Правовой анализ локальных нормативных актов работодателя по защите информации ограниченного доступа
(Станскова У. М.) («Трудовое право в России и за рубежом», 2011, N 2)
ПРАВОВОЙ АНАЛИЗ ЛОКАЛЬНЫХ НОРМАТИВНЫХ АКТОВ РАБОТОДАТЕЛЯ ПО ЗАЩИТЕ ИНФОРМАЦИИ ОГРАНИЧЕННОГО ДОСТУПА <*>
У. М. СТАНСКОВА
——————————— <*> Stanskova U. M. Legal analysis of local normative acts of employer with regard to protection of information of limited access.
Станскова Ульяна Михайловна, старший преподаватель кафедры трудового и социального права Южно-Уральского государственного университета, г. Челябинск.
Автор анализирует различные локальные нормативные акты о защите информации ограниченного доступа на предмет соответствия их действующему законодательству об охраняемых видах тайн и персональных данных. Отмечается, что в локальных актах должны четко разграничиваться виды охраняемых законом тайн и сведений и в отношении каждого вида должен быть установлен соответствующий правовой режим.
Ключевые слова: правовой режим коммерческой тайны, персональные данные, меры по защите информации ограниченного доступа, ответственность за неправомерное разглашение информации ограниченного доступа.
The author analyses various local normative acts on protection of information of limited access with respect to correspondence thereof to the current legislation on protected types of secrets and personal data. The author notes that local acts should delimit the types of legally protected secrets and information and with regard to each type the relevant legal regime should be established.
Key words: legal regime of commercial secret, personal data, measures with regard to protection of information of limited access, responsibility for illegitimate disclosure of information of limited access.
Одним из важнейших этапов защиты информации ограниченного доступа в трудовых отношениях является разработка локальных нормативных актов. Такого рода акты имеют различные наименования: Положение о банковской и коммерческой тайне, Инструкция по обеспечению секретности банковской тайны, Положение о правилах работы с информацией, составляющей коммерческую тайну, Положение об обеспеченности сохранности сведений ограниченного распространения и т. п. Анализ локальных нормативных актов о защите информации ограниченного доступа предполагает исследование следующих аспектов: 1) соответствие понятийного аппарата действующему законодательству и иным нормативным правовым актам РФ; 2) соответствие перечня сведений, отнесенных к информации ограниченного доступа, требованиям нормативных правовых актов; 3) виды и достаточность мер, принимаемых работодателем для защиты информации ограниченного доступа; 4) предусмотренные ограничения прав работников в связи с доступом к такой информации; 5) ответственность за нарушение или неисполнение требований данных локальных нормативных актов; 6) возможные риски работодателя. В ракурсе перечисленных аспектов были проанализированы следующие локальные нормативные акты: Положение ОАО «Удмуртинвестстройбанк» <1> о банковской и коммерческой тайне; Положение АКБ «Капитал-МБ» <2>, Положение АКБ НМБ ОАО «Новокузнецкого муниципального банка» <3> о банковской и коммерческой тайне; Положение ОАО «Далькомбанк» о порядке предоставления сведений, составляющих банковскую тайну, клиентам банка и третьим лицам <4>; Положение ОАО «Т» об обеспечении сохранности сведений ограниченного распространения; Положение ОАО «С» о правилах работы сотрудников с информацией, составляющей коммерческую и банковскую тайну; Инструкция ОАО «ТТ» по обеспечению сохранности банковской, коммерческой тайны и иных конфиденциальных сведений. ——————————— <1> URL: http:// www. uisb. ru/ files/ 14/ vnunt_doc/ obankikontaine. pdf. <2> URL: http:// newasp. omskreg. ru/ bekryash/ app14.htm. <3> URL: http:// www. nkmb. ru/ scdp/ page? als= 972541&getfile;= 2265012&download;=1. <4> URL: http:// www. dalcombank. ru/ about/ for_shareholders/ rules/ bank_secret_state. pdf.
Наибольший интерес представляет содержание перечней сведений, отнесенных к коммерческой тайне. Федеральным законом от 29 июля 2004 г. N 98-ФЗ «О коммерческой тайне» <5> определен перечень сведений, в отношении которых не может быть установлен соответствующий режим. ——————————— <5> СЗ РФ. 2004. N 32. Ст. 3283.
При анализе содержания перечней сведений, отнесенных к коммерческой тайне, было установлено, что режим конфиденциальности вводится в отношении сведений, доступ к которым не может быть ограничен (например, в Положении ОАО «С» определено, что коммерческую тайну составляют сведения об учредителях). В Положении ОАО «Удмуртинвестстройбанк» к коммерческой тайне отнесены следующие сведения: анкетные данные ведущих специалистов и сотрудников; о будущих наборах работников; о приеме на работу руководителей, специалистов и переговорах с ними; о планируемых перемещениях и назначениях руководителей, специалистов; должностные оклады, система премирования, система иного поощрения, включая нематериальное; о планируемых сокращениях штата. ОАО «Новокузнецкий муниципальный банк» к коммерческой тайне также относит сведения об условиях оплаты труда работников банка и данные персонального учета работников. ОАО «Т» относит к коммерческой тайне штатное расписание и данные о материальном вознаграждении. Информация о заработной плате и о работниках банка отнесена к коммерческой тайне Банка «Капитал-МБ». В ОАО «ТТ» к коммерческой тайне отнесены биографические данные руководителей и специалистов банка и его филиалов, домашние адреса, номера служебного и домашнего телефонов, предыдущее место работы, места жительства и другие данные о них и их близких родственниках (матери, отца, жены или мужа, детей). Сведения о персонале банка отнесены к коммерческой тайне ОАО «С», причем в Положении не конкретизирован состав таких сведений. Представляется, что сведения о персонале не могут являться коммерческой тайной, а составляют персональные данные и должны защищаться в соответствии с гл. 14 Трудового кодекса и Федеральным законом от 27 июля 2006 г. N 152-ФЗ «О персональных данных» <6>. Согласно ст. 5 Закона «О коммерческой тайне» к коммерческой тайне может быть отнесена информация о численности, о составе работников, о системе оплаты труда, об условиях труда, в том числе об охране труда, о показателях производственного травматизма и профессиональной заболеваемости, о наличии свободных рабочих мест. В штатном расписании содержится информация о численности и о составе работников и заработной плате, т. е. информация, которая не может быть отнесена к коммерческой тайне. Сведения о сокращении численности или штата работников не могут быть отнесены к коммерческой тайне в силу необходимости их сообщения в органы службы занятости, профсоюзам и работникам (ст. ст. 82, 180 ТК РФ, Закон РФ от 19 апреля 1991 г. N 1032-1 «О занятости населения в РФ» <7>). Перечисленные сведения составляют информацию о персонале. ——————————— <6> СЗ РФ. 2006. N 31 (ч. 1). Ст. 3451. <7> СЗ РФ. 1996. N 17. Ст. 1915.
Спорным является отнесение сведений о должностных окладах, системе премирования и иного поощрения к коммерческой тайне. В перечне сведений, которые не могут составлять коммерческую тайну, названы сведения о системе оплаты труда (п. 5 ст. 5 Закона «О коммерческой тайне») и об оплате труда работников некоммерческих организаций (п. 9 ст. 5 Закона «О коммерческой тайне»). По мнению некоторых авторов, размер заработной платы работников формально может быть отнесен к коммерческой тайне организации <8>. ——————————— <8> Баркова С., Барсегян А. Может ли размер заработной платы работников коммерческой организации являться коммерческой тайной? URL: http:// www. garant. ru/ consult/ work_law/ 293449.
Из смысла ч. 2 ст. 135 ТК РФ следует, что системы оплаты труда включают размеры тарифных ставок, окладов (должностных окладов), доплат и надбавок компенсационного и стимулирующего характера. Система оплаты труда «включает как способ установления соотношения между мерой труда и мерой вознаграждения за него, на основании которого строится порядок исчисления заработка работника, так и конкретные размеры тарифных ставок, окладов (должностных окладов), также условия и порядок выплаты и размеры доплат и надбавок компенсационного характера, премий» <9>. Кроме того, в соответствии с п. 1 ст. 3 Закона «О персональных данных» сведения о доходах физического лица составляют его персональные данные. Соответственно, принятие решения о виде режима, устанавливаемого в отношении такой информации (режима конфиденциальности или общедоступной информации), принадлежит самому субъекту — работнику. Возникает вопрос о возможных правовых последствиях разглашения информации о своей заработной плате самим работником: по нормам подп. «в» п. 6 ст. 81 ТК РФ — увольнение. В данной ситуации можно вести речь о возможности злоупотребления правом работодателем. Кроме того, признаком коммерческой тайны является возможность получения коммерческой выгоды. А какая коммерческая выгода может быть получена при отнесении информации о заработной плате к коммерческой тайне? На основании изложенного выше, в целях устранения различного толкования норм видится необходимость внести в п. 5 ст. 5 Закона «О коммерческой тайне» уточнение, в силу которого к коммерческой тайне не могут быть отнесены сведения как о системах оплаты труда, так и о конкретных размерах заработной платы. Сказанное не означает режим открытого доступа к такой информации: в отношении информации о размерах заработной платы должен быть установлен режим конфиденциальности персональных данных. ——————————— <9> Комментарий к Трудовому кодексу Российской Федерации (краткий, постатейный) / Отв. ред. Ю. П. Орловский. М., 2006. С. 280.
Кроме того, введение режима коммерческой тайны в отношении сведений о заработной плате влечет закрепление в локальных нормативных актах следующих запретов для работников: разглашать сведения о своих доходах другим сотрудникам банка, за исключением предоставления указанных сведений должностным лицам, имеющим доступ к этой информации, а именно членам Совета директоров, ревизионной комиссии, председателю и его заместителям, главному бухгалтеру и его заместителя и др.; другим сотрудникам банка, а также лицам, не работающим в банке, информация о доходах может быть выдана только по письменному запросу с согласия председателя банка; сотрудники Банка вправе получить справку о доходах и о месте работы в случае необходимости предоставления ее в соответствующие органы (!). Из смысла данных запретов следует, что работнику получить справку о доходах для получения кредита в другом банке или для оформления визы невозможно. Однако ст. 62 ТК РФ предусматривает, что по письменному заявлению работника работодатель обязан выдать копии документов, связанных с работой, в том числе справки о размере заработной платы и фактически начисленных и уплаченных налогах. Таким образом, представляется, что в отношении персональных данных работников не может быть установлен режим коммерческой тайны, в том числе о размерах заработной платы. В то же время персональные данные должны сохраняться в режиме конфиденциальности. В ст. 10 Закона «О коммерческой тайне» закреплен перечень мер, которые должен принять обладатель информации по охране ее конфиденциальности, в ст. 11 Закона определены меры, которые должен принять работодатель. Все названные меры могут быть объединены в три группы: правовые, организационные и технические меры. Во всех Положениях определен перечень сведений, составляющих коммерческую тайну (соблюдено требование подп. 1 п. 1 ст. 10 Закона). Другие меры по охране конфиденциальности, предусмотренные в ст. 10 Закона, соблюдены: ОАО «Т» (за исключением требования об учете лиц, получивших доступ к такой информации, и лиц, которым информация была предоставлена/передана, — подп. 3 п. 1 ст. 10 Закона), ОАО «ТТ» (в Положении разграничены группы мер). В Положении ОАО «Далькомбанка» определены только перечень сведений и порядок их предоставления третьим лицам. В ОАО «Удмуртинвестстройбанк» предусмотрено, что каждый сотрудник обязан доводить до сведения непосредственного руководителя и компании-контролера информацию: о юридических лицах, в которых он или его родственники владеют самостоятельно или в группе 20 и более процентами голосующих акций (долей, паев); о юридических лицах или в органах управления которых он и (или) его родственники занимают должности; об известных ему совершаемых или предполагаемых операциях (сделках), в совершении которых он может быть заинтересованным лицом; о сделках, операциях на финансовых рынках, совершенных сотрудником банка в своих интересах. Представляется, что в данном случае произошло расширение круга лиц, заинтересованных в совершении сделки, предусмотренных в ст. 81 Федерального закона «Об акционерных обществах» <10>. Указанные требования могут касаться только членов совета директоров (наблюдательного совета) общества, лиц, осуществляющих функции единоличного исполнительного органа общества, в том числе управляющей организации или управляющего, члена коллегиального исполнительного органа общества или акционера общества. Поэтому установление подобной обязанности для сотрудников банка незаконно. ——————————— <10> СЗ РФ. 1996. N 1. Ст. 1.
Таким образом, в локальных нормативных актах следует четко разграничивать виды охраняемых законом тайн и сведений и устанавливать в отношении каждого вида соответствующий правовой режим. От правильного разграничения зависит определение субъекта, устанавливающего правовой режим (или требующего его установления), определение субъекта, инициирующего раскрытие информации ограниченного доступа и правовые последствия незаконного разглашения информации. Решение о сохранении в режиме конфиденциальности тех или иных персональных данных принадлежит работнику. В случае отнесения такой информации к коммерческой тайне — решение принимает работодатель и не допускает распоряжения работником сведениями о себе. Поэтому в отношении персональных данных работников не может быть установлен режим коммерческой тайны. Принятие необходимых мер по защите информации ограниченного доступа, установление соответствующего режима позволят работодателю избежать возможного риска неправомерного раскрытия ценной информации и привлечения работников, виновных в неправомерном разглашении информации, к ответственности.
——————————————————————