников подписку о неразглашении информации, составляющей коммерческую тайну, а так же имеет право отказать гос.органам, их должностным лицам в доступе к такой информации.

В отношении коммерческой деятельности, компания сама может принять решение о составе информации, относящейся к коммерческой тайне или о признании какой-либо информации общедоступной.

Например, если компания открыла интернет-магазин и публикует в нем информацию об ассортименте продуктов, их характеристиках и наличию остатков на складах компании, то эта информация автоматически переходит в состав общедоступной (с момента ее публикации в общедоступном источнике). Соответственно, в ответ на письменный или телефонный запрос клиента аналогичных данных сослаться на коммерческую тайну уже не получится.

При этом самостоятельно распоряжаться данными о других субъектах (контрагентах, сотрудниках), в том числе принимать решение о публикации или передаче таких данных, компания не может.

Правило №2

Если у вас есть интересующие данные, то это еще не означает, что вы вправе использовать их по своему усмотрению.

Информация, хранимая компанией, не всегда принадлежит ей, и свободно распоряжаться этими данными - нельзя.

Определитесь – является ли запрашивая информация собственностью компании. Если нет, то для ее передачи, как минимум, требуется согласие собственника.

Пример

Партнер запросил сведения о дипломе сотрудника, который потенциально будет являться исполнителем работ. Данные о дипломе хранятся в кадровой службе предприятия. Желание партнера узнать квалификацию исполнителя – понятно. Менеджер планирует отправить партнеру копию диплома.

В свободном доступе не публикуются сведения о дипломах, выданных физическим лицам. Следовательно информация, содержащаяся в дипломе, потенциально является конфиденциальной.

Сотрудник – это самостоятельное физическое лицо и принимать решение о передаче своих личных данных вправе только он. Конечно, при приеме на работу сотрудник предоставил оригиналы или копии своих личных документов и дал согласие на их хранение и обработку в определенных целях (в целях ведения кадрового учета компании), но разрешения на использование информации для других целей сотрудник не давал.

В соответствии с Законом О защите персональных данных:

«Статья 14
Использование персональных данных должно осуществляться собственником, оператором и третьим лицом только для ранее заявленных целей их сбора.

Статья 15
Распространение персональных данных в случаях, выходящих за рамки ранее заявленных целей их сбора, осуществляется с согласия субъекта или его законного представителя».

Следовательно, даже в случае наличия в кадровой службе нужных данных, для передачи информации партнеру, необходимо предварительно запросить разрешение у сотрудника. Либо отказать партнеру в выдаче информации, поскольку она является конфиденциальной.

Правило №3

Если вы по каким-либо причинам собираете и храните чужие персональные данные, то вы обязаны обеспечить их защиту.

«Статья 20
Сбор и обработка персональных данных осуществляются только в случаях обеспечения их защиты»

Если компания собирает и хранит персональные данные физических лиц (включая данные сотрудников), то необходимо

  • Утвердить перечень персональных данных, необходимых и достаточных для выполнения задач компании. Это документ, утвержденный руководством компании, в котором описано какие именно данные собирает компания и для каких целей.

  • Принять правовые, организационные и технические меры для защиты данных. Например, необходимо определить состав конфиденциальных данных, ограничить доступ сотрудников к этой информации, определить порядок доступа.

  • Зафиксировать согласие сотрудников на сбор и обработку их персональных данных.

  • Разработать процесс по уничтожению персональных данных в случае достижения цели их сбора и обработки. Сотрудники должны быть оповещены не только о сроках и условиях хранения данных, но и порядке уничтожения данных. Вы же не хотите оказаться в центре скандала, если ваш подчиненный выбросит кипу личных анкет соискателей, а ветер разнесет эти листики по всему городу?.

В законе О персональных данных и их защите можно найти более подробную информацию о требованиях к владельцу или оператору, осуществляющих сбор и обработку персональных данных.

  • (364)
Нравится
1

База знаний

Комментировать материалы сайта могут зарегистрированные пользователи

Нет комментариев