Что такое конфиденциальность? Реализация выполнения требований в Руководстве по качеству. Принципы конфиденциальности, требования и рекомендации к деятельности лаборатории. Создание системы обеспечения конфиденциальности.
Что такое Конфиденциальность?
Основы конфиденциальности
Принципы конфиденциальности
Требования в области конфиденциальности, относящиеся к лаборатории
Реализация требований
Заявление об обеспечении конфиденциальности
Все организации и отдельные лица имеют право на защиту любой предоставляемой ими информации, которая составляет их собственность. Такая информация называется конфиденциальной.
Конфиденциальность – состояние, не допускающее раскрытия информации.
ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения» дает следующее определение:
Конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.
Основными документами, регулирующими принципы и требования к обеспечению конфиденциальности информации, являются:
Федеральный закон «О коммерческой тайне» определяет:
Федеральным законом «Об информации, информационных технологиях и защите информации» определены следующие основные положения:
Федеральным законом «О персональных данных» определены следующие основные положения:
Организация должна выполнять требования данного законодательства.
Все организации и отдельные лица имеют право на защиту любой предоставляемой ими информации, которая составляет их собственность.
Чтобы получить доступ к информации, необходимой для проведения эффективной деятельности, необходимо гарантировать, что конфиденциальная информация не будет раскрыта.
Обеспечение равновесия между требованиями, связанными с конфиденциальностью и раскрытием информации, влияет на доверие заинтересованных сторон и на их понимание значения осуществляемой деятельности.
ГОСТ 17025 включает раздел 4.2. Конфиденциальность, которым определены следующие требования к лабораториям:
4.2.1. Лаборатория должна на основе юридически значимых обязательств нести ответственность за управление всей информацией, поступившей извне или полученной в процессе выполнения лабораторной деятельности. Лаборатория должна заранее информировать заказчика об информации, которую она намерена разместить в свободном доступе. Исключение составляет информация, которая становится общедоступной по решению заказчика либо по согласованию между лабораторией и заказчиком (например, с целью реагирования на жалобы). Вся иная информация считается представляющей коммерческую тайну и должна рассматриваться в качестве конфиденциальной.
4.2.2. Если в соответствии с законодательством или договорными отношениями лаборатория должна раскрыть конфиденциальную информацию, она должна уведомить заказчика или иное заинтересованное лицо о раскрытой информации, в случае если это не запрещено законодательством.
4.2.3. Информация о заказчике, полученная не от самого заказчика (например, лица, направившего жалобу, регулирующих органов), должна быть конфиденциальной между заказчиком и лабораторией. Сведения о поставщике (источнике) этой информации должны быть конфиденциальными для лаборатории и не должны передаваться ее заказчику, если это не согласовано с источником данной информации.
4.2.4. Персонал, включая любых членов комитетов, подрядчиков, персонал внешних органов или отдельных лиц, действующих от имени лаборатории, должен соблюдать конфиденциальность всей информации, полученной или созданной в ходе выполнения лабораторной деятельности, за исключением случаев, предусмотренных законодательством.
В целях обеспечения конфиденциальности в лаборатории необходимо создать систему, которая включала бы принятие мер технического, организационного и юридического характера, достаточных для ограждения информации от несанкционированного доступа третьих лиц.
Для этого:
1. Опишем, что будет включать система и определим, как лаборатория будет обеспечивать конфиденциальность.
2. Определим обязательства лаборатории по обеспечению конфиденциальности информации.
3. Определим процедуры системы менеджмента, которые позволят обеспечить конфиденциальность информации.
Это целесообразно сделать в Руководстве по качеству.
4. Предусмотрим организационной структурой организации ограничение доступа к информации о лабораторной деятельности.
5. Проведем идентификацию и оценку рисков.
6. Ограничим доступ к месту хранения архивных документов, содержащих информацию о результатах исследований.
7. Учтем в рамках должностных и рабочих инструкций персонала ответственность за обеспечение конфиденциальности при выполнении своих обязанностей.
8. Определим в должностных и рабочих инструкциях, чем персонал должен руководствоваться при выполнении своих обязанностей, связанных с использованием конфиденциальной информации.
Опишем в Руководстве по качеству, что будет включать система обеспечения конфиденциальности:
1. Обязательства лаборатории обеспечить конфиденциальность информации о заказчике, полученной от самого заказчика или от иных лиц, а также информации о результатах исследований.
2. Разделение доступа к конфиденциальной информации. Ограничение доступа к информации о результатах исследований (испытаний, измерений) в организации.
Это организуется путем разграничения функциональных обязанностей персонала внутри организаций в рамках должностных и рабочих инструкций, а также путем формирования соответствующей организационной структуры.
3. Процедуры системы менеджмента, реализованные с учетом обеспечения конфиденциальности информации.
К данным процедурам относятся: управление персоналом, требования к структуре, рассмотрение запросов, тендеров и договоров, предоставление отчетов о результатах, жалобы (претензии), управление данными и информацией, управление записями, внутренние аудиты.
4. Архив для хранения документов, содержащих информацию о результатах исследований.
Определим, какими элементами мы будем обеспечивать систему:
В описании обеспечения системы конфиденциальности необходимо указать ссылки на соответствующие разделы Руководства по качеству и реквизиты внутренних документов, регламентирующих соответствующие процедуры. Также важно заявить, что компоненты системы обеспечивают конфиденциальность. Дадим утверждения об этом.
Из пункта 4.2.1. ГОСТ 17025 следует:
Организация и лаборатория несут ответственность за управление всей информацией, поступившей извне или полученной в процессе выполнения лабораторной деятельности.
Лаборатория заранее информирует заказчика об информации, которую она намерена разместить в свободном доступе, передать в соответствии с требованием законодательства путем включения соответствующих особенностей в договор (контракт) с заказчиком или уведомив заказчика в письменном виде. Исключение составляет информация, которая становится общедоступной по решению заказчика либо по согласованию между лабораторией и заказчиком (например, с целью реагирования на жалобы). Вся иная информация считается представляющей коммерческую тайну и рассматривается в качестве конфиденциальной.
Из пункта 4.2.2. ГОСТ 17025 следует:
Если в соответствии с законодательством или договорными отношениями лаборатория должна раскрыть конфиденциальную информацию, она должна уведомить заказчика или иное заинтересованное лицо о раскрытой информации, в случае если это не запрещено законодательством.
Отметим, что примером случая передачи информации является предоставление отчетности в соответствии с требованиями Приказа № 704 «Об утверждении Положения о составе сведений о результатах деятельности аккредитованных лиц, об изменениях состава их работников и о компетентности этих работников, об изменениях технической оснащенности, представляемых аккредитованными лицами в Федеральную службу по аккредитации, порядке и сроках представления аккредитованными лицами таких сведений в Федеральную службу по аккредитации». Об этом заказчик должен быть уведомлен заранее. Например, включением соответствующей особенности в состав договора на оказание лабораторных услуг.
Из пункта 4.2.3. ГОСТ 17025 следует:
Информация о заказчике, полученная не от самого заказчика (например, лица, направившего жалобу, регулирующих органов), является конфиденциальной между заказчиком и организацией. Сведения об источнике этой информации являются конфиденциальными и не передаются заказчику, если это не согласовано с источником данной информации.
Из пункта 4.2.4. ГОСТ 17025 следует:
Персонал организации, субподрядчиков, персонал внешних органов или отдельных лиц, действующих от имени лаборатории, должен соблюдать конфиденциальность всей информации, полученной или созданной в ходе выполнения лабораторной деятельности, за исключением случаев, предусмотренных законодательством.
5 января 2021 г. 18:30
Практикум по п. 4.1.5
При обнаружении риска для беспристрастности лаборатория должна быть в состоянии продемонстрировать то, как она устраняет или минимизирует такой риск.
Полные примеры документов:
Управление конфликтами интересов в лаборатории. Процедура
Декларация о беспристрастности и независимости лаборатории
Реестр рисков по беспристрастности
Рабочая инструкция. Испытатель
Обязательство о неразглашении конфиденциальной информации
Практикум по п. 5.5
Лаборатория должна определить управленческую структуру и взаимосвязи между службами; установить полномочия всех сотрудников,
документировать свои процедуры, демонстрировать, как она минимизирует соответствующие риски.
Полные примеры документов:
Положение о лаборатории
Примеры приказов
Должностная инструкция
Разбор Устава организации
Схемы структур
Практикум по пп. 6.2.1 - 6.2.3
Персонал должен работать в соответствии с СМ. Документировать требования к компетентности. Гарантировать, что персонал обладает компетентностью для выполнения деятельности и для оценки значимости отклонений.
Подробные схемы процессов
Полные примеры документов:
Управление персоналом. Процедура
Документированные требования к компетентности персонала
Формы записи
Практикум по п. 6.3.1
Помещения и условия окружающей среды должны быть пригодными для осуществления лабораторной деятельности и не должны оказывать негативное влияние на достоверность получаемых результатов.
Обсуждение от эксперта
Подробные схемы процессов
Полные примеры документов:
Программа «Обеспечение осуществления лабораторной деятельности помещениями и условиями окружающей среды»