1. Система обеспечения конфиденциальности ИЛ (ИЛЦ) при осуществлении лабораторной деятельности включает:
- обязательства лаборатории обеспечить конфиденциальность информации о заказчике, полученной от самого заказчика или от иных лиц, а также информации о результатах исследований;
- разделение доступа к конфиденциальной информации. Ограничение доступа к информации о результатах исследований (испытаний, измерений) в организации;
- процедуры системы менеджмента, реализованные с учетом обеспечения конфиденциальности информации;
- архив для хранения документов, содержащих информацию о результатах исследований.
2. Система обеспечения конфиденциальности ИЛ (ИЛЦ) при осуществлении лабораторной деятельности обеспечивается:
- организационной структурой, которая ограничивает круг подразделений организации, руководителей и сотрудников, имеющих доступ к информации о лабораторной деятельности;
- регламентированием деятельности лаборатории при взаимодействии с другими подразделениями организации (определено в Положении об ИЛ (ИЛЦ), КД-N-ГГ);
- разграничением функциональных обязанностей персонала в части обработки заявок на исследования, оформления договора с заказчиком и персонала, участвующего в лабораторной деятельности. Регламентированием порядка взаимодействия с заказчиком подразделений организации и лаборатории, включая правила рассмотрения заказов, тендеров, договоров (определено в Положении о взаимодействии с Заказчиками, КД-N-ГГ и в разделе N.M. Руководства по качеству, РК-N-ГГ);
- включением в договоры с заказчиками требований в части использования конфиденциальной информации;
- включением в договоры субподряда с внешними поставщиками обязательств сохранения конфиденциальности передаваемой информации;
- требованиями к персоналу (обязанностями), определенными должностными и рабочими инструкциями, трудовыми договорами;
- заключением с персоналом организации соглашения о неразглашении конфиденциальной информации;
- ограничением доступа к архиву для хранения документов, содержащих информацию о результатах исследований;
- ограничением доступа к информации о лабораторной деятельности, содержащейся на бумажных и электронных носителях;
- идентификацией, учетом и анализом рисков, связанных с конфиденциальностью информации при выполнении работ по исследованиям, разработкой плана мероприятий по снижению рисков (осуществляется в соответствии с разделом Управление рисками», КД-N-ГГ).
3. Организация и лаборатория несут ответственность за управление всей информацией, поступившей извне или полученной в процессе выполнения лабораторной деятельности. Лаборатория заранее информирует заказчика об информации, которую она намерена разместить в свободном доступе, передать в соответствии с требованием законодательства путем включения соответствующих особенностей в договор (контракт) с заказчиком или уведомив заказчика в письменном виде. Исключение составляет информация, которая становится общедоступной по решению заказчика либо по согласованию между лабораторией и заказчиком (например, с целью реагирования на жалобы). Вся иная информация считается представляющей коммерческую тайну и рассматривается в качестве конфиденциальной.
4. Если в соответствии с законодательством или договорными отношениями лаборатория должна раскрыть конфиденциальную информацию, она должна уведомить заказчика или иное заинтересованное лицо о раскрытой информации, в случае если это не запрещено законодательством.
5. Информация о заказчике, полученная не от самого заказчика (например, лица, направившего жалобу, регулирующих органов), является конфиденциальной между заказчиком и организацией. Сведения об источнике этой информации являются конфиденциальными и не передаются заказчику, если это не согласовано с источником данной информации.
6. Персонал организации, субподрядчиков, персонал внешних органов или отдельных лиц, действующих от имени лаборатории, должен соблюдать конфиденциальность всей информации, полученной или созданной в ходе выполнения лабораторной деятельности, за исключением случаев, предусмотренных законодательством.
