Конфиденциальность в лаборатории

Что такое Конфиденциальность?
Основы конфиденциальности
Принципы конфиденциальности
Требования в области конфиденциальности, относящиеся к лаборатории
Реализация требований
Заявление об обеспечении конфиденциальности

Все организации и отдельные лица имеют право на защиту любой предоставляемой ими информации, которая составляет их собственность. Такая информация называется конфиденциальной.

Что такое Конфиденциальность?

Конфиденциальность – состояние, не допускающее раскрытия информации.

ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения» дает следующее определение:

Конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.

Вернуться к содержанию

Основными документами, регулирующими принципы и требования к обеспечению конфиденциальности информации, являются:

• Федеральный закон № 98-ФЗ от 29.07.2004 «О коммерческой тайне»;
• Федеральный закон № 149-ФЗ от 27.07.2006 «Об информации, информационных технологиях и защите информации»;
• Федеральный закон № 152-ФЗ от 27.07.2006 «О персональных данных».

Федеральный закон «О коммерческой тайне» определяет:

• право на отнесение информации к информации, составляющей коммерческую тайну и способы получения такой информации;
• сведения, которые не могут составлять коммерческую тайну;
• предоставление информации, составляющей коммерческую тайну;
• права обладателя данной информации;
• охрана конфиденциальной информации, в том числе в рамках трудовых отношений, гражданско-правовых отношений и при ее предоставлении.

Федеральным законом «Об информации, информационных технологиях и защите информации» определены следующие основные положения:

• обладатель информации;
• общедоступная информация;
• право на доступ к информации;
• ограничение доступа к информации;
• распространение и предоставление информации;
• документирование информации.

Федеральным законом «О персональных данных» определены следующие основные положения:

• принципы и условия обработки персональных данных;
• конфиденциальность персональных данных;
• общедоступные источники персональных данных;
• согласие на обработку персональных данных;
• права субъекта персональных данных;
• обязанности оператора, обрабатывающего персональные данные;
• уведомление об обработке персональных данных.

Организация должна выполнять требования данного законодательства.

Вернуться к содержанию

Все организации и отдельные лица имеют право на защиту любой предоставляемой ими информации, которая составляет их собственность.

Чтобы получить доступ к информации, необходимой для проведения эффективной деятельности, необходимо гарантировать, что конфиденциальная информация не будет раскрыта.

Обеспечение равновесия между требованиями, связанными с конфиденциальностью и раскрытием информации, влияет на доверие заинтересованных сторон и на их понимание значения осуществляемой деятельности.

Вернуться к содержанию

ГОСТ 17025 включает раздел 4.2. Конфиденциальность, которым определены следующие требования к лабораториям:

4.2.1. Лаборатория должна на основе юридически значимых обязательств нести ответственность за управление всей информацией, поступившей извне или полученной в процессе выполнения лабораторной деятельности. Лаборатория должна заранее информировать заказчика об информации, которую она намерена разместить в свободном доступе. Исключение составляет информация, которая становится общедоступной по решению заказчика либо по согласованию между лабораторией и заказчиком (например, с целью реагирования на жалобы). Вся иная информация считается представляющей коммерческую тайну и должна рассматриваться в качестве конфиденциальной.

4.2.2. Если в соответствии с законодательством или договорными отношениями лаборатория должна раскрыть конфиденциальную информацию, она должна уведомить заказчика или иное заинтересованное лицо о раскрытой информации, в случае если это не запрещено законодательством.

4.2.3. Информация о заказчике, полученная не от самого заказчика (например, лица, направившего жалобу, регулирующих органов), должна быть конфиденциальной между заказчиком и лабораторией. Сведения о поставщике (источнике) этой информации должны быть конфиденциальными для лаборатории и не должны передаваться ее заказчику, если это не согласовано с источником данной информации.

4.2.4. Персонал, включая любых членов комитетов, подрядчиков, персонал внешних органов или отдельных лиц, действующих от имени лаборатории, должен соблюдать конфиденциальность всей информации, полученной или созданной в ходе выполнения лабораторной деятельности, за исключением случаев, предусмотренных законодательством.

Вернуться к содержанию

В целях обеспечения конфиденциальности в лаборатории необходимо создать систему, которая включала бы принятие мер технического, организационного и юридического характера, достаточных для ограждения информации от несанкционированного доступа третьих лиц.

Для этого:

1. Опишем, что будет включать система и определим, как лаборатория будет обеспечивать конфиденциальность.
2. Определим обязательства лаборатории по обеспечению конфиденциальности информации.
3. Определим процедуры системы менеджмента, которые позволят обеспечить конфиденциальность информации.

Это целесообразно сделать в Руководстве по качеству.

4. Предусмотрим организационной структурой организации ограничение доступа к информации о лабораторной деятельности.
5. Проведем идентификацию и оценку рисков.
6. Ограничим доступ к месту хранения архивных документов, содержащих информацию о результатах исследований.
7. Учтем в рамках должностных и рабочих инструкций персонала ответственность за обеспечение конфиденциальности при выполнении своих обязанностей.
8. Определим в должностных и рабочих инструкциях, чем персонал должен руководствоваться при выполнении своих обязанностей, связанных с использованием конфиденциальной информации.

Опишем в Руководстве по качеству, что будет включать система обеспечения конфиденциальности:

1. Обязательства лаборатории обеспечить конфиденциальность информации о заказчике, полученной от самого заказчика или от иных лиц, а также информации о результатах исследований.

2. Разделение доступа к конфиденциальной информации. Ограничение доступа к информации о результатах исследований (испытаний, измерений) в организации.

Это организуется путем разграничения функциональных обязанностей персонала внутри организаций в рамках должностных и рабочих инструкций, а также путем формирования соответствующей организационной структуры.

3. Процедуры системы менеджмента, реализованные с учетом обеспечения конфиденциальности информации.

К данным процедурам относятся: управление персоналом, требования к структуре, рассмотрение запросов, тендеров и договоров, предоставление отчетов о результатах, жалобы (претензии), управление данными и информацией, управление записями, внутренние аудиты.

4. Архив для хранения документов, содержащих информацию о результатах исследований.

Определим, какими элементами мы будем обеспечивать систему:

1. Организационной структурой, которая ограничивает круг подразделений организации, руководителей и сотрудников, имеющих доступ к информации о лабораторной деятельности.
2. Регламентированием деятельности лаборатории при взаимодействии с другими подразделениями организации.
3. Разграничением функциональных обязанностей персонала в части обработки заявок на исследования, оформления договора с заказчиком и персонала, участвующего в лабораторной деятельности. Регламентированием порядка взаимодействия с заказчиком подразделений организации и лаборатории, включая правила рассмотрения заказов, тендеров, договоров.
4. Включением в договоры с заказчиками требований в части использования конфиденциальной информации.
5. Включением в договоры субподряда с внешними поставщиками обязательств сохранения конфиденциальности передаваемой информации.
6. Требованиями к персоналу (обязанностями), определенными должностными и рабочими инструкциями, трудовыми договорами.
7. Заключением с персоналом организации соглашения о неразглашении конфиденциальной информации. Данную форму согласия персонал лаборатории, организации подписывает при трудоустройстве. Соглашение является одним из элементов обеспечения системы конфиденциальности.
8. Ограничением доступа к архиву для хранения документов, содержащих информацию о результатах исследований.
9. Ограничением доступа к информации о лабораторной деятельности, содержащейся на бумажных и электронных носителях.
10. Идентификацией, учетом и анализом рисков, связанных с конфиденциальностью информации при выполнении работ по исследованиям, разработкой плана мероприятий по снижению рисков.

Вернуться к содержанию

В описании обеспечения системы конфиденциальности необходимо указать ссылки на соответствующие разделы Руководства по качеству и реквизиты внутренних документов, регламентирующих соответствующие процедуры. Также важно заявить, что компоненты системы обеспечивают конфиденциальность. Дадим утверждения об этом.

Из пункта 4.2.1. ГОСТ 17025 следует:

Организация и лаборатория несут ответственность за управление всей информацией, поступившей извне или полученной в процессе выполнения лабораторной деятельности.

Лаборатория заранее информирует заказчика об информации, которую она намерена разместить в свободном доступе, передать в соответствии с требованием законодательства путем включения соответствующих особенностей в договор (контракт) с заказчиком или уведомив заказчика в письменном виде. Исключение составляет информация, которая становится общедоступной по решению заказчика либо по согласованию между лабораторией и заказчиком (например, с целью реагирования на жалобы). Вся иная информация считается представляющей коммерческую тайну и рассматривается в качестве конфиденциальной.

Из пункта 4.2.2. ГОСТ 17025 следует:

Если в соответствии с законодательством или договорными отношениями лаборатория должна раскрыть конфиденциальную информацию, она должна уведомить заказчика или иное заинтересованное лицо о раскрытой информации, в случае если это не запрещено законодательством.

Отметим, что примером случая передачи информации является предоставление отчетности в соответствии с требованиями Приказа № 704 «Об утверждении Положения о составе сведений о результатах деятельности аккредитованных лиц, об изменениях состава их работников и о компетентности этих работников, об изменениях технической оснащенности, представляемых аккредитованными лицами в Федеральную службу по аккредитации, порядке и сроках представления аккредитованными лицами таких сведений в Федеральную службу по аккредитации». Об этом заказчик должен быть уведомлен заранее. Например, включением соответствующей особенности в состав договора на оказание лабораторных услуг.

Из пункта 4.2.3. ГОСТ 17025 следует:

Информация о заказчике, полученная не от самого заказчика (например, лица, направившего жалобу, регулирующих органов), является конфиденциальной между заказчиком и организацией. Сведения об источнике этой информации являются конфиденциальными и не передаются заказчику, если это не согласовано с источником данной информации.

Из пункта 4.2.4. ГОСТ 17025 следует:

Персонал организации, субподрядчиков, персонал внешних органов или отдельных лиц, действующих от имени лаборатории, должен соблюдать конфиденциальность всей информации, полученной или созданной в ходе выполнения лабораторной деятельности, за исключением случаев, предусмотренных законодательством.

Вернуться к содержанию