Правовий статус інформації
1. Правовий статус інформації
Питання лекції
1. Поняття, правові ознаки та види інформації.
2. Правовий статус інформації як об’єкта цивільних прав.
3. Зміст суб’єктивного права на інформацію.
Навчальна дисципліна Правові основи захисту інформації з обмеженим доступом» покликана сформувати у студентів уявлення про правові передумови захисту інформації з обмеженим доступом в Україні.
Навчальний курс «Правові основи захисту інформації з обмеженим доступом» є нормативним курсом при підготовці фахівців за спеціальністю «організація захисту інформації з обмеженим доступом» і покликаний сформувати у студентів цілісні знання про правові норми, що регламентують суспільні відносини з приводу захисту інформації в Україні.
Предметом дисципліни «Правові основи захисту інформації з обмеженим доступом» є пізнання нормативно-правових основ захисту інформації в Україні, компетенції державних установ та інститутів щодо захисту інформації різної форми власності, Дослідження правових основ захисту інформації в Україні ґрунтується на науковій систематизації видів інформації з обмеженим доступом та відповідних норм права.
У результаті вивчення дисципліни студенти мають знати
· поняття та види інформації з обмеженим доступом;
· законодавчі основи захисту інформації в Україні;
· правові особливості захисту різних видів інформації з обмеженим доступом (державної таємниці, комерційної таємниці, банківської таємниці, персональної інформації тощо).
Уміти
· аналізувати та розкривати особливості правового статусу видів інформації з обмеженим доступом;
· застосовувати на практиці здобуті знання, розуміти І застосовувати у повсякденній діяльності організаційно-правові основи захисту інформації;
· використовувати основні правові джерела щодо захисту інформації в Україні;
· формувати організаційно-правові системи захисту конкретних видів інформації з обмеженим доступом в Україні.
Навчальна дисципліна «Правові основи захисту інформації з обмеженим доступом» є фундаментальною дисципліною, яка закріплює та систематизує загальний напрям професійної підготовки фахівця із організації захисту інформації з обмеженим доступом. Програмний курс «Правові основи захисту інформації з обмеженим доступом» є одним з основних професійно-орієнтованих дисциплін зазначеної спеціальності і читається на четвертому курсі. Майбутній фахівець, прослухавши цей курс, отримує знання про правові основи захисту інформації в Україні. Програмний курс «Правові основи захисту інформації з обмеженим доступом» посідає одне з основних місць в системі фахових дисциплін і органічно пов’язаний з такими дисциплінами як «Вступ до спеціальності», «Історія захисту інформації з обмеженим доступом в Україні та провідних країнах світу», «Інформаційне забезпечення управлінської діяльності», «Інформаційна безпека держави», «Основи національної безпеки», «Економічна безпека держави», «Політична безпека держави».
Крім того, зазначений курс пов’язаний з дисциплінами соціально-гуманітарного та державно-правового напрямку, зокрема з історією України, історією держави та права України, історією держави та права зарубіжних країн, політологією, соціологією, адміністративним правом, кримінальним правом, цивільним правом тощо.
1. Поняття, правові ознаки та види інформації
Найбільш повна характеристика поняття «інформація» подається у визначеннях, закріплених у нормативно-правових актах. Загалом поняття «інформація» зустрічається у багатьох законодавчих та підзаконних нормативно-правових. Це, по-перше, зумовлено особливостями розвитку національного законодавства, яке формувалося, виходячи із необхідності термінового врегулювання багатьох сфер суспільного життя. По-друге, інформаційні відносини та інформація як їх предмет є складовою різних видів суспільних відносин. Наприклад, інформація може бути товаром, тобто об’єктом цивільно-правових відносин, обіг управлінської інформації є предметом регулювання адміністративного права тощо. Тому для повного з’ясування змісту поняття «інформація» необхідно проаналізувати існуючі нормативні визначення та класифікації цього поняття.
Основу правового статусу інформації визначає Закон України «Про інформацію».
Під інформацією у ст. 1 Закону України «Про інформацію» розуміється документовані або публічно оголошені відомості про події та явища, що відбуваються у суспільстві, державі та навколишньому природному середовищі.1
Цивільний кодекс України дещо коригує визначення поняття «інформація» документовані або публічно оголошені відомості про події та явища, що мали або мають місце у суспільстві, державі та навколишньому середовищі.2 У визначенні акцентується увага на динаміці подій та явищ, відомості про які є інформацією.
Важливим для розкриття змісту поняття «інформація» є визначення, закріплене Законом України «Про захист економічної конкуренції» «Інформація — відомості в будь-якій формі й вигляді та збережені на будь-яких носіях (у тому числі листування, книги, помітки, ілюстрації (карти, діаграми, органіграми, малюнки, схеми тощо), фотографії, голограми, кіно-, відео-, мікрофільми, звукові записи, бази даних комп’ютерних систем або повне чи часткове відтворення їх елементів), пояснення осіб та будь-які інші публічно оголошені чи документовані відомості»1 . У даному визначенні акцентується увага на різновидах інформації.
Таким чином, поняттю «інформація» притаманні такі ознаки
1) інформація — це відомості про події та явища, що відбуваються
а) у суспільстві,
б) у державі;
в) у навколишньому природному середовищі.
2) інформація — це дані, які можуть зберігатися в будь-якій формі й вигляді. Однак для набуття певного правового статусу інформація має відповідати вимогам та ознакам, передбаченим правовими нормами;
3)інформація — це відомості, які є документованими або публічно оголошеними;
4)інформація є об’єктом цивільних прав і відноситься до катгорії нематеріальних благ.2 У зв’язку з цим, відповідно до статті 178 Цивільного кодексу України інформація може, як об’єкт цивільних прав, «вільно відчужуватися або переходити від однієї особи до іншої в порядку правонаступництва чи спадкування або іншим чином, якщо вони не вилучені з цивільного обороту, або необмежені в обороті, або не є невід’ємними від фізичної чи юридичної особи».
5)Джерелами інформації є передбачені або встановлені законом носії інформації
— документи,
— інші носії інформації, які являють собою матеріальні об’єкти, що зберігають інформацію,
— повідомлення засобів масової інформації,
— публічні виступи.
Документ в інформаційних відносинах — це передбачена законом матеріальна форма одержання, зберігання, використання і поширення інформації шляхом фіксації її на папері, магнітній, кіно-, відео-, фотоплівці або на іншому носієві.
Первинний документ — це документ, що містить в собі вихідну інформацію.
Вторинний документ — це документ, що являє собою результат аналітико-синтетичної та іншої переробки одного або кількох документів,3
Для більш повного розуміння змісту поняття «інформація» наведемо його класифікацію.
Основними видами інформації є
1)статистична інформація;
2)адміністративна інформація (дані);
3)масова інформація;
4)інформація про діяльність державних органів влади та органів місцевого і регіонального самоврядування;
5) правова інформація;
6) інформація про особу;
7) інформація довідково-енциклопедичного характеру;
8) соціологічна інформація.4
Статистична інформація — це офіційна документована державна інформація, яка дає кількісну характеристику масових явищ та процесів, що відбуваються в економічній, соціальній, культурній та інших сферах життя. Державна статистична інформація підлягає систематичному відкритому публікуванню. Забезпечується відкритий доступ громадян, наукових установ, заінтересованих організацій до неопублікованих статистичних даних, які не підпадають під дію обмежень, установлених Законами України «Про інформацію», «Про державну статистику».
Адміністративна інформація (дані) — це офіційні документовані дані, що дають кількісну характеристику явищ та процесів, що відбуваються в економічній, соціальній, культурній, інших сферах життя і збираються, використовуються, поширюються та зберігаються органами державної влади (за винятком органів державної статистики), органами місцевого самоврядування, юридичними особами відповідно до законодавства з метою виконання адміністративних обов’язків та завдань, що належать до їх компетенції.
Масова інформація — це публічно поширювана друкована та аудіовізуальна інформація. Друкованими засобами масової інформації є періодичні друковані видання (преса) — газети, журнали, бюлетені тощо і разові видання з визначеним тиражем. Аудіовізуальними засобами масової інформації є
— радіомовлення,
— телебачення,
— кіно,
— звукозапис,
— відеозапис тощо.
Інформація державних органів та органів місцевого і регіонального самоврядування — це офіційна документована інформація, яка створюється в процесі поточної діяльності законодавчої, виконавчої та судової влади, органів місцевого і регіонального самоврядування. Основними джерелами цієї інформації є
— законодавчі акти України,
— інші акти, що приймаються Верховною Радою та її органами,
— акти Президента України,
— підзаконні нормативні акти,
— ненормативні акти державних органів,
— акти органів місцевого і регіонального самоврядування.
— Інформація державних органів та органів місцевого і регіонального самоврядування доводиться до відома заінтересованих осіб шляхом
— опублікування її в офіційних друкованих виданнях або поширення інформаційними службами відповідних державних органів і організацій;
— опублікування її в друкованих засобах масової інформації або публічного оголошення через аудіо- та аудіовізуальні засоби масової інформації;
— безпосереднього доведення її до заінтересованих осіб (усно, письмово чи іншими способами);
— надання можливості ознайомлення з архівними матеріалами;
— оголошення її під час публічних виступів посадових осіб. Законом України «Про інформацію» закріплено положення, відповідно до якого законодавчі та інші нормативні акти, що стосуються прав, свобод і законних інтересів громадян, не доведені до публічного відома, не мають юридичної сили.
Правова інформація — це сукупність документованих або публічно оголошених відомостей про право, його систему, джерела, реалізацію, юридичні факти, правовідносини, правопорядок, правопорушення і боротьбу з ними та їх профілактику тощо. Джерелами правової інформації є Конституція України, інші законодавчі і підзаконні нормативні правові акти, міжнародні договори та угоди, норми і принципи міжнародного права, а також ненормативні правові акти, повідомлення засобів масової інформації, публічні виступи, інші джерела інформації з правових питань. З метою забезпечення доступу до законодавчих та інших нормативних актів всім громадянам держава забезпечує видання цих актів масовими тиражами у найкоротші строки після набрання ними чинності.
Інформація про особу — це сукупність документованих або публічно оголошених відомостей про особу. Основними даними про особу (персональними даними) є
— національність,
— освіта,
— сімейний стан,
— релігійність,
— стан здоров’я,
— адреса,
— дата і місце народження.
Джерелами документованої інформації про особу є видані на її ім’я документи, підписані нею документи, а також відомості про особу, зібрані державними органами влади та органами місцевого і регіонального самоврядування в межах своїх повноважень. Забороняється збирання відомостей про особу без її попередньої згоди, за винятком випадків, передбачених законом. Зокрема, Законом України «Про інформацію» закріплено положення, відповідно до якого кожна особа має право на ознайомлення з інформацією, зібраною про неї.
Інформація довідково-енциклопедичного характеру — це систематизовані, документовані або публічно оголошені відомості про суспільне, державне життя та навколишнє природне середовище. Основними джерелами цієї інформації є
— енциклопедії,
— словники,
— довідники,
— рекламні повідомлення та оголошення,
— путівники,
— картографічні матеріали тощо,
— довідки, що даються уповноваженими на те державними органами та органами місцевого і регіонального самоврядування, об’єднаннями громадян, організаціями, їх працівниками та автоматизованими інформаційними системами.
Соціологічна інформація — це документовані або публічно оголошені відомості про ставлення окремих громадян і соціальних груп до суспільних подій та явищ, процесів, фактів. Основними джерелами соціологічної інформації є документовані або публічно оголошені відомості, в яких відображено результати соціологічних опитувань, спостережень та інших соціологічних досліджень. Соціологічні дослідження здійснюються державними органами, об’єднаннями громадян, зареєстрованими у встановленому порядку.
Розглянемо також і додаткові критерії для класифікації інформації.
За суб’єктами права власності існує
— інформація, що належить усьому суспільству і не є об’єктом власності будь-кого;
— інформація, що належить державі (державам);
— інформація, що належить юридичним особам;
— інформація, що є власністю фізичних осіб.
За змістом можна розрізняти
— інформацію про суспільство
— інформацію про державу;
— інформацію про навколишнє природне середовище. За режимом доступу інформація поділяється на
— відкриту інформацію
— інформацію з обмеженим доступом.
Прикладом гарантування права громадян на відкриту інформацію є норми, закріплені статтею 50 Конституції кожному гарантується право вільного доступу до інформації про стан довкілля, про якість харчових продуктів і предметів побуту, а також право на її поширення. Така інформація ніким не може бути засекречена.
Окремі дослідники розглядають класифікацію інформації в системі органів виконавчої влади, вказуючи, що інформацію варто класифікувати насамперед залежно від ступеня її співвіднесення з дійсністю, з реальними процесами, які виникають у ній. Залежно від суб’єкта досліджуються аналітична, прогнозна, довідкова, ознайомлювальна та рекомендаційна інформація.
Потоки різних видів соціально-економічної інформації, що циркулюють в органах виконавчої влади, класифікуються за періодичністю виникнення і передачі (п’ятирічна, річна, піврічна тощо); ступенем взаємозв’язку (характеризується кількістю усіх видів інформації, що надходить до органів виконавчої влади, взаємозалежних з даним конкретним видом повідомлень, зведень); ступенем сталості (розглядається тривалий проміжок часу, протягом якого інформація зберігає своє значення); структурою (основна — вся офіційна, допоміжна — вся неофіційна і кількісна); методами утворення (формування інформації на основі аналізу діяльності суб’єктів І об’єктів управлінського впливу, у ході дослідження всіх масивів інформації, що надходить по даному питанню, аналізу стану справ у різних сферах громадського життя); закріпленням та втіленням в матеріальні форми (візуальна, документальна, звукова) та за багатьма іншими ознаками.2
2. Правовий статус інформації як об’єкта цивільних прав
Розглянемо основні ознаки інформації як об’єкта цивільних правовідносин. З цією метою виділяються такі основні властивості інформації
а) нематеріальність;
б) інваріантність по відношенню до носіїв — та сама інформація може бути записана різними знаковими системами, ці знакові системи можуть використовувати різні фізичні носії для запису;
в) розмноження — інформація, на відміну від речовини та енергії має здатність до розповсюдження;
г) здатність бути реалізованою — має тенденції матеріалізації, тобто може бути використаною, стати товаром та послугою на ринку3.
Додатковою ознакою інформації як об’єкта цивільних правовідносин (і як об’єкта цивільних прав) може бути здатність власника (носія) інформації захистити відповідні права у судовому порядку. Адже норма цивільного права України передбачає у разі недодержання особою встановлених вимог при здійсненні своїх цивільних прав можливість зобов’язати її припинити зловживання своїми правами у судовому порядку4.
Загалом особа реалізує свої права щодо інформації аналогічно своїм цивільним правам на інші об’єкти. Так особа здійснює свої цивільні права вільно, на власний розсуд. Нездійснення особою своїх цивільних прав не є підставою для їх припинення.5
Це ж стосується і суб’єктивних цивільних прав особи на інформацію. Кожна особа, наприклад, може створити інформаційну продукцію (написати статтю у газету, журнал тощо). Нездійснення ж особою свого права на написання звернення до органів державної влади не є підставою для припинення такого права.
Цивільні права особа здійснює у межах, наданих їй договором або актами цивільного законодавства. При здійсненні своїх прав особа зобов’язана утримуватися від дій, які могли б порушити права інших осіб, завдати шкоди довкіллю або культурній спадщині. Не допускаються дії особи, що вчиняються з наміром завдати шкоди іншій особі, а також зловживання правом в інших формах. При здійсненні цивільних прав особа повинна додержуватися моральних засад суспільства.1
Основним майновим правом особи на інформацію є право власності. Право власності на інформацію — це врегульовані законом суспільні відносини щодо володіння, користування і розпорядження інформацією.2
Інформація є об’єктом права власності громадян, організацій (юридичних осіб) і держави. Інформація може бути об’єктом права власності як у повному обсязі, так і об’єктом лише володіння, користування чи розпорядження. Власник інформації щодо об’єктів своєї власності має право здійснювати будь-які законні дії.
Підставами виникнення права власності на інформацію є
— створення інформації своїми силами і за свій рахунок;
— договір на створення інформації;
— договір, що містить умови переходу права власності на інформацію до іншої особи.
Інформація, створена кількома громадянами або юридичними особами, є колективною власністю її творців. Порядок і правила користування такою власністю визначаються договором, укладеним між співвласниками.
Інформація, створена організаціями (юридичними особами) або придбана ними іншим законним способом, є власністю цих організацій.
Інформація, створена на кошти державного бюджету, є державною власністю. Інформацію, створену на правах індивідуальної власності, може бути віднесено до державної власності у випадках передачі її на зберігання у відповідні банки даних, фонди або архіви на договірній основі.
Власник інформації має право призначати особу, яка здійснює володіння, використання і розпорядження інформацією, і визначати правила обробки інформації та доступ до неї, а також встановлювати інші умови щодо інформації.3
Інформаційна продукція та інформаційні послуги громадян та юридичних осіб, які займаються Інформаційною діяльністю, можуть бути об’єктами товарних відносин, що регулюються чинним цивільним та іншим законодавством.
У ст. 6 Закону України «Про науково-технічну інформацію» також визначає, що науково-технічна інформація є об’єктом права власності.
Окремі науковці наголошують, що доктрина права власності не може бути застосована до такого об’єкта цивільного права, як інформація. Це передусім зумовлюється властивостями інформації
а) нематеріальність інформації;
б) інформація може бути скопійована та відтворена необмежену кількість разів;
в) одна і та сама інформація як об’єкт права може одночасно перебувати у необмеженого кола суб’єктів права;
г) неможливість застосування відносно інформації як об’єкта права інститутів віндикації та застави власності; інформація вимірюється не тільки кількісно, також береться до уваги цінність об’єкта, яку визначає змістовна сутність інформації;
д) багатоваріантність форм подання інформації.1 Інформація (за виключеннями, зазначеними вище) може бути
об’єктом права власності. Підтвердженням цьому є не лише здатність інформації до матеріалізації (може бути використаною, стати товаром та послугою на ринку), а й факти операцій з інформацією у реальних правовідносинах (продаж компакт-дисків, газет, журналів тощо).
Особа може відмовитися від свого майнового права. Особа може за відплатним або безвідплатним договором передати своє майнове право іншій особі, крім випадків, встановлених законом.2 Основними формами відчуження інформації є договори про купівлю-продаж інформаційної продукції, договори на передачу інформації, договори на надання інформаційних послуг, договори про створення інформаційної продукції тощо.
Перейдемо до розгляду особистих немайнових прав на інформацію. Одним із основних об’єктів такого права є конфіденційна інформація про особу. Як зазначається у ст. 32 Конституції України «не допускається збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини*. Законодавством України до конфіденційної інформації про особу (персональних даних) віднесено національність, освіту, сімейний, майновий стан, релігійність, стан здоров’я, а також адресу, дату і місце народження. Даний перелік не є вичерпним.
Право особи на свою приватну сферу абсолютне (це таємниця приватного життя, лікарська таємниця, таємниця сповіді, сюди також слід віднести банківську таємницю, оскільки кожна особа має право вимагати від необмеженого кола осіб обов’язкової заборони на збирання вказаних відомостей, а якщо ці відомості стали відомими особі у зв’язку з її професійною діяльністю, то — нерозголошення).
Декілька слів про особисті немайнові права юридичної особи, до яких Цивільний кодекс України відносить право на інформацію. Одним з основних видів такої інформації є комерційна таємниця.
Цивільний кодекс України визначає, що комерційна таємниця — це інформація, яка є секретною в тому розумінні, що вона в 1 цілому чи в певній формі та сукупності її складових є невідомою та не є легкодоступною для осіб, які звичайно мають справу з видом інформації, до якого вона належить, у зв’язку з цим має і комерційну цінність та була предметом адекватних існуючим обставинам заходів щодо збереження її секретності, вжитих особою, яка законно контролює цю інформацію.
Комерційною таємницею можуть бути відомості технічного, і, організаційного, комерційного, виробничого та іншого характеру, за винятком тих, які відповідно до закону не можуть бути віднесені до комерційної таємниці.
3. Зміст суб’єктивного права на інформацію
Людина як суб’єкт суспільних відносин має потребу в отриманні відомостей про події та явища, що відбуваються або мали місце у суспільстві, державі та навколишньому природному середовищі.
Інформація є засобом комунікації людей і нерідко виступає об’єктом їх діяльності. Без отримання інформації у різних її проявах та формах не можлива еволюція людини, розвиток суспільства і держави. Міжнародно-правові стандарти прав людини і громадянина — про свободу слова і право на інформацію закріплені в законодавстві багатьох країн світу. Не є винятком і вітчизняне законодавство. Право України містить низку норм, які регулюють відносини щодо отримання інформації. Суб’єктивне право на інформацію є одним з найважливіших прав людини і громадянина.
Виникнення права на інформацію обумовлене зростанням інтересу як до самої інформації, так і, насамперед, до змісту інформації. На сьогоднішній день як у правовій науці, так і в законодавстві сформувалися два підходи до трактування права на інформацію. У рамках вузького підходу право на інформацію трактується тільки як право на одержання (доступ) до інформації, тобто як відносне право. Широкий підхід же припускає віднесення до права на інформацію усіх видів суб’єктивних прав, спрямованих на інформацію чи на здійснення дій з нею1.
У статті 10 Закону України «Про інформацію» визначено систему гарантій, якими забезпечується право на інформацію. Слід зазначити, що право на інформацію не є абсолютним і необмеженим. По-перше, реалізація права на інформацію громадянами, юридичними особами і державою не повинна порушувати громадські, політичні, економічні, соціальні, духовні, екологічні та інші права, свободи і законні інтереси інших громадян, права та інтереси юридичних осіб. Іншими словами, перефразовуючи стародавній принцип, право особи на інформацію закінчується там, де починається право іншої особи.
По-друге, збирання, зберігання, використання і поширення інформації про особисте життя фізичної особи без її згоди не допускаються, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.3
По-третє, не допускається збирання інформації, яка є державною таємницею або конфіденційною інформацією юридичної особи.4
Реалізації права на інформацію одних суб’єктів у багатьох випадках сприяє юридичний обов’язок інших суб’єктів. Так, наприклад, відповідно до ст. 19 Закону України «Про звернення громадян» органи державної влади і місцевого самоврядування, підприємства, установи, організації незалежно від форм власності, об’єднання громадян, засоби масової інформації, їх керівники та інші посадові особи в межах своїх повноважень зобов’язані у разі прийняття рішення про обмеження доступу громадянина до відповідної інформації при розгляді заяви чи скарги скласти про це мотивовану постанову.
Російський науковець Звєрєва О.А. до прав на інформацію, що випливає з її об’єктивної природи й обумовлених нею інтересів соціальних суб’єктів, відносить «право на одержання інформації, право на обмеження одержання інформації іншими суб’єктами, а також право на спростування інформації, що ганьбить особу». Вважаємо, що подібна структура суб’єктивного права на інформацію потребує деякого уточнення. Право на інформацію може включати право власності на інформацію (повне або в окремих його змістових складових), право обмеження доступу до інформації, право на спростування недостовірної інформації та право доступу до інформації.
Таким чином, формулюємо таке визначення «суб’єктивне право на інформацію — гарантована державою можливість фізичних, юридичних осіб і держави (державних органів) вільно одержувати, використовувати, поширювати та зберігати відомості, необхідні їм для реалізації своїх прав, свобод і законних інтересів, здійснення завдань і функцій, що не порушує права, свободи і законні інтереси інших громадян, права та інтереси юридичних осіб».
Спробуємо розкрити видову класифікацію суб’єктивного права на інформацію, що дозволить більш чітко визначити його зміст.
Оскільки інформаційні відносини виникають у різних сферах суспільного життя і є у тій чи іншій мірі предметом регулювання багатьох галузей права, то першим критерієм для класифікації права на інформацію є зв’язок останнього із предметом правового регулювання різних галузей права. За цим критерієм виділяємо права на інформацію, які пов’язані із предметом правового регулювання конституційного (право на інформацію про діяльність органів державної влади), цивільного (право власності на інформацію), сімейного (право на інформацію про стан здоров’я заручених), господарського (право суб’єкта господарювання на одержання інформації про результати перевірок його діяльності), фінансового (право на інформацію про державний бюджет) та інших галузей права.
Підвидами цивільних прав на інформацію визначаємо майнові (право власності) і немайнові суб’єктивні права (право на ім’я).
За типом інформації розрізняємо право на документовану інформацію та право на публічно оголошену інформацію.
Наступний критерій для класифікації суб’єктивного права на інформацію є види інформації. За цим критерієм, існують права на статистичну, масову, адміністративну інформацію (дані); інформацію про діяльність державних органів влади та органів місцевого і регіонального самоврядування; правову інформація; інформацію про особу і т.д.
За суб’єктами розрізняємо права на інформацію фізичних осіб (громадян України, іноземців, осіб без громадянства), юридичних осіб і держави.
За режимом доступу виділяємо право на відкриту інформацію та право на інформацію з обмеженим доступом. Для реалізації права на інформацію з обмеженим доступом суб’єкт повинен володіти відповідною інформаційною правосуб’єктністю (правоздатністю і дієздатністю).
За методом правового регулювання розрізняємо права на інформацію, механізм реалізації яких закріплений імперативним методом (право на інформацію з обмеженим доступом), частково регламентований (право на масову інформацію).
За ознаками діяльності (існування) суб’єкта розрізняємо пасивне право на інформацію (пов’язане з існуванням суб’єкта, наприклад, право на інформацію про стан здоров’я фізичної особи) та активне право на інформацію (пов’язане із діяльністю суб’єкта — право на інформацію, що становить комерційну таємницю). Звичайно, можна класифікувати право на інформацію і за іншими критеріями.
Висновок
На сучасному етапі світового розвитку інформація стає специфічним товаром і ресурсом сучасності, об’єктом цивільних правовідносин. Новітні інформаційні процеси поставили законодавця перед необхідністю впорядкування суспільних відносин в інформаційній сфері. У руслі цієї тенденції за останнє десятиріччя у сфері інформації як об’єкта права і як товару було прийнято значну кількість нових нормативно-правових актів як міжнародного так і національного характеру.
2. Поняття та зміст інформації з обмеженим доступом
Питання лекції
1. Зміст поняття «інформація з обмеженим доступом».
2. Види інформації з обмеженим доступом та їх особливості.
3. Місце інформації з обмеженим доступом у діяльності органів державної влади України.
4. Правові особливості обігу інформації з обмеженим доступом у господарській діяльності суб’єктів господарювання.
Визначення поняття «інформація з обмеженим доступом» має не лише наукові цілі. Чітке розуміння змісту даного терміну може сприяти більш раціональному законотворчому процесу.
Крім того, визначення змісту поняття «інформація з обмеженим доступом» дозволяє розмежувати нерідко протилежні інтереси суб’єктів відповідних відносин.
1. Зміст поняття «інформація з обмеженим доступом»
Відповідно до ст. 28 Закону України «Про інформацію» інформація поділяється на відкриту інформацію та інформацію з обмеженим доступом. Статтею 30 цього ж закону визначено, що до таємної інформації належить інформація, що містить відомості, які становлять державну та іншу передбачену законом таємницю, розголошення кої завдає шкоди особі, суспільству і державі. На сьогодні термін «інформація з обмеженим доступом» законодавчо не визначений. Лише у міжнародній Угоді між Кабінетом Міністрів України та Урядом Республіки Білорусь про співробітництво в галузі технічного захисту інформації (ст. 1) закріплено подібне визначення «Інформація обмеженого доступу — інформація, право доступу до якої обмежено відповідно до національних законодавств держав Сторін». 1
Визначаючи зміст поняття «інформація з обмеженим доступом» необхідно враховувати і положення чинного законодавства України, які закріплюють правові підстави та процедури обмеження доступу до інформації певних категорій. Адже всі громадяни України, юридичні особи і державні органи мають право на інформацію, що передбачає можливість вільного одержання, використання, поширення та зберігання відомостей, необхідних ілі для реалізації ними своїх прав, свобод і законних інтересів, здійснення завдань і функцій. При цьому, кожному громадянину забезпечується вільний доступ до інформації, яка стосується його особисто, крім випадків, передбачених законами України.2 Гарантіями ж охорони права на інформацію є норми, закріплені у статті 47 Закону України «Про інформацію», згідно з якими відповідальність за порушення законодавства про інформацію несуть особи, винні у необгрунтованому віднесенні окремих видів інформації до категорії відомостей з обмеженим доступом.3
Звичайно, реалізація права на інформацію громадянами, юридичними особами і державою не повинна порушувати громадські, політичні, економічні, соціальні, духовні, екологічні та інші права, свободи і законні інтереси інших громадян, права та інтереси юридичних осіб. Однак віднесення певних відомостей до інформації з обмеженим доступом у будь-якому випадку має бути правомірним, тобто здійсненим чітко у відповідності і на підставі чинних правових нормативів.
Крім того, громадяни, юридичні особи, які володіють інформацією професійного, ділового, виробничого, банківського, комерційного та іншого характеру, одержаною на власні кошти, або такою, яка є предметом їх професійного, ділового, виробничого, банківського, комерційного та іншого інтересу і не порушує передбаченої законом таємниці, самостійно визначають режим доступу до неї, включаючи належність її до категорії конфіденційної, та встановлюють для неї систему (способи) захисту.4
Слід зазначити, що положення Закону України «Про інформацію» були доповнені Законом №676-ІУ від 03.04.2003 р. нормою наступного змісту «інформація з обмеженим доступом може бути поширена без згоди її власника, якщо ця інформація є суспільно значимою, тобто якщо вона є предметом громадського інтересу і якщо право громадськості знати цю інформацію переважає право її власника на її захист». Питання практичного застосування зазначеної норми є доволі проблематичним. Якщо предмет громадського інтересу ще можна визначити з певною часткою імовірності, то перевага права громадськості знати інформацію з обмеженим доступом над правом її власника на захист такої інформації визначається не так легко. У будь-якому випадку лише органи судової влади повноважні приймати остаточне рішення стосовно співвідношення права громадськості знати інформацію з обмеженим доступом над правом її власника на захист такої інформації.
Таким чином, «інформація з обмеженим доступом» — це відомості конфіденційного або таємного характеру, правовий статус яких передбачений законодавством. України, які визнані такими відповідно до встановлених юридичних процедур і право на обмеження доступу до яких надано власнику таких відомостей.
2. Види інформації з обмеженим доступом та їх особливості
Інформація з обмеженим доступом за своїм правовим режимом поділяється на конфіденційну і таємну.5 Слід зазначити, що у багатьох підзаконних нормативно-правових актах використовується термін «конфіденційна інформація».6
Конфіденційна інформація — це відомості, які знаходяться у володінні, користуванні або розпорядженні окремих фізичних чи юридичних осіб і поширюються за їх бажанням
відповідно до передбачених ними умов.
Таке визначення закріплене Законом України «Про інформацію», але має недоліки. По-перше, у перелік суб’єктів права власності конфіденційної інформації не включено державу, яка також володіє відомостями конфіденційного характеру. По-друге, визначення слід після слова «відомості» доповнити конструкцією «що не становлять передбаченої законом таємниці». Це пов’язано із встановленим законодавством поділом інформації з обмеженим доступом на таємну та конфіденційну.
Таємна інформація — це інформація, що містить відомості, які становлять державну та іншу передбачену законом таємницю (банківську, комерційну, службову, професійну, адвокатську тощо), розголошення якої завдає шкоди особі, суспільству і державі.
Конфіденційну інформацію можна поділяти на таку, яка є власністю держави, і конфіденційну інформацію, яка не належить державі.
Правовий режим конфіденційної інформації, що є власністю держави, значною мірою визначається положеннями Інструкції про порядок обліку, зберігання і використання документів, справ, видань та інших матеріальних носіїв інформації, які містять конфіденційну інформацію, що є власністю держави, затвердженої постановою Кабінету Міністрів України від 27 листопада 1998 р. № 1893.
Відповідно до даної Інструкції переліки конфіденційної інформації, що є власністю держави і якій надається гриф обмеження доступу «Для службового користування» (далі — гриф «Для службового користування»), розробляються і вводяться в дію міністерствами, іншими центральними органами виконавчої влади, Радою міністрів Автономної Республіки Крим, обласними, Київською та Севастопольською міськими державними адміністраціями, в яких утворюються або у володінні, користуванні чи розпорядженні яких перебувають ці відомості. Більш докладно особливості правового статусу та охорони конфіденційної інформації, що є власністю держави, розкрито у лекції № 7.
Таємна інформація має бути передбачена законом. До видів таємної інформації, які передбачені чинним законодавством, відносимо
— державну таємницю,
— комерційну таємницю,
— службову таємницю,
— професійну таємницю,
— військову таємницю,
— банківську таємницю,
— адвокатську таємницю
— лікарську таємницю,
— таємницю страхування,
— таємницю усиновлення,
— таємницю голосування,
— таємницю нотаріальних дій,
— таємниця листування, телефонних розмов, телеграфної та іншої кореспонденції.
На законодавчому рівні чітко регламентованими є такі види таємної інформації як державна, комерційна, банківська, професійна таємниці. Поняття ж службової таємниці хоча і має своє законодавче визначення, однак зміст та правові ознаки даного виду інформації з обмеженим доступом ще не достатньо регламентовані. Потребують законодавчого закріплення відповідно до вимог ст. 30 Закону України «Про інформацію».
Поняття «службова таємниця» та «професійна таємниця» є близькими за змістом.
Службова таємниця — склад і обсяг відомостей, що є в розпорядженні конкретного органу державної контрольно-ревізійної служби або її посадової особи стосовно об’єктів контролю, контрольних, правоохоронних та інших державних органів, їх працівників, способів досягнення визначених законодавством завдань, що необхідні для якісного проведення контрольно-ревізійних дій, забезпечення відповідної їх раптовості та ефективності і які з цієї причини на певний період не підлягають зовнішньому чи внутрішньому розголошенню.1
Професійна таємниця — етап збереження матеріалів, документів, інших відомостей, якими користуються посадові особи Рахункової палати та особи, які залучаються до здійснення функцій Рахункової палати під час проведення перевірок, ревізій, обслідувань, і про які забороняється розголошувати у будь-якій формі до моменту прийняття рішення Рахункової палати.2
Інше визначення професійної таємниці закріплено у Законі України «Про фінансові послуги та державне регулювання ринків фінансових послуг» (ст. 1)
Професійна таємниця — матеріали, документи, інші відомості, якими користуються в процесі та у зв’язку з виконанням своїх посадових обов’язків посадові особи державних органів, що здійснюють регулювання ринків фінансових послуг, та особи, які залучаються до здійснення цих функцій, і які забороняється розголошувати у будь-якій формі до моменту прийняття рішення відповідним уповноваженим державним органом.3
Особливості правового статусу державної таємниці визначаються Законом України «Про державну таємницю», відповідно до якого державна таємниця — вид таємної інформації, що охоплює відомості у сфері оборони, економіки, науки і техніки, зовнішніх відносин, державної безпеки та охорони правопорядку, розголошення яких може завдати шкоди національній безпеці України та які визнані такою (державною таємницею) у порядку, встановленому Законом України «Про державну таємницю», і підлягають охороні державою.
Статтею 505 Цивільного кодексу України визнано, що комерційна таємниця — це інформація, яка є секретною в тому розумінні, що вона в цілому чи в певній формі та сукупності її складових є невідомою та не є легкодоступною для осіб, які звичайно мають справу з видом інформації, до якою вона належить, у зв’язку з цим має комерційну цінність та була предметом адекватних існуючим обставинам заходів щодо збереження її секретності, вжитих особою, яка законно контролює цю інформацію. Комерційною таємницею можуть бути відомості технічного, організаційного, комерційного, виробничого та іншого характеру, за винятком тих, які відповідно до закону не можуть бути віднесені до комерційної таємниці4.
Правовий статус банківської таємниці визначається Законом України «Про банки і банківську діяльність»5, зокрема главою 10 «Банківська таємниця та конфіденційність інформації», а також Цивільним кодексом України.6
Банківська таємниця — це інформація щодо діяльності та фінансового стану клієнта, яка стала відомою банку у процесі обслуговування клієнта та взаємовідносин з ним чи третім особам при наданні послуг банку і розголошення якої може завдати матеріальної чи моральної шкоди клієнту.
Одним із специфічних видів інформації з обмеженим доступом є конфіденційна інформація про особу. її правовий статус визначається Законом України «Про інформацію», а офіційне тлумачення викладене у Рішенні Конституційного Суду України № 5-зп від 30 жовтня 1997 року (справа К. Г. Устименка). Зокрема, зазначається, що частину четверту статті 23 Закону України «Про інформацію» треба розуміти так, що забороняється не лише збирання, а й зберігання, використання та поширення конфіденційної інформації про особу без її попередньої згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту, прав та свобод людини.
До конфіденційної інформації про особу, зокрема, належать такі свідчення про особу
— освіта,
— сімейний стан,
— релігійність,
— стан здоров’я,
— дата і місце народження,
— майновий стан,
— інші персональні дані.
На визначення змісту конфіденційної інформації про особу спрямовані й інші нормативно-правові акти, зокрема органів судової влади. Аналіз їх матеріалів дає підстави віднести до конфіденційної інформації про особу також дані про
— інтимні сторони життя,
— захворювання,
— неблаговидні вчинки тощо.
Крім того, Постанова Пленуму Верховного Суду України визначає відомості, що ганьблять потерпілого або близьких йому осіб — це такі дійсні чи вигадані дані про них, їх дії і дії, вчинені щодо них, які потерпілий бажає зберегти в таємниці і розголошення яких, на його думку, скомпрометує або принизить честь і гідність його чи близьких йому осіб.
Погроза розголосити такі відомості — це погроза повідомити про них особам (або особі), яким вони невідомі, і чиє ознайомлення з ними небажане для потерпілого.2
Звичайно, окремими видами таємної інформації передбачені законодавством таємницю листування, телефонних розмов, телеграфної та іншої кореспонденції3, таємниця заповіту4 тощо. Зазначені види таємної інформації докладно розглянуто далі.
Банківською таємницею, зокрема, є
1) відомості про стан рахунків клієнтів, у тому числі стан кореспондентських рахунків банків у Національному банку України;
2) операції, які були проведені на користь чи за дорученням клієнта, здійснені ним угоди;
3) фінансово-економічний стан клієнтів;
4) системи охорони банку та клієнтів;
5) інформація про організаційно-правову структуру юридичної особи — клієнта, її керівників, напрями діяльності;
6) відомості стосовно комерційної діяльності клієнтів чи комерційної таємниці, будь-якого проекту, винаходів, зразків продукції та інша комерційна інформація;
7) інформація щодо звітності по окремому банку, за винятком тієї, що підлягає опублікуванню;
8) коди, що використовуються банками для захисту інформації. Інформація про банки чи клієнтів, що збирається під час про ведення банківського нагляду, становить банківську таємницю.
Банки зобов’язані забезпечити збереження банківської таємниці шляхом
1)обмеження кола осіб, що мають доступ до інформації, яка становить банківську таємницю;
2)організації спеціального діловодства з документами, що містять банківську таємницю;
3)застосування технічних засобів для запобігання несанкціонованому доступу до електронних та інших носіїв інформації;
4)застосування застережень щодо збереження банківської таємниці та відповідальності за її розголошення у договорах і угодах між банком і клієнтом.
Службовці банку при вступі на посаду підписують зобов’язання щодо збереження банківської таємниці. Керівники та службовці банків зобов’язані не розголошувати та не використовувати з вигодою для себе чи для третіх осіб конфіденційну інформацію, яка стала відома їм при виконанні своїх службових обов’язків.
Приватні особи та організації, які при виконанні своїх функцій або наданні послуг банку безпосередньо чи опосередковано отримали конфіденційну інформацію, зобов’язані не розголошувати цю інформацію і не використовувати її на свою користь чи на користь третіх осіб.
У разі заподіяння банку чи його клієнту збитків шляхом витоку інформації про банки та їх клієнтів з органів, які уповноважені здійснювати банківський нагляд, збитки відшкодовуються винними органами.
Особи, винні в порушенні порядку розкриття та використання банківської таємніші, несуть відповідальність згідно із законами України.
Предметом адвокатської таємниці є питання, з яких громадянин або юридична особа зверталися до адвоката, суть консультацій, порад, роз’яснень та інших відомостей, одержаних адвокатом при здійсненні своїх професійних обов’язків.1 Слід також зазначити, що в Україні продовжується нормотворча робота у сфері правового регулювання конфіденційної інформації про особу. Так підготовлено проект Закону України про захист персональних даних (реєстр. № 2618), який прийнято за основу.2
3. Місце інформації з обмеженим доступом у діяльності органів державної влади України
Інформаційні ресурси та інформаційна інфраструктура відіграють дедалі більшу роль у міждержавній боротьбі за світове лідерство і досягнення політичних, економічних, воєнних цілей. Отже, стійке функціонування інформаційної інфраструктури, забезпечення інтересів особи, суспільства і держави у цій сфері перетворюється на важливий чинник збалансованого розвитку будь-якої країни.
У статті 17 Конституції України закріплена норма, відповідно до якої забезпечення інформаційної безпеки України є однією з найважливіших функцій держави, справою всього Українського народу. Наголошуємо саме держави, а не громадянина чи окремих суб’єктів господарської діяльності.
Конкретизує конституційну норму положення, закріплене у статті 28 Закону України «Про інформацію», а саме «держава здійснює контроль за режимом доступу до інформації». При цьому, завдання контролю за режимом доступу до інформації полягає у забезпеченні додержання вимог законодавства про інформацію всіма державними органами, підприємствами, установами та організаціями, недопущенні необґрунтованого віднесення відомостей до категорії інформації з обмеженим доступом.
Державний контроль за додержанням встановленого режиму здійснюється спеціальними органами, які визначають Верховна Рада України і Кабінет Міністрів України.
У порядку контролю Верховна Рада України може вимагати від урядових установ, міністерств, відомств звіти, які містять відомості про їх діяльність по забезпеченню інформацією заінтересованих осіб (кількість випадків відмови у наданні доступу до Інформації із зазначенням мотивів таких відмов; кількість та обґрунтування застосування режиму обмеженого доступу до окремих видів інформації; кількість скарг на неправомірні дії посадових осіб, які відмовили у доступі до інформації, та вжиті щодо них заходи тощо).1
Так, відомо, що стаття 5 Закону України «Про основи національної безпеки України» серед принципів забезпечення національної безпеки передбачає «проведення виваженої державної політики відповідно до прийнятих в установленому порядку доктрин, концепцій, стратегій і програм… у інформаційній та інших сферах.
При цьому, стаття 7 вказаного Закону визначає, що на сучасному етапі основними реальними та потенційними загрозами національній безпеці України, стабільності в суспільстві у інформаційній сфері є, серед інших, «розголошення інформації, яка становить державну та іншу, передбачену законом, таємницю, а також конфіденційної інформації, що є власністю держави або спрямована на забезпечення потреб та національних інтересів суспільства і держави».
Зазначена загроза, як бачимо, закріплена на найвищому — законодавчому рівні. Причому, зауважимо, що акцентується увага на фактах розголошення не лише державної таємниці, а й іншої передбаченої законом таємниці, а також конфіденційної інформації. Йдеться, звичайно, про комерційну, банківську таємницю, інші види інформації з обмеженим доступом, яка належить фізичним та юридичним особам.
Насамперед, розглянемо зміст поняття «захист інформації з обмеженим доступом».
Поняття «захист інформації» закріплено у Законі України «Про захист інформації в автоматизованих системах» як «сукупність організаційно-технічних заходів і правових норм для запобігання заподіянню шкоди інтересам власника інформації чи автоматизованим системам та осіб, які користуються інформацією».2 Таке ж визначення виписано і у підзаконних актах.3
Поняття «захист інформації» визначається і у деяких міжнародно-правових угодах, зокрема як «комплекс заходів, спрямованих на запобігання небажаним впливам на об’єкт захисту інформації, а також її неконтрольованому поширенню».4
Нормативно закріплено такі визначення суміжних понять «Комплексна система захисту інформації — сукупність організаційних, інженерно-технічних заходів, засобів і методів технічного та криптографічного захисту інформації.»5
Закон України «Про державну таємницю» дає таке визначення поняття «охорона державної таємниці» комплекс організаційно-правових, інженерно-технічних, криптографічних та оперативно-розшукових заходів, спрямованих на запобігання розголошенню секретної інформації та втратам її матеріальних носіїв.1
Аналізуючи нормативно закріплені визначення, а також керуючись змістом поняття «інформація з обмеженим доступом? зазначимо, що
захист інформації з обмеженим доступом — це сукупність організаційно-правових, інженерно-технічних та криптографічних заходів, які вживаються власником інформації з обмеженим доступом або іншими особами за його замовленням, з метою запобігання заподіянню шкоди інтересам власника інформації та ЇЇ неконтрольованому поширенню.
Важливість захисту інформації з обмеженим доступом для належного забезпечення національної та державної безпеки підтверджується багатьма законодавчими та підзаконними нормативно-правовими актами. їх аналіз дає підстави зробити висновок, що на сьогодні захист інформації з обмеженим доступом, його законодавча регламентація, встановлення відповідних гарантій для власників інформації з обмеженим доступом є важливими завданнями держави та її органів.
4. Правові особливості обігу інформації з обмеженим доступом у господарській діяльності суб’єктів господарювання
У останні роки зміни в політичному житті й економіці України стали підґрунтям для появи значної кількості недержавних підприємств і організацій, що стали самостійними суб’єктами господарювання, їхній новий статус серед інших спричинив проблему захисту належної їм інформації з обмеженим доступом економічного характеру (комерційної, банківської таємниці та конфіденційної інформації).
В умовах існування планової економіки СРСР протиправні посягання на економічну інформацію підприємств і організацій з боку вітчизняних суб’єктів підприємницької діяльності були виключені в силу їх безпідставності. Захист цієї інформації від посягань іноземних організацій цілком забезпечували вітчизняні спецслужби.
Поряд з традиційними загрозами, які існують у сфері формування, зберігання й поширення інформаційних ресурсів, зростає небезпека несанкціонованого втручання в роботу інформаційних систем не тільки з метою отримання закритої інформації, а й порушення її цілісності та знищення, дезорганізації інформаційної системи держави, суб’єктів підприємництва тощо. Виникла й така небезпека, пов’язана з новими явищами, як «інформаційна експансія», «інформаційна зброя», «інформаційна війна», що стали реаліями сучасності. Все це вимагає не тільки застосування традиційних, практично перевірених заходів охорони інформаційних ресурсів, що містять відомості, віднесені до Інформації з обмеженим доступом, а й розробки та впровадження заходів І засобів правового, організаційного, інженерно-технічного й криптографічного захисту вказаної інформації.
У 1990 році в СРСР була здійснена спроба визначення комерційної таємниці та відповідальності за її розголошення в статті 33 Закону СРСР «Про підприємства». Цей закон повинен був визначати загальноправові, економічні та соціальні основи організації підприємств різних форм власності та їх діяльність в умовах «розвитку товарно-грошових відносин і регульованого ринку»2. При цьому комерційною таємницею підприємства визначались пов’язані з виробництвом, технологічною інформацією, управлінням, фінансами та Іншою діяльністю підприємства відомості, що не є державними таємницями, розголошення (передача, витік) яких може завдати шкоди його інтересам.
У теперішній час в Україні, як і в інших країнах світу, у процесі підприємницької діяльності, при створенні нових технологій, в результаті інтелектуальної праці, виникають насичені найрізноманітнішими відомостями інформаційні об’єкти, що представляють комерційну цінність. Це можуть бути методики робіт, перспективні технічні рішення, результати маркетингових досліджень тощо, спрямовані на досягнення підприємницького успіху.
Проблема захисту комерційної таємниці має багато аспектів. Серед них найважливішими є визначення правового положення комерційної таємниці як соціального ресурсу, юридичне закріплення права на комерційну таємницю та створення правових гарантій реалізації цього права, регулювання відносин, які виникають у сфері обігу комерційної таємниці.
У країнах світу, де використовуються інформаційні об’єкти, які представляють комерційну цінність немає єдиного підходу до визначення поняття такої інформації. Застосовуються різні визначення «ділові секрети», «виробничі секрети», «торговельні секрети», «конфіденційна інформація», «комерційна таємниця» тощо1.
Згідно зі статтями 155 Господарського кодексу України та 420 Цивільного кодексу України серед об’єктів прав інтелектуальної власності* у сфері господарювання визнається комерційна таємниця.
Досягнення успіху в підприємницькій діяльності дуже часто пов’язане з використанням комерційної таємниці і неможливістю її використання конкурентами. Виділяють наступні причини, які становлять основу неправомірного використання комерційної таємниці конкурентами2
— для поліпшення виробничої та комерційної діяльності організації (конкурента), що протиправно заволоділа комерційною таємницею, підвищення конкурентоспроможності продукції та ефективності виробництва, вибір оптимальної стратегії реалізації продукції та торгових переговорів;
для завдання шкоди власнику комерційної таємниці, протидія реалізації продукції, руйнування виробничих та торгівельних зв’язків; зрив торгівельних переговорів та угод; зниження інвестиційних можливостей, підготовка та розповсюдження неправдивих відомостей про власника комерційної таємниці тощо.
На сьогоднішній день втратам комерційної таємниці в Україні сприяє безсистемність її захисту, роз’єднаність зусиль держави й приватних підприємців у забезпеченні цілісності інформації, відсутність у власників комерційної таємниці організаційного досвіду щодо її захисту, недостатність правової підготовки та інформаційної культури. При застосуванні організаційно-правового механізму захисту комерційної таємниці виділяють цілий ряд невирішених питань, серед яких — відсутність чіткого визначення поняття «комерційна таємниця» з урахуванням інтересів як юридичних, так і фізичних осіб; розробки механізму здійснення прав власності на інформацію, віднесену до комерційної таємниці; методики визначення її вартості; визначення органу державної виконавчої влади, що буде формувати й реалізовувати державну політику щодо охорони прав на комерційну таємницю тощо.
Ще одним прикладом обмеження доступу до інформації може бути обмеження доступу до архівних документів.
Стаття 16 Закону України «Про Національний архівний фонд та архівні установи») визначає можливості обмеження доступу до документів Національного архівного фонду, що належать державі, територіальним громадам. Так, «архівні установи мають право обмежити доступ до документів Національного архівного фонду, що належать державі, територіальним громадам, на строк до одного року в зв’язку з їх науково-технічним опрацюванням, перевіркою наявності та стану або реставрацією. У разі проведення великого обсягу зазначених робіт строк обмеження може бути продовжений з дозволу центрального органу виконавчої влади у сфері архівної справи і діловодства, але не більше, ніж на один рік.
Архівні установи мають право відмовити в доступі до документів Національного архівного фонду, що належать державі, територіальним громадам, неповнолітнім, особам, визнаним судом недієздатними, та особам, які грубо порушували порядок користування архівними документами.
В інтересах охорони інформації, віднесеної до державної або іншої передбаченої законом таємниці, що міститься в документах Національного архівного фонду, доступ до цих документів обмежується відповідно до закону до моменту скасування рішення про віднесення інформації до державної або іншої таємниці.
Доступ до документів Національного архівного фонду, що містять конфіденційну інформацію про особу, а також створюють загрозу для життя чи недоторканності житла громадян, обмежується на 75 років від часу створення цих документів, якщо Інше не передбачено законом. Раніше зазначеного строку доступ здійснюється з дозволу громадянина, права та законні інтереси якого можуть бути порушені, а в разі його смерті — з дозволу спадкоємців.
У разі передачі за договором до державних архівних установ, архівних відділів міських рад документів Національного архівного фонду, що не належали державі, територіальним громадам, умови подальшого користування ними визначаються з колишніми власниками зазначеним договором. Зазначений порядок може бути встановлено також у випадках передачі документів на зберігання без зміни права власності на них.1
Стаття 17 Закону України «Про Національний архівний фонд та архівні установи» визначає обмеження доступу до документів Національного архівного фонду, що належать іншим власникам (окрім держави, територіальних громад).
Архівні підрозділи об’єднань громадян, релігійних організацій, а також підприємств, установ та організацій, заснованих на приватній формі власності, архівні установи, засновані фізичними особами, мають право обмежити доступ до документів Національного архівного фонду з метою забезпечення збереженості документів і захисту прав та законних інтересів власників документів або інших осіб. Обмеження встановлюються на вимогу власника документів або інших заінтересованих осіб з письмовим повідомленням центрального органу виконавчої влади у сфері архівної справи і діловодства.
У випадках, передбачених законом, обмеження, зазначені у частинах четвертій і п’ятій статті 16 Закону України «Про Національний архівний фонд та архівні установи» та частині першій статті 17, не поширюються на працівників державних архівних установ, суду, правоохоронних, контрольно-ревізійних та податкових органів, які виконують службові завдання, а саме у випадках
— коли йдеться про доступ до конфіденційної інформації про особу,
— у випадках передачі за договором до державних архівних установ, архівних відділів міських рад документів Національного архівного фонду, що не належали державі, територіальним громадам,
— коли архівні установи, засновані на приватній формі власності, обмежили доступ до документів Національного архівного фонду з метою забезпечення збереженості документів і захисту прав та законних інтересів власників документів або інших осіб.
Законом можуть бути передбачені інші випадки, коли зазначені обмеження не застосовуються.
3. Охорона державної таємниці в Україні
Питання лекції
1. Правовий статус державної таємниці в Україні.
2. Зміст поняття «охорона державної таємниці».
3. Звід відомостей, що становлять державну таємницю.
4. Поняття допуску та доступу до державної таємниці.
5. Повноваження органів, що забезпечують охорону державної таємниці відповідно до законодавства України.
Входження України до євроатлантичних структур, прагнення вступу до Всесвітньої торговельної організації, а також намагання створити регіональну систему безпеки, яка стала б основою загальноєвропейської системи безпеки, потребують дієздатної системи органів виконавчої влади. З огляду на зазначені чинники, а також враховуючи важливі внутрішньополітичні функції держави, питання правового та організаційного забезпечення інформаційної безпеки органів виконавчої влади. Таким чином, інформаційне забезпечення органів виконавчої влади є одним із складових елементів загальної системи забезпечення державного управління.
Важливим елементом забезпечення і інформаційної безпеки держави, і національної безпеки загалом, і реалізації функцій управління у органах державної влади є режим охорони державної таємниці в Україні.
1. Правовий статус державної таємниці в Україні
Проблема врегулювання суспільних відносин у сфері охорони державної таємниці на сучасному етапі розвитку людства була вирішена в розвинутих країнах шляхом прийняття відповідних законів. Однак, у колишньому СРСР та донедавна в Україні не існувало закону не тільки про державну таємницю, але й про інформацію взагалі. Відносини, що виникали в сфері охорони державної таємниці регулювались на рівні урядових рішень, які в більшості випадків мали закритий характер і не давали змоги ознайомитися з ними як вченим-юристам, так і широкому загалу.
З прийняттям Закону України «Про державну таємницю» на законодавчому рівні було врегульовано суспільні відносини, пов’язані з віднесенням інформації до державної таємниці, її засекречуванням та охороною з метою захисту життєво важливих інтересів України у сфері оборони, економіки, зовнішніх відносин, державної безпеки й охорони правопорядку.
Необхідно, перш за все, розкрити поняття «державна таємниця» та ознаки, які його характеризують. Чітке визначення поняття дозволить правильно визначати коло відомостей, котрі потрібно охороняти, розподіляти зусилля з організації охорони, вирішувати питання про відповідальність осіб за порушення законодавства, уникати витрати сил та засобів на охорону несекретної інформації, правильно з’ясовувати та аналізувати можливі шляхи витоку інформації тощо.
Законодавство України дає чітке визначення поняття «державна таємниця». Державна таємниця — вид таємної інформації, що охоплює відомості у сфері оборони, економіки, науки і техніки, зовнішніх відносин, державної безпеки та охорони правопорядку, розголошення яких може завдати шкоди національній безпеці України та які визнані у порядку, встановленому Законом, державною таємницею і підлягають охороні державою. Отже, слід виокремити та дослідити ознаки, які характеризують це поняття Перша ознака полягає у тому, що державна таємниця є видом таємної інформації правове регулювання якої здійснюється відповідним законом. Закон України «Про інформацію» вперше на законодавчому рівні закріпив необхідність врегулювання правових відносин у сфері охорони державної таємниці на рівні спеціального закону. Прийняття Закону України «Про державну таємницю» було першим кроком на шляху раціонального та демократичного підходу до регулювання вищезазначених суспільних відносин. До речі, законодавче врегулювання зазначених відносин притаманне й таким країнам як США, Сполучене Королівство Великобританії та Північної Ірландії, Польщі та інші.
Закон України «Про інформацію» визначив місце державної таємниці серед іншої інформації. За режимом доступу інформація поділяється на відкриту та інформацію з обмеженим доступом. Остання за своїм правовим режимом поділяється на конфіденційну і таємну. Саме одним з видів таємної і є державна таємниця.
Таким чином, перша ознака державної таємниці полягає в тому, що суспільні відносини, які виникають і складаються під час визначення такої інформації, її охорони та обігу врегульовано на рівні окремого закону.
За другою ознакою державна таємниця характеризуються тим, що її становлять лише відомості у сфері оборони, економіки, зовнішніх відносин, науки і техніки, державної безпеки і охорони правопорядку. На законодавчому рівні закріплено не всі сфери життєдіяльності держави, які може охоплювати державна таємниця, а лише найважливіші, які пов’язуються із забезпеченням національної безпеки. Слід зазначити, що не вся інформація у визначених сферах може становити державну таємницю, оскільки встановлюються відповідні її категорії. У зв’язку з цим, до державної таємниці можуть бути віднесені конкретні відомості лише за умови, що вони належать до визначених категорій.
Із усього інформаційного простору вирізняються державні інтереси та інтереси суспільства і громадян. Щодо останніх, законом установлено перелік відомостей, які забороняється відносити до державної таємниці
— про стан довкілля, про якість харчових продуктів і предметів побуту;
— про аварії, катастрофи, небезпечні природні явища та інші надзвичайні події, які сталися або можуть статися і загрожують безпеці громадян;
— про стан здоров’я населення, його життєвий рівень, включаючи харчування, одяг, житло, медичне обслуговування та соціальне забезпечення, а також про соціально-демографічні показники, стан правопорядку, освіти і культури населення;
— про факти порушень прав і свобод людини і громадянина;
— про незаконні дії органів державної влади, органів місцевого самоврядування та їх посадових осіб;
— інша інформація, яка відповідно до законів та міжнародних договорів, згода на обов’язковість яких надана Верховною Радою України, не може бути засекречена.
Третя ознака полягає в тому, що розголошення державної таємниці може завдати шкоди національній безпеці України. Справді, немає сенсу приховувати інформацію, від розголошення якої не буде завдано шкоди. Як бачимо, шкода національній безпеці України є однією з матеріальних ознак цього поняття. Протиправний вихід державної таємниці з володіння правомочних суб’єктів, пов’язується з об’єктивним заподіянням або можливістю заподіяння шкоди. Під шкодою розуміються як економічні збитки так й інші тяжкі наслідки. Економічно, шкода визначається матеріальними збитками у кількісному (вартісному) виразі, які сталися чи можуть статися внаслідок розголошення конкретних відомостей, що становлять державну таємницю у сферах оборони, економіки, науки і техніки, зовнішніх відносин, державної безпеки і охорони правопорядку. Щодо інших тяжких наслідків, то вони пов’язуються з негативними змінами у зазначених сферах (головним чином, у сферах зовнішніх відносин, державної безпеки і охорони правопорядку), які відбулися чи можуть відбутися внаслідок розголошення конкретних відомостей, що становлять державну таємницю і які не піддаються економічному обрахунку у вартісному виразі. Обґрунтування шкоди національній безпеці, в разі розголошення державної таємниці України, здійснює державний експерт з питань державних таємниць під час віднесення інформації до державної таємниці. Він також бере участь у розробці критеріїв визначення шкоди, яку може бути завдано в разі розголошення такої інформації.
Наступна ознака полягає у тому, що на законодавчому рівні створено механізм віднесення інформації до державної таємниці та її засекречування. Як вже зазначалося, існують категорії інформації, яка становить державну таємницю. Відповідно до цих категорій інформації формується Звід відомостей, що становлять державну таємницю (ЗВДТ), який є єдиною формою реєстрації цих відомостей в Україні. З моменту опублікування Зводу держава забезпечує захист і правову охорону зареєстрованих у ньому відомостей. Служба безпеки України формує ЗВДТ на підставі рішень державних експертів з питань таємниць та публікує в офіційних виданнях. Інформація вважається державною таємницею з часу включення її до ЗВДТ. Реєстрація відомостей у Зводі є підставою для надання документу, виробу чи іншому матеріальному носію інформації, що містить ці відомості, грифу секретності, встановленому для них у ЗВДТ. На підставі та в межах ЗВДТ з метою конкретизації даних про інформацію, яка віднесена до державної таємниці, органи державної влади України можуть створювати відповідні розгорнуті переліки відомостей, що становлять державну таємницю. Такі переліки повинні бути затверджені державними експертами з питань таємниць та погоджені СБ України. Розгорнуті переліки, що становлять державну таємницю, не можуть суперечити ЗВДТ. Віднесення та засекречування інформації, котра становить державну таємницю є вольовим актом з боку держави і залежить від внутрішньо — та зовнішньополітичної обстановки, економічного розвитку, політичного режиму тощо.
Ознакою державної таємниці є те, що її охорона здійснюється державою. На відміну від інших видів інформації (банківської, комерційної) фінансування витрат на здійснення діяльності, пов’язаної з державною таємницею в бюджетних установах і організаціях має здійснюватися за рахунок Державного бюджету України, бюджету Автономної Республіки Крим та місцевих бюджетів. Кошти на зазначені витрати повинні передбачатися у відповідних бюджетах окремим рядком. Такі витрати інших установ і організацій, а також підприємств відносяться до валових витрат виробника продукції, виготовлення якої пов’язано з державною таємницею. Витрати, пов’язані з державною таємницею, на недержавних підприємствах, установах, організаціях відповідно до Закону України «Про державну таємницю» фінансуються на підставі договору з замовником робіт, пов’язаних з державною.
Підприємствам, установам і організаціям, які провадять діяльність, пов’язану з державною таємницею, можуть надаватися податкові та інші пільги в порядку, встановленому законом.1
2. Зміст поняття «охорона державної таємниці»
Охорона державної таємниці України — це складне соціально-правове явище, яке відображає багатоаспектну діяльність держави в соціально-політичній, економічній, правовій та інших сферах суспільного життя. Комплексний характер здійснюваних при цьому заходів, обумовлює необхідність активної участі у процесі охорони державної таємниці різних органів держави.
Охорона державної таємниці є одним зі складових елементів забезпечення національної безпеки України. Суб’єкти, на яких покладено функції забезпечення національної безпеки, тією чи іншою мірою забезпечують й охорону державної таємниці.1
Охорона державної таємниці — це комплекс організаційно-правових, інженерно-технічних, криптографічних та оперативно-роз-шукових заходів, спрямованих на запобігання розголошенню секретної інформації та втратам її матеріальних носіїв.
Основні організаційно-правові заходи щодо охорони державної таємниці полягають у тому, що з метою охорони державної таємниці впроваджуються
— єдині вимоги до виготовлення, користування, збереження, передачі, транспортування та обліку матеріальних носіїв секретної інформації;
— дозвільний порядок провадження органами державної влади, органами місцевого самоврядування, підприємствами, установами та організаціями діяльності, пов’язаної з державною таємницею;
— обмеження оприлюднення, передачі іншій державі або поширення іншим шляхом секретної інформації;
— обмеження щодо перебування та діяльності в Україні іноземців, осіб без громадянства та іноземних юридичних осіб, їх доступу до державної таємниці, а також розташування і переміщення об’єктів і технічних засобів, що їм належать;
— особливості здійснення органами державної влади їх функцій щодо органів державної влади, органів місцевого самоврядування, підприємств, установ і організацій, діяльність яких пов’язана з державною таємницею;
— режим секретності органів державної влади, органів місцевого самоврядування, підприємств, установ і організацій, що провадять діяльність, пов’язану з державною таємницею;
спеціальний порядок допуску та доступу громадян до державної таємниці; — технічний та криптографічний захисти секретної інформації.
Правову основу створення й функціонування системи охорони державної таємниці в Україні закладено в Законі України «Про державну таємницю», який регулює суспільні відносини пов’язані з віднесенням інформації до державної таємниці, засекречуванням, розсекречуванням її матеріальних носіїв та охороною.
Важливість діяльності з охорони державної таємниці характеризується тим, що діяння які посягають на її збереження кваліфікуються як злочини. Кримінальним кодекс України, визначає такі злочини, предметом яких є державна таємниця
1.Державна зрада (ст. 111);
2.Шпигунство (ст. 114);
3. Розголошення відомостей, що становлять державну таємницю (ст. 328);
4. Втрата документів, що містять державну таємницю (ст. 329);
5. Розголошення відомостей військового характеру, що становлять державну таємницю, або втрата документів чи матеріалів, що містять такі відомості (ст. 422).
Кримінально-процесуальний кодекс України встановлює, що у справах про злочини передбачені названими статтями Кримінального кодексу України досудове слідство провадиться слідчими органів Служби безпеки України.
Чинне законодавство України передбачає закритий розгляд справ у всіх судах у разі потреби забезпечення охорони державної таємниці.
Закони України «Про державну таємницю», «Про Службу безпеки України», «Про оперативно-розшукову діяльність», «Про контррозвідувальну діяльність», «Про розвідувальні органи» визначають організацію охорони державної таємниці в Україні. Це -основні, хоча й не всі акти Верховної Ради України, які стосуються питань забезпечення охорони державної таємниці. На основі положень законів та на їх виконання приймаються Укази Президента України, постанови Кабінету Міністрів України та інші нормативно-правові акти центральних органів виконавчої влади. Метою їх прийняття є конкретизація та реалізація приписів, що містяться в законах. Таким чином, всі вищеназвані акти є підза-конними і не можуть суперечити вимогам законів.
Стаття 35 Закону України «Про державну таємницю» зазначає, що технічний та криптографічний захисти секретної інформації здійснюються в порядку, встановленому Президентом України. На виконання положень даної статті видано наступні Укази Президента України Положення про технічний захист інформації в Україні (від 27 вересня 1999 року № 1229), Положення про порядок здійснення криптографічного захисту інформації в Україні (від 22 травня 1998 року № 505) та Положення про Департамент спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України (від 6 жовтня 2000 року № 1120).
Функції державного експерта з питань таємниць в державних органах (крім Верховної Ради України), Національній академії наук України, на підприємствах, в установах і організаціях покладаються Президентом України на конкретних посадових осіб за поданням Служби безпеки України на підставі пропозицій керівників відповідних державних органів, Національної академії наук України, підприємств, установ і організацій. Перелік таких посадових осіб затверджено Указом Президента України від 18 жовтня 2000 року № 1144.
Згідно зі статтею 19 Закону України «Про державну таємницю», єдині вимоги до виготовлення, обліку, користування, зберігання, схоронності, передачі та транспортування матеріальних носіїв секретної інформації встановлюються Кабінетом Міністрів України.
Дозвільний порядок провадження діяльності, пов’язаної з державною таємницею регламентується ст. 20 Закону України «Про державну таємницю» в якій зазначається, що порядок надання, переоформлення, зупинення дії або скасування дозволу на провадження діяльності, пов’язаної з державною таємницею, форма акта спеціальної експертизи щодо наявності умов для провадження діяльності, пов’язаної з державною таємницею, форма дозволу на провадження діяльності, пов’язаної з державною таємницею, та категорії режиму секретності встановлені у нормативно-правових актах Кабінету Міністрів України.
3. Звід відомостей, що становлять державну таємницю
Згідно із Законом України «Про державну таємницю» віднесення інформації до державної таємниці є процедурою прийняття державним експертом з питань таємниць рішення про віднесення категорії відомостей або окремих відомостей до державної таємниці з установленням ступеня їхньої секретності шляхом обґрунтування та визначення можливої шкоди національній безпеці Ук раїни у разі розголошення цих відомостей, включенням цієї інформації до ЗВДТ, з його опублікуванням чи внесенням змін до нього.
Закон України «Про державну таємницю» визначає категорії інформації, яка може бути віднесена до державної таємниці у сферах оборони; економіки, науки і техніки; зовнішніх зносин; державної безпеки і охорони правопорядку. З урахуванням названих сфер на підставі рішень державних експертів з питань таємниць Службою безпеки України формується ЗВДТ (головним документом у країні, від якого залежить обсяг секретної інформації).
Звід відомостей, що становлять державну таємницю, формує та публікує в офіційних виданнях Служба безпеки України на підставі рішень державних експертів з питань таємниць. Діючий Звід відомостей, що становлять державну таємницю затверджено Наказом Служби безпеки України від 12.08.2005 № 440, зареєстровано в Міністерстві юстиції України 17 серпня 2005 р. за № 902/11182.
Зміни до Зводу відомостей, що становлять державну таємницю, публікуються не пізніше трьох місяців з дня одержання Службою безпеки України відповідного рішення чи висновку державного експерта з питань таємниць.
На підставі та в межах Зводу відомостей, що становлять державну таємницю, з метою конкретизації та систематизації даних про секретну інформацію органи державної влади створюють галузеві або відомчі розгорнуті переліки відомостей, що становлять державну таємницю, а також можуть створювати міжгалузеві або міжвідомчі розгорнуті переліки відомостей, що становлять державну таємницю. Підприємства, установи та організації незалежно від форм власності, що провадять діяльність, пов’язану із державною таємницею, за ініціативою та погодженням із замовником робіт, пов’язаних з державною таємницею, можуть створювати власні розгорнуті переліки відомостей, що становлять державну таємницю. Такі переліки погоджуються зі Службою безпеки України, затверджуються державними експертами з питань таємниць та реєструються у Службі безпеки України.
Розгорнуті переліки відомостей, що становлять державну таємницю, не можуть суперечити Зводу відомостей, що становлять державну таємницю.
Нині в Україні створено демократичний порядок віднесення інформації до державної таємниці, результатом якого є відобра-ЗВДТ в офіційно опублікованому виданні Строк, протягом якого діє рішення про віднесення інформації до державної таємниці, встановлюється державним експертом з питань таємниць з урахуванням ступеня секретності інформації, критерії визначення якого встановлюються Службою безпеки України, та інших обставин. Він не може перевищувати для інформації із ступенем секретності «особливої важливості» — ЗО років, для інформації «цілком таємно» — 10 років, для інформації «таємно» — 5 років.
Забороняється віднесення до державної таємниці будь-яких відомостей, якщо цим будуть звужуватися зміст і обсяг конституційних прав та свобод людини і громадянина, завдаватиметься шкода здоров’ю та безпеці населення.
Не відноситься до державної таємниці інформація
— про стан довкілля, про якість харчових продуктів і предметів побуту;
— про аварії, катастрофи, небезпечні природні явища та інші надзвичайні події, які сталися або можуть статися і загрожують безпеці громадян;
— про стан здоров’я населення, його життєвий рівень, включаючи харчування, одяг, житло, медичне обслуговування та соціальне забезпечення, а також про соціально-демографічні показники, стан правопорядку, освіти і культури населення;
— про факти порушень прав і свобод людини і громадянина;
— про незаконні дії органів державної влади, органів місцевого самоврядування та їх посадових осіб;
— інша інформація, яка відповідно до законів та міжнародних договорів, згода на обов’язковість яких надана Верховною Радою України.
4. Поняття допуску та доступу до державної таємниці
Спеціальний порядок допуску та доступу громадян до державної таємниці є складовою частиною комплексу заходів спрямованих на запобігання витоку секретної інформації. Існування такого порядку обумовлюється необхідністю вивчення та обмеження кола осіб, діяльність яких буде пов’язана з державною таємницею. Порядок надання, переоформлення та скасування громадянам допуску до державної таємниці передбачений ст. 22-29 Закону України «Про державну таємницю» і встановлюється Кабінетом Міністрів України.
Допуск до державної таємниці — оформлення права громадянина на доступ до секретної інформації. Доступ до державної таємниці — надання повноважною посадовою особою дозволу громадянину на ознайомлення з конкретною секретною інформацією та провадження діяльності, пов’язаної з державною таємницею, або ознайомлення з конкретною секретною інформацією та провадження діяльності, пов’язаної з державною таємницею, цією посадовою особою відповідно до її службових повноважень.
Залежно від ступеня секретності інформації встановлюються такі форми допуску до державної таємниці
форма 1 — для роботи з секретною інформацією, що має ступені секретності «особливої важливості», «цілком таємно» та «таємно»;
форма 2 — для роботи з секретною інформацією, що має ступені секретності «цілком таємно» та «таємно»;
форма 3 — для роботи з секретною інформацією, що має ступінь секретності «таємно»,
а також такі терміни дії допусків
для форми 1 — 5 років;
для форми 2 — 10 років;
для форми 3 — 15 років.
Допуск до державної таємниці зі ступенями секретності «особливої важливості», «цілком таємно» та «таємно» надається дієздатним громадянам України віком від 18 років, які потребують його за умовами своєї службової, виробничої, наукової чи науково-дослідної діяльності або навчання, наказом чи письмовим розпорядженням керівника органу державної влади, органу місцевого самоврядування, підприємства, установи або організації, де працює, перебуває на службі чи навчається громадянин.
У окремих випадках, які визначаються міністерствами, іншими центральними органами виконавчої влади, за погодженням із Службою безпеки України громадянам України віком від 16 років може надаватися допуск до державної таємниці із ступенями секретності «цілком таємно» та «таємно», а віком від 17 років — також до державної таємниці із ступенем секретності «особливої важливості».
Відповідно до статті 27 Закону України «Про державну таємницю» доступ до державної таємниці надається дієздатним громадянам України, яким надано допуск до державної таємниці та які потребують його за умовами своєї службової, виробничої, наукової чи науково-дослідної діяльності або навчання.
Рішення про надання доступу до конкретної секретної інформації та її матеріальних носіїв приймають у формі наказу або письмового розпорядження керівники органів державної влади, органів місцевого самоврядування, підприємств, установ і організацій, в яких виконуються роботи, пов’язані з державною таємницею, або зберігаються матеріальні носії секретної інформації Відмова надати громадянинові України доступ до конкретної секретної інформації та її матеріальних носіїв можлива лише у разі відсутності підстав, передбачених вище.
Президентові України, Голові Верховної Ради України, Прем’єр-міністрові України, Голові Верховного Суду України, Голові Конституційного Суду України, Генеральному прокурору України, Голові Служби безпеки України доступ до державної таємниці усіх ступенів секретності надається за посадою після взяття ними письмового зобов’язання щодо збереження державної таємниці.
Іноземцям та особам без громадянства доступ до державної таємниці надається у виняткових випадках на підставі міжнародних договорів України, згода на обов’язковість яких надана Верховною Радою України, або письмового розпорядження Президента України з урахуванням необхідності забезпечення національної безпеки України на підставі пропозицій Ради національної безпеки і оборони України.
5. Повноваження органів, що забезпечують охорону державної таємниці відповідно до законодавства України
Стаття 5 Закону України «Про державну таємницю» визначає компетенцію органів державної влади, органів місцевого самоврядування та їх посадових осіб у сфері охорони державної таємниці. Всі суб’єкти забезпечення охорони державної таємниці діють виключно в межах повноважень, визначених Конституцією України, законами та іншими нормативно-правовими актами України.
Розглянемо повноваження Верховної Ради України, Президента України, Ради національної безпеки і оборони України та Кабінету Міністрів України у сфері охорони державної таємниці.
Провідну роль у сфері охорони державної таємниці відіграє Верховна Рада України, яка є єдиним органом законодавчої влади нашої держави. її повноваження закріплені в статті 85 Конституції України та статті 4 Закону України «Про державну таємницю». До її повноважень у сфері охорони державної таємниці належить
— визначення державної політики щодо державної таємниці як складової засад внутрішньої та зовнішньої політики;
— прийняття законодавчих актів, які забезпечують функціонування системи охорони державної таємниці, обмежують права і свободи людини і громадянина у зазначеній сфері ;
— ухвалення законодавчих актів, що визначають правовий статус органів, які забезпечують охорону державної таємниці;
— ратифікація міжнародних договорів про взаємний захист секретної інформації; визначення правопорушень у сфері охорони державної таємниці та встановлення відповідальності, яка настає за їх вчинення кримінальна, адміністративна, дисциплінарна;
— здійснення нагляду та контролю за забезпеченням охорони державної таємниці через спеціально утворені парламентські структури;
Президент України як глава держави відповідно до статті 106 Конституції України та Закону України «Про державну таємницю»
— забезпечує національну безпеку України, здійснює керівництво у сферах національної безпеки і оборони;
— підписує закони, прийняті Верховною Радою України та має право вето щодо прийнятих законів з наступним поверненням їх на повторний розгляд;
— на основі та на виконання Конституції і законів України видає укази і розпорядження з питань охорони державної таємниці, які є обов’язковими до виконання на території України;
— утворює, реорганізовує та ліквідовує за поданням Прем’єр-міністра України міністерства та інші центральні органи виконавчої влади, діючи в межах коштів, передбачених на утримання органів виконавчої влади;
— покладає виконання функцій державних експертів з питань таємниць на посадових осіб органів державної влади (ст. 9 Закону України «Про державну таємницю»);
— може встановлювати більш тривалі строки дії рішень державних експертів з питань таємниць про віднесення інформації до державної таємниці (ст. 13 Закону України «Про державну таємницю»);
— дозволяє надавати доступ до державної таємниці іноземцям та особам без громадянства шляхом видання письмового розпорядження, а передавати секретну інформацію іноземній державі чи міжнародній організації — письмового мотивованого розпорядження, з урахуванням необхідності забезпечення національної безпеки України на підставі пропозицій Ради національної безпеки і оборони України (статті 27, 32 Закону України «Про державну таємницю»);
— встановлює порядок технічного та криптографічного захисту секретної інформації (ст. 35 Закону України «Про державну таємницю»).
Координаційним органом з питань національної безпеки і оборони при Президентові України є Рада національної безпеки і оборони України (РНБО України), яка координує і контролює діяльність органів виконавчої влади у сфері національної безпеки і оборони. Головою РНБО України є Президент України, який формує персональний склад РНБО України. До складу РНБО України за посадою входять Прем’єр-міністр України, Міністр оборони України, Голова Служби безпеки України, Міністр внутрішніх справ України, Міністр закордонних справ України. У засіданнях РНБО України може брати участь Голова Верховної Ради України. Рішення РНБО України вводяться в дію указами Президента України. Функції та повноваження РНБО України визначаються Законом України «Про Раду національної безпеки і оборони України». На РНБО України покладено такі функції
— внесення пропозицій Президентові України щодо реалізації засад внутрішньої і зовнішньої політики у сфері національної безпеки і оборони;
— координація та здійснення контролю за діяльністю органів виконавчої влади у сфері національної безпеки і оборони у мирний час.
Важливу роль у забезпеченні охорони державної таємниці відіграє вищий орган у системі виконавчої влади — Кабінет Міністрів України. Уряд України розробляє та вживає безпосередніх заходів щодо охорони державної таємниці. До його повноважень відповідно до статті 116 Конституції України та чинного законодавства належить
— забезпечення реалізації державної політики щодо державної таємниці;
— забезпечення виконання законів України шляхом визначення порядку здійснення загальнодержавних заходів охорони державної таємниці;
— встановлення порядку функціонування загальної системи охорони державної таємниці (визначення напрямів та форм взаємодії між окремими центральними органами виконавчої влади, між підприємствами, установами й організаціями, діяльність яких пов’язана з державною таємницею та органами Служби безпеки України).
Міністерство внутрішніх справ України бере участь у здійсненні заходів з організації охорони й оборони внутрішніми військами та Державною службою охорони МВС України (за договорами та згідно з переліком, затвердженим КМ України) об’єктів, діяльність яких пов’язана з державною таємницею. Підрозділи у справах громадянства, імміграції та реєстрації фізичних осіб органів внутрішніх справ беруть участь у визначенні фактичної обізнаності у відомостях, що становлять державну таємницю, осіб, які порушили клопотання про виїзд на постійне проживання за кордон.
Міністерство закордонних справ України бере участь у підготовці міжнародних договорів України про взаємну охорону (захист) секретної інформації, координує дії щодо розміщення дипломатичних представництв іноземних держав.
Міністерство юстиції України здійснює експертну оцінку та реєстрацію нормативно-правових актів з питань охорони державної таємниці.
Міністерство транспорту та зв’язку України здійснює регулювання у сфері фельд’єгерського і спеціального поштового зв’язку.
Державна служба експортного контролю готує та узгоджує встановленому порядку пропозиції щодо надання суб’єктам зовнішньоекономічної діяльності України повноважень на право здійснення експорту, імпорту товарів військового призначення та товарів, котрі містять відомості, що становлять державну таємницю, веде облік суб’єктів зовнішньоекономічної діяльності України, яким надано такі повноваження, видає їм відповідні підтвердні документи, забезпечує контроль за використанням наданих повноважень, готує пропозиції щодо їх зупинення, скасування, готує та подає в установленому порядку матеріали про надання дозволів на передачу іншій державі інформації, що становить державну таємницю, та матеріальних носіїв цієї інформації, здійснює в межах воєї компетенції контроль за виконанням порядку оформлення дозволів на передачу іншій державі інформації, що становить державну таємницю та матеріальних носіїв такої інформації.
Обов’язок центральних органів виконавчої влади — забезпечувати охорону державної таємниці передбачено в Загальному положенні про міністерство, інший центральний орган державної виконавчої влади України.
Визначені законодавством функції виконавчої влади у сфері охорони державної таємниці на місцевому територіальному рівні здійснюють державні адміністрації та місцеві (територіальні) органи (підрозділи) міністерств та інших центральних органів виконавчої влади. Для виконання вказаних функцій в усіх обласних, Київській та Севастопольській міських держадміністраціях відповідно до Примірного переліку управлінь, відділів та інших структурних підрозділів обласної державної адміністрації створюються самостійні структурні підрозділи з питань режимно-секретної роботи (відділи з питань режимно-секретної роботи).
У забезпеченні охорони державної таємниці беруть участь органи судової влади та прокуратура.
Органи судової влади забезпечують охорону державної таємниці своїми специфічними засобами й методами
— здійснюють правосуддя шляхом розгляду кримінальних справ, справ щодо спорів, котрі виникають з цивільних, трудових, адміністративно-правових відносин, справ про адміністративні правопорушення, пов’язані з державної таємницею;
— забезпечують охорону державної таємниці під час здійснення правосуддя при розгляді вищеназваних справ;
— здійснюють судовий захист прав і свобод громадян, інтересів органів державної влади, підприємств, установ, організацій у зв’язку з їх діяльністю щодо охорони державної таємниці України.
Органи прокуратури здійснюють нагляд за дотриманням Конституції і законів України у сфері забезпечення охорони державної таємниці всіма суб’єктами держави відповідно до своїх повноважень. Допуск та доступ посадових осіб, які здійснюють нагляд, до відомостей, що становлять державну таємницю, проводяться відповідно до Закону України «Про державну таємницю».
Забезпечення охорони державної таємниці відповідно до вимог режиму секретності в органах державної влади, органах місцевого самоврядування, на підприємствах, в установах і організаціях, діяльність яких пов’язана з державною таємницею, покладається на керівників зазначених органів, підприємств, установ і організацій. З цією метою в органах державної влади, органах місцевого самоврядування, на підприємствах, в установах і організаціях, що провадять діяльність, пов’язану з державною таємницею, створюються на правах окремих структурних підрозділів режимно-секретні органи (далі — PCO). Основне завдання PCO полягає у розробленні та здійсненні заходів щодо забезпечення режиму секретності, постійного контролю за їх додержанням.
До складу PCO входять підрозділи режиму, секретного діловодства та інші підрозділи, що безпосередньо забезпечують охорону державних таємниць, залежно від специфіки діяльності органу державної влади, органу місцевого самоврядування, підприємства, /станови та організації.
Передача функцій PCO будь-яким іншим підрозділам органу державної влади, органу місцевого самоврядування, підприємства, установи та організації не допускається На сьогодні становлення ефективної державної влади є пріоритетним напрямом в загальній стратегії розвитку України, водночас інформаційне забезпечення органів виконавчої влади є його основою і має розглядатися як один з основних.
На сьогодні такий вид таємної інформації, що охоплює відомості у сфері оборони, економіки, науки і техніки, зовнішніх відносин, державної безпеки та охорони правопорядку, розголошення яких може завдати шкоди національній безпеці України підлягають охороні державою.
4. Правові основи захисту комерційної таємниці
Питання лекції
1.Зміст поняття «комерційна таємниця».
2.Правові ознаки комерційної таємниці та їх вплив на формування системи захисту інформації на конкретному підприємстві, установі, організації.
3.Організаційно-правові заходи захисту комерційної таємниці.
4.Правові засади захисту комерційної таємниці в трудових відносинах.
В умовах існуючої конкуренції між суб’єктами господарювання інформація стає цінним об’єктом, оскільки володіння інформацією в ринковій економіці необхідне для конкурентоспроможної господарської діяльності. Проведення економічної реформи в Україні і розвиток підприємництва призвели до значного збільшення обсягів комерційної таємниці суб’єктів господарювання.
Внаслідок посилення економічної конкуренції в умовах розвитку ринкових відносин в Україні комерційна таємниця суб’єктів господарювання та її охорона набувають пріоритетного значення. Розвиток економічної конкуренції, необхідність досягнення переваги на ринку ставлять перед суб’єктами господарювання завдання захисту комерційної таємниці за допомогою правових засобів.
Перехід України до ринкових відносин, розвиток підприємництва і конкурентних відносин викликають необхідність правового захисту інформації, розголошення якої може завдати збитків суб’єктам господарювання. Якщо в країнах з розвинутою ринковою економікою комерційна таємниця захищається законодавством як цінний товар, то в Україні дотепер відсутній повноцінний правовий механізм захисту інформації, що становить комерційну таємницю.
1. Зміст поняття «комерційна таємниця»
У Стародавньому Римі діяв закон, що передбачав покарання у вигляді штрафу за примус чужих рабів до видачі таємниць свого хазяїна. Традиція вести торговельні книги, таємниця яких була різновидом комерційної таємниці, існувала в античному світі. Торговці й банкіри зобов’язані були вести такі книги, відображаючи в них свою діяльність. Дані торговельних книг були конфіденційними й розкривалися винятково для уточнення податків, по справах про спадкування майна, у випадках настання банкрутства або з метою правосуддя. Таким чином, держави ще на ранніх стадіях свого розвитку створювали закони, які захищали інтереси підприємців, їхніх засновників й учасників від можливого витоку секретів
Історично так склалося, що комерційно важливу інформацію визначали різними термінами. У поняття «виробнича таємниця» включали внесення чого-небудь нового в процес створення благ; під «фабричною таємницею» розумівся як предмет патенту (першими ввели Англія, Франція й Німеччина), так і будь-яку особливість виробництва (еквівалент сучасного поняття «ноу-хау»); «торговельну таємницю» становили, наприклад, система місць реалізації товарів, списки постачальників і т.д.
Закони Російської імперії містили норми, що передбачали охорону фабричного секрету, торговельної таємниці й таємниці кредитних установ, які були засобами закріплення певного положення підприємства серед конкурентів. Порушення, пов’язані з розголошенням таємниці, попереджувались забороною службовцем оголошувати відомі їм таємниці підприємства, недопущенням сторонніх до торговельних книг й іншими заходами. Законодавство передбачало й застосування карних покарань або стягнення збитків по цивільних позовах за подібні порушення.
Правове регулювання системи захисту виробничої й комерційної таємниці царської Росії було скасовано радянською владою в листопаді 1917 року. У СРСР на державному рівні комерційна таємниця довгий час не сприймалася як така і вважалася рудиментом капіталістичного ладу. Уперше про комерційну таємницю й право на її захист згадувалося в статті 33 Закону СРСР «Про підприємства в СРСР».
Зі здобуттям Україною незалежності починає формуватися окремий правовий інститут комерційної таємниці.
Відповідно до ст. 505 Цивільного кодексу України «комерційною таємницею є інформація, яка є секретною в тому розумінні, що вона в цілому чи в певній формі та сукупності її складових є невідомою та не є легкодоступною для осіб, які звичайно мають справу з видом інформації, до якого вона належить, у зв’язку з цим має комерційну цінність та була предметом адекватних існуючим обставинам заходів щодо збереження її секретності, вжитих особою, яка законно контролює цю інформацію.
Комерційною таємницею можуть бути відомості технічного, організаційного, комерційного, виробничого та іншого характеру, за винятком тих, які відповідно до закону не можуть бути віднесені до комерційної таємниці».
Стаття 155 Господарського кодексу України також частково визначає особливості комерційної таємниці, включаючи останню до об’єктів прав інтелектуальної власності. При цьому ст. 162 Господарського кодексу України визначає повноваження суб’єктів господарювання щодо комерційної таємниці. Зокрема, «суб’єкт господарювання, що є володільцем технічної, організаційної або іншої комерційної інформації, має право на захист від незаконного використання цієї інформації третіми особами, за умов, що ця інформація має комерційну цінність у зв’язку з тим, що вона невідома третім особам і до неї немає вільного доступу інших осіб на законних підставах, а володілець інформації вживає належних заходів до охорони її конфіденційності».
Акцентуємо увагу на тому, що строк правової охорони комерційної таємниці обмежується часом дії сукупності зазначених вище умов.
Відповідно до постанови Кабінету Міністрів України від 09.08.93 р. № 611 комерційну таємницю не становлять
— установчі документи, документи, що дозволяють займатися підприємницькою чи господарською діяльністю та її окремими видами;
— інформація за всіма встановленими формами державної звітності;
— дані, необхідні для перевірки обчислення і сплати податків та інших обов’язкових платежів;
— відомості про чисельність і склад працюючих, їхню заробітну плату в цілому та за професіями й посадами, а також наявність вільних робочих місць;
— документи про сплату податків і обов’язкових, платежів;
— інформація про забруднення навколишнього природного середовища, недотримання безпечних умов праці, реалізацію продукції, що завдає шкоди здоров’ю, а також інші порушення законодавства України та розміри заподіяних при цьому збитків;
— документи про платоспроможність;
— відомості про участь посадових осіб підприємства в кооперативах, малих підприємствах, спілках, об’єднаннях та інших організаціях, які займаються підприємницькою діяльністю;
— відомості, що відповідно до чинного законодавства підлягають оголошенню.
Підприємства зобов’язані подавати перелічені у зазначеній Постанові відомості органам державної виконавчої влади, контролюючим і правоохоронним органам, іншим юридичним особам відповідно до чинного законодавства, за їх вимогою».
2. Правові ознаки комерційної таємниці та їх вплив на формування системи захисту інформації на конкретному підприємстві, установі, організації
Зважаючи на зазначені вище положення, цілком логічно буде виокремити такі правові ознаки комерційної таємниці
секретність інформації, яка є комерційною таємницею, полягає в тому, що вона є невідомою та не є легкодоступною для осіб, які звичайно мають справу з видом інформації, до якого вона належить,
інформація, яка визнається комерційною таємницею, має комерційну цінність, тобто певну цінову визначеність (вартість);
комерційна таємниця — склад і обсяг відомостей, що визначені суб’єктом господарювання або уповноваженим на це органом;
при визначенні складу і обсягу комерційної таємниці має враховуватись постанова Кабінету Міністрів України від 09.08.93 р. № 611 «Про перелік відомостей, що не становлять комерційної таємниці»;
володілець інформації повинен вживати належних заходів до охорони інформації, яка є комерційною таємницею;
строк правової охорони комерційної таємниці обмежується часом дії сукупності факторів, коли така інформація має комерційну цінність, невідома третім особам і до неї немає вільного доступу інших осіб на законних підставах, а володілець інформації вживає належних заходів до її схоронності.
Комерційна таємниця відповідно до ст. ЗО Закону України «Про інформацію» відноситься до інформації з обмеженим доступом.
Першою проблемою, з якою стикається кожний, хто хоче захистити комерційну таємницю від посягань з боку персоналу підприємства, є відсутність в чинному Кодексі законів про працю України (далі — КЗпП України) положень, які б прямо регулювали обов’язок працівника не розголошувати комерційну таємницю підприємства.
Проте це зовсім не означає, що законодавчі підстави для захисту комерційної таємниці від посягань на неї персоналу відсутні.
Конституція України у ч. 5 ст. 55 проголошує право кожного будь-якими не забороненими законом засобами захищати свої права і свободи від порушень і протиправних посягань. Зміст ч. 6 ст. 38 Закону України «Про інформацію» передбачає, що інформація, створена організаціями (юридичними особами) або придбана ними іншим законним способом, є власністю цих організацій. Поряд із цим, відповідно до ст. 420 Цивільного кодексу України, ст. 155 Господарського кодексу України та ст. 39 Угоди щодо торговельних аспектів прав на інтелектуальну власність (TRIPS) комерційна таємниця віднесена до об’єктів права інтелектуальної власності. Тобто комерційна таємниця підприємства є об’єктом його інтелектуальної власності. З вищесказаного випливає, що законодавець надає підприємству можливість здійснювати правовий, організаційний та технічний захист комерційної таємниці як об’єкта інтелектуальної власності, а не тільки як інформації з обмеженим доступом.
Першим кроком до захисту комерційної таємниці від посягань будь-якого роду є закріплення за відповідними даними режиму таємності.
Режим комерційної таємниці на підприємстві має будуватись на організаційно-правових засадах, визначених в юридичних документах підприємства. Важливо зазначити, що процес оформлення та реалізації режиму обмеженого доступу до комерційної таємниці має бути економічно та юридично обґрунтованим і проводитись в декілька етапів, які логічно витікають один з одного.
Основними кроками оформлення правового режиму комерційної таємниці є
— визначення відомостей, які будуть віднесені до комерційної таємниці;
— застосування технічних засобів захисту для цих відомостей;
— визначення переліку посад, які мають повний та обмежений доступ до комерційної таємниці;
— організація роботи з документами, які містять комерційну таємницю;
— встановлення та реалізація відповідальності персоналу щодо дотримання режиму таємності комерційної таємниці;
— вжиття заходів захисту комерційної таємниці як об’єкту інтелектуальної власності (авторське право, патентування).
Необхідно зауважити, що чіткого нормативного регламентування процесу організації та реалізації режиму комерційної таємниці немає. Як вже раніше зазначалось, існує тільки імперативна вказівка на те, що комерційна таємниця має бути «предметом адекватних існуючим обставинам заходів збереження її секретності».
Як показує досвід, на підприємстві приймається та функціонує цілий ряд нормативно-правових документів, що встановлюють та регулюють правовий режим доступу до комерційної таємниці. Відповідно до ч. 1 ст. 28 Закону України «Про інформацію» режимом доступу до інформації є передбачений правовими нормами порядок одержання, використання, поширення та зберігання інформації. Відповідно до ст. ЗО Закону України «Про інформацію» комерційна таємниця є інформацією з обмеженим доступом. Користуючись правом, закріпленим у ч. 5 ст. ЗО Закону України «Про інформацію» підприємство у своїх нормативних документах визначає порядок одержання, використання, поширення та зберігання комерційної таємниці.
Аналізуючи роботу підприємств щодо розробки нормативно-правових документів, можна навести деяку частину з них, а саме ті, що стосуються захисту комерційної таємниці.
Положення про комерційну таємницю та конфіденційну інформацію підприємства та правила їх зберігання як нормативний документ, по-перше, дає визначення комерційній таємниці підприємства та встановлює перелік відомостей, що до неї відносяться; по-друге, встановлює основи правового режиму доступу до комерційної таємниці підприємства; по-третє, визначає способи, заходи, умови та сили захисту комерційної таємниці, функції підрозділів та посадових осіб із захисту комерційної таємниці; по-четверте, називає основні напрями контролю за дотриманням встановленого на підприємстві порядку захисту його комерційної таємниці; по-п’яте, визначає підстави та зміст відповідальності за порушення режиму захисту комерційної таємниці підприємства.
Інструкція про порядок підготовки, обліку, зберігання та знищення документів, справ, видань і матеріалів, що містять комерційну таємницю підприємства встановлює
1) обов’язки працівників підприємства, виконання трудової функції яких пов’язано з ознайомленням та роботою з комерційною таємницею;
2) порядок розробки документів і матеріалів, що містять комерційну таємницю;
3) порядок реєстрації документів і матеріалів, що містять комерційну таємницю;
4) порядок приймання та передачі документів та матеріалів, що містять комерційну таємницю;
5) порядок оформлення, адресування, пересилки та доставки таємної кореспонденції;
6) правила складання номенклатури справ і журналів обліку, групування виконаних таємних документів у справи;
7) правила використання документів і матеріалів, що містять комерційну таємницю;
8) правила знищення документів і матеріалів, що містять комерційну таємницю;
9) режим зберігання документів і матеріалів, що містять комерційну таємницю;
10)особливості захисту інформації, що містить комерційну таємницю, при використанні електронних засобів її обробки, передавання і зберігання та інших матеріальних носіїв інформації;
11)особливості захисту інформації, що містить комерційну таємницю, в процесі фінансово-господарської діяльності;
12)підстави та зміст відповідальності за втрату документів та матеріалів, що містять комерційну таємницю, та за розголошення таємних відомостей підприємства.
Перелічені нормативні документи підприємства визначають алгоритм дій працівника під час виконання ним трудових обов’язків, пов’язаних з використанням комерційно таємниці. Недотримання положень даних документів є підставою для притягнення працівників до юридичної відповідальності.
3. Організаційно-правові заходи захисту комерційної таємниці
Для того, щоб економічно важливі відомості мали статус саме комерційної таємниці, їх необхідно оформити відповідним чином.
Існування комерційної таємниці бажано обумовити в установчих документах підприємця, включивши, наприклад, в установчий договір й (або) статут підприємства розділ, що регламентує захист комерційної таємниці.
При формуванні переліку відомостей, що становлять комерційну таємницю підприємця, доцільно діяти в такий спосіб.
Насамперед, із усього переліку інформації, з якою працює підприємець і яка циркулює на підприємстві, необхідно виключити відомості, що становлять державну таємницю (якщо суб’єкт господарювання з такою працює), а також ту інформацію, що не є комерційною таємницею згідно постанови КМУ від 09.08.93 р. № 611.
Однозначно до складу комерційної таємниці повинні бути віднесені різні види ноу-хау; відомості про винаходи й рацпропозиції, які не захищені авторським або патентним правом; інформація про факти укладання договорів і їхній зміст.
Особливу увагу необхідно приділити розробці положення про комерційну таємницю на підприємстві. Таке положення є основним у системі правового захисту інформації від несанкціонованого доступу. У ньому розкриваються загальні положення у сфері захисту інформації, принципи й процедури розмежування доступу до такої інформації, порядок прийому, реєстрації, інвентаризації й обліку носіїв інформації, що містить комерційну таємницю. У такому положенні прописуються також механізм забезпечення схоронності інформації, що є комерційною таємницею, зокрема деталізуються процедури забезпечення доступу до комерційної таємниці сторонніх осіб (включаючи перевіряючі органи). Рекомендується закріплювати правило, згідно якого сторонні особи допускаються до ознайомлення з документами, що містять комерційну таємницю, з дозволу керівника при обов’язковій наявності письмового запиту. При цьому такі особи повинні видати розписку про нерозголошення комерційної таємниці або укласти угоду з підприємством про таке нерозголошення. У положенні рекомендується прописати порядок поширення комерційної таємниці, а також процедуру виключення інформації з переліку комерційної таємниці.
Рекомендується включати норму про нерозголошення комерційної таємниці в трудовий договір (контракт) як керівника підприємства, так й інших співробітників.
На керівника організації повинні бути покладені обов’язки по забезпеченню схоронності комерційної таємниці підприємця. У контракт керівника із власником підприємства доцільно включити відповідні положення з даного питання. Зокрема, необхідно зобов’язати керівника зберігати комерційну таємницю організації й не використовувати її для заняття будь-якою іншою діяльністю на шкоду підприємства. У контракті варто зазначити, що керівник організації несе персональну відповідальність за створення необхідних умов для забезпечення схоронності комерційної таємниці підприємства. Зрозуміло, що керівник підприємства, як і члени трудового колективу, повинен бути попереджений про відповідальність за порушення режиму комерційної таємниці й про те, що наслідками цього можуть стати настання передбаченої законом юридичної відповідальності й розірвання контракту.
Зобов’язання про нерозголошення інформації може бути оформлене як записом безпосередньо в тексті трудового договору (контракту), так й у вигляді окремого документа, що є додатком до трудового договору (контракту). Форма й зміст відповідного розділу трудового договору (контракту) або окремого додатка до нього в частині, що стосується збереження інформації, яка становить комерційну таємницю, мають велике значення. У випадку розголошення працівником інформації, що становись комерційну таємницю, ці документи складуть юридичну основу для залучення такого працівника до відповідальності й стягнення заподіяного збитку.
У договір (контракт) працівника, що допускається до комерційної таємниці підприємця, або в додаток до нього можуть бути включені такі зобов’язання
— не розголошувати інформацію, що становить комерційну таємницю, яка буде йому довірена або стане відома по роботі;
— виконувати вимоги наказів, інструкцій і положень по забезпеченню схоронності комерційної таємниці;
— зберігати інформацію, що становить комерційну таємницю тих підприємців, з якими є ділові відносини;
— не передавати третім особам і не розкривати привселюдно інформацію, яка становить комерційну таємницю, без згоди керівництва підприємства;
— у випадку спроби сторонніх осіб одержати від працівника інформацію, що становить комерційну таємницю підприємства, негайно сповістити про це відповідну посадову особу;
— не використовувати інформацію, що становить комерційну таємницю підприємства, для заняття іншою діяльністю, яка як конкурентна дія може завдати шкоди підприємства;
— негайно повідомляти відповідну посадову особу підприємства про втрату або недостачу носіїв інформації, що становить комерційну таємницю, ключів від режимних приміщень, сховищ, сейфів, особистих печаток і про інші факти, які можуть привести до розголошення комерційної таємниці, а також про причини й умови можливого витоку інформації, що становить комерційну таємницю підприємства;
— у випадку звільнення всі носії інформації, що становить комерційну таємницю, які перебували в розпорядженні працівника у зв’язку з виконанням ним службових обов’язків під час роботи на підприємстві, передати відповідній посадовій особі організації.
Працівник під розписку повинен бути попереджений про відповідальність за невиконання взятих на себе зобов’язань. У трудовому договорі (контракті) або його невід’ємної частини (зобов’язанні про нерозголошення інформації, що становить комерційну таємницю) варто передбачити порядок ознайомлення працівника з діючими на підприємстві положеннями й інструкціями із забезпечення схоронності комерційної таємниці.
На підприємстві варто розробити спеціальний договір про збереження комерційної таємниці. Дотримання даної рекомендації дозволить представникам підприємця почувати себе впевнено при проведенні перевірок контролюючими органами. Перевіряючі повинні будуть дотриматися всіх процедур, які встановлені на підприємстві для одержання доступу до комерційної таємниці. І природно, підписавши документ про нерозголошення комерційної таємниці, такі особи не мають права використати отриману інформацію у своїй діяльності без згоди керівництва підприємства.
Правила внутрішнього розпорядку й посадові інструкції осіб, що працюють із комерційною таємницею, а також інструкції про ведення переговорів, інструкції про роботу з документами також повинні містити застереження про комерційну таємницю.
Можлива й розробка окремої інструкції з дотримання режиму нерозголошення комерційної таємниці співробітниками підприємця. Комбінація зазначених вище документів, що закріплюють комерційну таємницю підприємця, може бути різною залежно від роду діяльності й характеру «таємності» підприємства.
Слід звернути увагу на те, що правові засади захисту комерційної таємниці від актів недобросовісної конкуренції передбачені ст. 36 ГК Украли та деталізуються у ст. 16-19 Закону України «Про захист від недобросовісної конкуренції (далі — Закон). У вказаних статтях Закону дається відповідно кваліфікація
1)неправомірного збирання комерційної таємниці (ст. 16),
2)розголошення комерційної таємниці (ст. 17),
3)схилення до розголошення комерційної таємниці (ст. 18),
4)неправомірного використанням комерційної таємниці (ст. 19). У даних нормативно-правових актах встановлюється підстава
для юридичної відповідальності особи, яка посягає на комерційну таємницю, а саме склад юридичного правопорушення. Юридична відповідальність є засобом захисту комерційної таємниці, який носить каральний (адміністративна) чи компенсаційний характер (цивільно-правова), але практика підказує, що такий підхід є неефективним, оскільки засоби захисту комерційної таємниці підприємства мають виконувати превентивну функцію.
Юридичні особи, винні у скоєнні вищевказаних актах недобросовісної конкуренції несуть відповідальність у вигляді штрафу у розмірі до двох тисяч неоподатковуваних мінімумів доходів громадян, що накладаються на них Антимонопольним комітетом України, його територіальними відділеннями (ст. 22 Закону). Громадяни, вину у вчиненні названих правопорушень яких доведено і які займаються підприємницькою діяльністю без створення юридичної особи, несуть також адміністративну відповідальність. Стягнення за вказані правопорушення визначені ч. З ст. 164-3 Кодексу України про адміністративні правопорушення — це штраф від п’яти до дев’яти неоподатковуваних мінімумів доходів громадян, відповідно до ст. 23 Закону адміністративну відповідальність несуть також особи, які не є підприємцями і вчинили порушення комерційної таємниці в інтересах третіх осіб.
Крім того, Кримінальний кодекс України містить дві статті, які визначають кримінальну відповідальність за посягання на комерційну таємницю ст. 231 «Незаконне збирання з метою використання або використання відомостей, що становлять комерційну або банківську таємницю» і ст. 232 «Розголошення комерційної або банківської таємниці».
4. Правові засади захисту комерційної таємниці в трудових відносинах
Аналіз чинного законодавства дає підстави стверджувати, що законодавець, визначаючи засоби захисту комерційної таємниці, застосовує два підходи
1)абсолютного захисту, що захищає комерційну таємницю як об’єкт інтелектуальної власності від посягань будь-яких третіх осіб,
2)відносного захисту, що передбачає захист не легкодоступної та не загальновідомої комерційної інформації, щодо якої вжито заходів збереження її таємності, від актів недобросовісної конкуренції.
Саме такою концепцією слід керуватись для побудови системи інформаційної безпеки на підприємстві. Звичайно, маємо доволі незвичний об’єкт захисту — об’єкт інтелектуальної власності з обмеженим доступом Поряд із цим неможливо не помітити переваг, які випливають з дуалістичної природи комерційної таємниці, а саме комплексності та всебічності її захисту, що випливає з наступного
захист комерційної таємниці як інформації з обмеженим доступом забезпечується за допомогою встановлення і реалізації режиму таємності (ст. ЗО Закону «Про інформацію»),
захист комерційної таємниці як об’єкта інтелектуальної власності здійснюється судом з використанням спеціальних правових засобів, в тому числі і оприлюднення в засобах масової інформації факту посягання на комерційну таємницю та розміщення в друкованому офіційному виданні відповідного судового рішення (ст. 432 ЦК України),
різнорідність суб’єктів посягання на комерційну таємницю
а) конкуренти підприємства суб’єкта господарювання або особи, які їм допомагають (ст. 16 «Неправомірне збирання комерційної таємниці», ст. 18 «Схилення до розголошення комерційної таємниці», ст. 19 «Неправомірне використання комерційної таємниці» Закону України «Про захист від недобросовісної конкуренції»,ч. 2, 4, 5 ст. 36 «Неправомірне збирання, розголошення та використання відомостей, що є комерційною таємницею» Господарського кодексу України, ч. З ст. 164-3 «Недобросовісна конкуренція» Кодексу України про адміністративні правопорушення, ст.231 «Незаконне збирання з метою використання або використання відомостей, що становлять комерційну або банківську таємницю» Кримінального кодексу України,
б) особи, яким комерційна таємниця відома на законних підставах (ст. 17 «Розголошення комерційної таємниці», ч. З ст. 36 Господарського кодексу України, ст. 232 «Розголошення комерційної або банківської таємниці» Кримінального кодексу України,
ч. З ст. 164-3 «Недобросовісна конкуренція» Кодексу України про адміністративні правопорушення,
в) суб’єкти промислового шпигунства (ст. 231 «Незаконне збирання з метою використання або використання відомостей, що становлять комерційну або банківську таємницю» Кримінального кодексу України).
Очевидно, що коли йдеться про працівників підприємства, то в більшості випадків ми маємо на увазі потенційних суб’єктів посягання, яких віднесено до другої групи.
Умови, за яких працівник буде вважатися таким, якому комерційна таємниця відома на законних підставах, полягають у наступному
а) працівник є керівником підприємства або виконуючим обов’язки керівника підприємства. В такому разі йому на підставі статуту належить бути обізнаним в інформації з обмеженим доступом,
б) працівник створив на підставі трудового договору інформацію, яка є комерційною таємницею підприємства;
в) виконання трудових обов’язків працівника вимагає його обізнаності в інформації з обмеженим доступом (з певного питання, в частині або в цілому), виходячи з чого його допущено до комерційної таємниці, про що є розпорядження керівника підприємства, а від працівника отримано зобов’язання про нерозголошення комерційної таємниці.
Поряд з цим не потрібно забувати, що працівник може стати потенційним конкурентом або вже бути таким в силу володіння корпоративними правами конкуруючого підприємства. Можлива також і ситуація, коли працівник не має допуску до комерційної таємниці, але є зацікавленим в тому, щоб отримати в будь-який спосіб інформацію, яка її становить.
У будь-якому випадку система захисту комерційної таємниці в трудових правовідносинах повинна бути спрямована на наступне
1) щоб працівники, яким довірено комерційну таємницю, не розголошували її третім особам;
2) щоб працівники, яким не довірено комерційну таємницю, але відомо про її існування, не збирали її з метою неправомірного використання.
На підставі чинного трудового (ч. З ст. 21 «Трудовий договір» та 142 «Правила внутрішнього трудового розпорядку, статути і положення про дисципліну» КЗпП України) та цивільного (п. З ст. З «Засади цивільного законодавства» (свобода договору) ЦК України) законодавства підприємство може розробити рорматив-но-правові документи щодо оформлення обов’язків працівників не розголошувати комерційну таємницю підприємства. В них, як зазначалося, зокрема, може бути передбачено
1)внесення відповідних умов до контракту, правил внутрішнього трудового розпорядку;
2)отримання від працівника письмового зобов’язання щодо дотримання в таємниці відомостей підприємства, які мають обмежений доступ;
3)письмове попередження про те, що недотримання режиму комерційної таємниці може мати наслідком звільнення працівника;
4)отримання від працівника зобов’язання про дотримання в таємниці відомостей підприємства, що мають обмежений доступ після його звільнення з роботи;
5) надання працівнику пам’ятки про дотримання режиму інформації з обмеженим доступом.
Крім того, при укладенні з працівником особливої форми трудового договору — контракту — можна передбачити обов’язок працівника дотримуватись режиму обмеженого доступу до комерційної таємниці, а головне — його відповідальність за порушення цього обов’язку. Така відповідальність може носити матеріальний характер і виражатись у дисциплінарних стягненнях, наприклад, звільнення з посади.
5. Поняття та зміст банківської таємниці
Питання лекції
1.Правова природа банківської таємниці. Поняття та зміст банківської таємниці.
2.Особливості розкриття банківської таємниці.
3.Особливості юридичної відповідальності у сфері обігу банківської таємниці.
Стаття ЗО Закону України «Про інформацію» від 2 жовтня 1992 року визначає, що громадяни, юридичні особи, які володіють інформацією професійного, ділового, виробничого, банківського, комерційного та іншого характеру, одержаною на власні кошти, або такою, яка є предметом їх професійного, ділового, виробничого, банківського, комерційного та іншого інтересу і не порушує передбаченої законом таємниці, самостійно визначають режим доступу до неї, включаючи належність її до категорії
конфіденційної, та встановлюють для неї систему (способи) захисту.
Інститут банківської таємниці в українському праві з’явився порівняно недавно, а його поява, як, свого часу, і у більшості розвинутих країн світу, була зумовлена, в першу чергу, стрімким розвитком економічних відносин у суспільстві, природними процесами становлення і розвитку банківської системи України, які тривають з початку 90-х років по сьогоднішній день.
Правовий інститут банківської таємниці є обов’язковим атрибутом правової системи будь-якої економічно розвинутої країни. Наявність його є не тільки обов’язковою державною гарантією для забезпечення свободи та недоторканості особистого життя громадян, проголошеної як конституціями більшості демократичних країн світу, так і міжнародними договорами. Забезпечення інформації режимом банківської таємниці в країні є одним із необхідних атрибутів для збереження захисту колективних економічних інтересів осіб, що провадять діяльність у сфері бізнесу через правовий інститут юридичних осіб.
Незважаючи на те, що положення щодо правового захисту банківської таємниці містяться, за деякими виключеннями, в правових системах кожної країни, зміст правового інституту, різниться у кожній державі.
У одних державах (наприклад Сполучені Штати Америки) правовий захист банківської таємниці носить здебільшого декларативний характер, в інших (Швейцарська конфедерація) — являє собою сукупність взаємопов’язаних правових механізмів, які з одного боку, дозволяють забезпечити запобігання розголошенню та неправомірному використанню банківської таємниці, а з іншого надають достатні можливості працівникам правоохоронних органів для виявлення, попередження та присікання злочинних діянь, пов’язаних з відмиванням «брудних» грошей. Таку ситуацію зумовлюють по-перше, особливості економічної доктрини держави, а по-друге, історія формування нормативної бази, що стосується правового захисту інформації з обмеженим доступом.
Історія формування правового інституту банківської таємниці (у сучасному її розумінні) в Україні є порівняно короткою і розпочинає свій відлік від прийняття першої редакції Закону України «Про банки і банківську діяльність».
Правовий режим банківської таємниці детально регламентується у Цивільному кодексі України і Законі України «Про банки і банківську діяльність».
У даній лекції розглянуто саме правовий статус банківської таємниці та організаційно-правові основи її захисту.
1. Правова природа банківської таємниці. Поняття та зміст банківської таємниці
Цивільний кодекс України від 16 січня 2003 року у ст. 1076 визначає, що «банк гарантує таємницю банківського рахунку, операцій за рахунком і відомостей про клієнта.
Відомості про операції та рахунки можуть бути надані тільки самим клієнтам або їхнім представникам. Іншим особам, у тому числі органам державної влади, їхнім посадовим і службовим особам, такі відомості можуть бути надані виключно у випадках та в порядку, встановлених законом про банки і банківську діяльність.
У разі розголошення банком відомостей, що становлять банківську таємницю, клієнт має право вимагати від банку відшкодування завданих збитків та моральної шкоди».
Глава 10 Закону України «Про банки і банківську діяльність» має назву «Банківська таємниця та конфіденційність інформації».
Стаття 60 даного Закону визначає, що «Інформація щодо діяльності та фінансового стану клієнта, яка стала відомою банку у процесі обслуговування клієнта та взаємовідносин з ним чи третім особам при наданні послуг банку і розголошення якої може завдати матеріальної чи моральної шкоди клієнту, є банківською таємницею.
Банківською таємницею, зокрема, є
1)відомості про стан рахунків клієнтів, у тому числі стан кореспондентських рахунків банків у Національному банку України;
2)операції, які були проведені на користь чи за дорученням клієнта, здійснені ним угоди;
3)фінансово-економічний стан клієнтів;
4)системи охорони банку та клієнтів;
5)інформація про організаційно-правову структуру юридичної особи — клієнта, її керівників, напрями діяльності;
6)відомості стосовно комерційної діяльності клієнтів чи комерційної таємниці, будь-якого проекту, винаходів, зразків продукції та інша комерційна інформація;
7)інформація щодо звітності по окремому банку, за винятком тієї, що підлягає опублікуванню;
8) коди, що використовуються банками для захисту інформації. Інформація про банки чи клієнтів, що збирається під час про- ведення банківського нагляду, становить банківську таємницю.
Положення зазначеної статті не поширюються на узагальнену по банках інформацію, яка підлягає опублікуванню. Перелік інформації, що підлягає обов’язковому опублікуванню, встановлюється Національним банком України та додатково самим банком на його розсуд.
Національний банк України видає нормативно-правові акти з питань зберігання, захисту, використання та розкриття інформації, що становить банківську таємницю, та надає роз’яснення щодо застосування таких актів.
Стаття 61 Закону України «Про банки і банківську діяльність» визначає зобов’язання щодо збереження банківської таємниці.
Так, банки зобов’язані забезпечити збереження банківської таємниці шляхом
1)обмеження кола осіб, що мають, доступ до інформації, яка становить банківську таємницю;
2)організації спеціального діловодства з документами, що містять банківську таємницю;
3)застосування технічних засобів для запобігання несанкціонованому доступу до електронних та інших носіїв інформації;
4)застосування застережень щодо збереження банківської таємниці та відповідальності за її розголошення у договорах і угодах між банком і клієнтом.
Службовці банку при вступі на посаду підписують зобов’язання щодо збереження банківської таємниці. Керівники та службовці банків зобов’язані не розголошувати та не використовувати з вигодою для себе чи для третіх осіб конфіденційну інформацію, яка стала відома їм при виконанні своїх службових обов’язків.
Приватні особи та організації, які при виконанні своїх функцій або наданні послуг банку безпосередньо чи опосередковано отримали конфіденційну інформацію, зобов’язані не розголошувати цю інформацію і не використовувати її на свою користь чи на користь третіх осіб.
У разі заподіяння банку чи його клієнту збитків шляхом витоку інформації про банки та їх клієнтів з органів, які уповноважені здійснювати банківський нагляд, збитки відшкодовуються винними органами.
Поняття «банківська таємниця» має вивчатись і практично реалізовуватись саме через категорію інформації, яка, на думку багатьох науковців, є об’єктом цивільних прав (законодавцем інформація прямо віднесена до об’єктів цивільних прав в Цивільному кодексі України). Тобто, сама банківська таємниця являє собою особливий вид банківської інформації, яка в процесі співпраці між суб’єктами певних правовідносин набуває матеріальної (задокументованої) форми та трансформується в банківську таємницю, власником якої є клієнт, а володільцем — кредитна установа.
На сучасному етапі, банківська таємниця в Росії регулюється практично так само, як і в Україні, а існуючі певні відмінності вказують на більш досконале встановлення цього режиму саме в нашій країні. Правовій охороні банківської таємниці в країнах із розвиненою банківською системою приділяється значно більша увага порівняно з Україною. Так, наприклад, в Швейцарії, Австрії, Люксембурзі захист банківської інформації є найбільш важливим завданням правового регулювання банківської сфери. Особливий інтерес викликає і спосіб регулювання банківської таємниці в СІЛА, країні, в якій існує спеціальний закон про банківську таємницю. Однак, при наявності конкуренції норм інституту банківської таємниці із нормами законів про відмивання капіталів, боротьбу з тероризмом, незаконним обігом наркотиків тощо, пріоритет надається використанню саме останніх норм, адже фінансовим органам США законодавством надані широкі повноваження у поєднанні з жорстокими механізмами боротьби з відмиванням коштів, отриманих злочинним шляхом.
2. Особливості розкриття банківської таємниці
Режим захисту банківської таємниці насамперед можна визначати через можливість розкриття відомостей, що становлять банківську таємницю, перед сторонніми суб’єктами — не власниками такої інформації.
Законодавство переважної більшості країн світу декларує певну гарантію захисту інформації, що містить банківську таємницю. Однак велике значення мають не декларативні гарантії, а конкретні правові механізми їх застосування.
Так, в більшості країн світу підставою для розкриття інформації віднесеної до банківської таємниці, є відповідний запит судового органу. В США прийнятий в 1970 році Закон про банківську таємницю передбачає надання допомоги в кримінальному, податковому і адміністративному розслідуванні і процесах у формі витребування бухгалтерських книг і надання інформації про деякі банківські угоди. Аналогічні процедури встановлені законодавством Англії, Німеччини, Франції і більшості інших країн світу.
Крім того, правовий режим банківської таємниці останнім часом зазнає значних змін внаслідок прийняття багатьма країнами законів про боротьбу з легалізацією тіньових капіталів, боротьбу з тероризмом та розповсюдженням наркотиків, внаслідок чого в більшості країн з розвиненою банківською системою введена функція фінансового моніторингу сумнівних операцій. На практиці це означає, що банківська установа має самостійно передавати до уповноваженого органу визначені законом відомості про операцію, яка має ознаки сумнівної, тобто банки зобов’язуються розкривати відомості охоплені режимом банківської таємниці.
Стаття 62 Закону України «Про банки і банківську діяльність» визначає порядок розкриття банківської таємниці.
Інформація щодо юридичних та фізичних осіб, яка містить банківську таємницю, розкривається банками
1) на письмовий запит або з письмового дозволу власника такої інформації;
2) на письмову вимогу суду або за рішенням суду;
3) органам прокуратури України, Служби безпеки України, Міністерства внутрішніх справ України, Антимонопольного комітету України — на їх письмову вимогу стосовно операцій за рахунками конкретної юридичної особи або фізичної особи — суб’єкта підприємницької діяльності за конкретний проміжок часу;
4)органам Державної податкової служби України на їх письмову вимогу з питань оподаткування або валютного контролю стосовно операцій за рахунками конкретної юридичної особи або фізичної особи — суб’єкта підприємницької діяльності за конкретний проміжок часу;
5)спеціально уповноваженому органу виконавчої влади з питань фінансового моніторингу на його письмову вимогу стосовно додаткової інформації про фінансову операцію, що стала об’єктом фінансового моніторингу;
6)органам державної виконавчої служби на їх письмову вимогу з питань виконання рішень судів стосовно стану рахунків конкретної юридичної особи або фізичної особи — суб’єкта підприємницької діяльності.
Вимога відповідного державного органу на отримання інформації, яка містить банківську таємницю, повинна
1)бути викладена на бланку державного органу встановленої форми;
2)бути надана за підписом керівника державного органу (чи його заступника), скріпленого гербовою печаткою;
3)містити передбачені цим законом підстави для отримання цієї інформації;
4)містити посилання на норми закону, відповідно до яких державний орган має право на отримання такої інформації.
Довідки по рахунках (вкладах) у разі смерті їх власників надаються банком особам, зазначеним власником рахунку (вкладу) в заповідальному розпорядженні банку, державним нотаріальним конторам або приватним нотаріусам, іноземним консульським установам по справах спадщини за рахунками (вкладами) померлих власників рахунків (вкладів).
Банку забороняється надавати інформацію про клієнтів іншого банку, навіть якщо їх імена зазначені у документах, угодах та операціях клієнта.
Банк має право надавати загальну інформацію, що становить банківську таємницю, іншим банкам в обсягах, необхідних при наданні кредитів, банківських гарантій.
Обмеження стосовно отримання інформації, що містить банківську таємницю, передбачені статтею 62 Закону України «Про банки і банківську діяльність», не поширюються на службовців Національного банку України або уповноважених ними осіб, які в межах повноважень, наданих Законом України «Про Національний банк України», здійснюють функції банківського нагляду або валютного контролю.
Національний банк України відповідно до міжнародного договору України або за принципом взаємності має право надати інформацію, отриману при здійсненні нагляду за діяльністю банків, органу банківського нагляду іншої держави, якщо є гарантії того, що надана інформація буде використана виключно з метою банківського нагляду або запобігання легалізації (відмиванню) доходів, одержаних злочинним шляхом, чи фінансуванню тероризму.
Положення статті 62 Закону України «Про банки і банківську діяльність» не поширюються на випадки надання спеціально уповноваженому органу виконавчої влади з питань фінансового моніторингу інформації про фінансові операції у випадках, передбаче них законом.
Особи, винні в порушенні порядку розкриття та використання банківської таємниці, несуть відповідальність згідно із законами України.
Зазначимо, що питання розкриття банківської таємниці є доволі дискусійним і було, і є предметом розгляду багатьох державних органів. Так, Верховний Суд України у листі № 5-16н245 від 28.05.2001 р. повідомляв, що відповідно до п. З ст. 62 Закону України від 07.12.2000 р. «Про банки і банківську діяльність» (стара редакція) інформація щодо діяльності та фінансового стану юридичних і фізичних осіб, яка становить банківську таємницю, розкривається органам Міністерства внутрішніх справ України на їх письмову вимогу, а не за рішенням суду.
Лист Комітету Верховної Ради України з питань фінансів і банківської діяльності № 06-10/678 від 19.11.2001 р. містив наступні положення щодо деяких аспектів розкриття банківськими установами за власною ініціативою банківської таємниці і повідомляє.
Відповідно до ст. 64 Закону України «Про банки і банківську діяльність» установи банків зобов’язані ідентифікувати клієнтів, які здійснюють значні та сумнівні операції, та за власною ініціативою без відповідного запиту надавати інформацію щодо ідентифікованих осіб спеціальним органам по боротьбі з організованою злочинністю.
Значними операціями з готівковими коштами відповідно до частини третьої ст. 64 Закону України «Про банки і банківську діяльність» є угоди з готівкою на суми, що перевищують еквівалент 10000 євро за офіційним курсом гривні до іноземної валюти, встановленим Національним банком України.
Оскільки відповідно до п. 78 Інструкції Національного банку України № 1 з організації емісійно-касової роботи в установах банків України видача готівки з кас банків відбувається на підставі грошових чеків або видаткових касових ордерів, то у випадку отримання готівкових коштів з кас банків під операцією з готівкою на суму, що перевищує еквівалент 10000 євро за офіційним курсом гривні до іноземної валюти, встановленим Національним банком України, мається на увазі отримання готівки на суму, що перевищує зазначений еквівалент, на підставі одного грошового чека або видаткового касового ордеру. А відповідно до п. 4.18 Інструкції Національного банку України про організацію роботи з готівкового обігу установами банків України цільове призначення готівки, яку одержують підприємства (підприємці) зі своїх поточних рахунків, має зазначатися ними в грошовому чеку з чітким формулюванням суті операцій, що будуть здійснюватися. Згідно з частиною п’ятою ст. 64 Закону України «Про банки і банківську діяльність» ідентифікації та відповідно наступному повідомленню щодо ідентифікованих осіб відповідних органів по боротьбі з організованою злочинністю підлягають також особи, які здійснюють розрахунки за угодами на суму нижчу, ніж передбачено для значних операцій, якщо така угода явно пов’язана з іншою угодою і загальна сума оплати за цими угодами перевищує встановлену межу.
Отже, якщо клієнт банківської установи отримує готівкові кошти протягом одного операційного дня за різними грошовими чеками і загальна сума за такими чеками складає понад еквівалент 10000 євро, то у випадку застосування цих коштів для розрахунків за угодами, що явно не пов’язані одна з одною, тобто при розрахунках з різними контрагентами або для витрат у різних цілях, здійснення повідомлення органів по боротьбі з організованою злочинністю про осіб, ідентифікованих за такими операціями, не потрібне.
Щодо віднесення операцій з отримання готівкових коштів до сумнівних операцій, то частиною четвертою ст. 64 Закону України «Про банки і банківську діяльність» передбачено перелік ознак таких операцій, до яких відноситься
1)здійснення операцій за незвичних або невиправдано заплутаних умов;
2)операція не є економічно виправданою або суперечить законодавству України. Даний перелік є вичерпним та не підлягає розширеному тлумаченню.
Таким чином, зняття клієнтом банку готівкових коштів зі свого рахунку, якщо така операція не містить вищевказаних ознак, є звичною для клієнта та проводиться ним постійно, відповідає характеру його діяльності тощо, не може бути кваліфіковане як сумнівне з наступним повідомленням про нього спеціальних органів по боротьбі з організованою злочинністю без наявності оформленого відповідно до вимог діючого законодавства залиту.
Управління методологічного та нормативно-організаційного забезпечення фінансового моніторингу Національного банку України у листі від 04.01.2005 № 48-016/3-7 щодо забезпечення інспекторам Національного банку України вільного доступу до усіх документів банку та отримання ними інформації, що містить банківську таємницю повідомляє наступне.
Згідно вимог статті 63 Закону України «Про банки і банківську діяльність» Національний банк України зобов’язаний при здійсненні банківського нагляду не рідше одного разу на рік проводити перевірки банків з питань дотримання ними законодавства, яке регулює відносини у сфері запобігання легалізації доходів, одержаних злочинним шляхом.
Проведення таких перевірок здійснюється в межах проведення комплексного інспектування банків, на підставі окремого плану, а також у разі прийняття Головою Національного банку України або уповноваженою ним особою рішення про проведення позапланової перевірки.
Під час проведення таких перевірок, на виконання вимог частини четвертої статті 71 Закону України «Про банки і банківську діяльність», банки зобов’язані забезпечити інспекторам Національного банку України та іншим уповноваженим ним особам вільний доступ до всіх документів та інформації, а при перевірці на місці — можливість вільного доступу в робочий час у всі приміщення банку. Вичерпний перелік осіб, уповноважених на проведення перевірки банківської установи, зазначається у посвідченні (розпорядженні) на проведення перевірки. До цього переліку входять як особи, що безпосередньо здійснюють перевірку банківської установи, так і особи, що залучаються до перевірки у якості консультантів.
У зв’язку з цим банки зобов’язані забезпечити особам, зазначеним у посвідченні (розпорядженні) на проведення перевірки, на їх першу вимогу (письмову або усну), вільний доступ до усіх документів, які стосуються діяльності банку. При цьому, з огляду на те, що ряд документів у банках формується та ведеться в електронному вигляді, банки мають забезпечити інспекторам Національного банку України та іншим уповноваженим ним особам вільний доступ до цих документів у форматі та режимі їх ведення.
Відповідно до частини 8 статті 62 Закону України «Про банки і банківську діяльність» обмеження стосовно отримання інформації, що містить банківську таємницю, передбачені цією статтею, не поширюються на службовців Національного банку України або уповноважених ними осіб, які в межах повноважень, наданих Законом України «Про Національний банк України», здійснюють функції банківського нагляду або валютного контролю.
Пунктом 4.1 Положення про планування та порядок проведення інспекційних перевірок, затвердженого постановою Правління Національного банку України від 17 липня 2001 року № 276, визначено право інспектора Національного банку України безоплатно одержувати від об’єкта перевірки інформацію щодо його діяльності та пояснення (у тому числі письмові) з окремих питань діяльності, а також вимагати від об’єктів перевірки будь-якої інформації, необхідної для здійснення перевірки.
При цьому інформацією, відповідно до законодавства України (стаття 1 Закону України «Про інформацію»), є документовані або публічно оголошені відомості.
Враховуючи викладене, банківською установою, що перевіряється, має бути забезпечено надання на вимогу інспектора (письмову або усну) документів або їх копій, завірених банківською установою, та пояснень (у т. ч. письмових) з питань, що перевіряються.
Надання інспектору Національного банку України чи уповноваженій ним особі документів або їх копій, що містять банківську таємницю, які долучаються інспектором до матеріалів перевірки, рекомендуємо здійснювати шляхом формування відповідного реєстру, який підписується інспектором (уповноваженою ним особою) та представником банку, призначеним керівництвом банку на виконання частини п’ятої статті 71 Закону України «Про банки і банківську діяльність». При цьому примірник такого реєстру передається інспектору (уповноваженій ним особі) одночасно із документами або їх копіями, що містять банківську таємницю.
Незабезпечення банком вільного доступу інспекторів Національного банку України та інших уповноважених ним осіб до визначених ними документів банку (у тому числі електронних) та/або ненадання на вимогу працівника Національного банку України, який приймає участь у перевірці установи банку документів, або їх копій, завірених установою, є порушенням норм Закону України «Про банки і банківську діяльність» і тягне за собою відповідальність, встановлену законами України.
Департамент з питань запобігання використанню банківської системи для легалізації кримінальних доходів та фінансування тероризму Національного банку України у листі від 19.04.2005 р. № 48-012/275-3973 щодо розкриття банківської таємниці за рішенням суду повідомив наступне.
У зв’язку із зверненнями правоохоронних органів та банків щодо порядку та обсягів розкриття банками інформації, що становить банківську таємницю, за рішенням суду та використовуючи закріплені у пункті 1 статті 66 Закону України «Про банки і банківську діяльність» повноваження щодо адміністративного регулювання діяльності банків.
Згідно положень статті 1076 Цивільного кодексу України та статті 60 Закону України «Про банки і банківську діяльність» будь-яка інформація, що стосується клієнта, якою банк володіє на законних підставах, є банківською таємницею (за винятком, якщо така інформація становить державну таємницю).
У відповідності до пункту 1 статті 1076 Цивільного кодексу України, відомості, що складають банківську таємницю, можуть бути надані банком органам державної влади та їх посадовим особам виключно у випадках та в порядку, встановлених законом про банки і банківську діяльність.
Як зазначалося вище, стаття 62 (Порядок розкриття банківської таємниці) Закону України «Про банки і банківську діяльність» передбачає декілька випадків розкриття банками інформації, що становить банківську таємницю, у повному обсязі, а саме
— на письмовий запит або з письмового дозволу власника такої інформації (клієнта банку);
— на письмову вимогу суду або за рішенням суду;
— службовцям Національного банку України або уповноваженим ними особам, які в межах повноважень, наданих Законом
України «Про Національний банк України», здійснюють функції банківського нагляду або валютного контролю.
Письмова вимога суду щодо надання інформації, яка містить банківську таємницю, має відповідати нормам частини 2 статті 62 Закону України «Про банки і банківську діяльність».
Рішення суду, що набрали законної сили, відповідно до норм статті 124 Конституції України та статті 11 Закону України «Про судоустрій України», є обов’язковими для виконання на всій території України.
Умисне невиконання рішення (постанови, ухвали) суду тягне за собою кримінальну відповідальність, встановлену статтею 382 Кримінального кодексу України.
Законодавством не передбачено здійснення виконавчого провадження щодо судових рішень про розкриття банками інформації, яка містить банківську таємницю. Водночас нормами нової редакції Цивільного процесуального кодексу України (набрав чинності одночасно з набранням чинності Адміністративним процесуальним кодексом України — з 1 вересня 2005 року) передбачено, що рішення суду щодо розкриття банком інформації, яка містить банківську таємницю, підлягає негайному виконанню. Оскарження такого рішення не зупиняє його виконання.
На підставі викладеного у разі надходження до банку (отримання банком) рішення (ухвали, постанови) суду щодо розкриття інформації, яка містить банківську таємницю, щодо зазначеного у рішенні клієнта (клієнтів), рекомендується вжити заходів щодо негайного виконання такого рішення суду.
Якщо у рішенні суду не визначено порядку та/або форми надання такої інформації, рекомендується узгоджувати ці питання з особою, якій згідно рішення суду має бути розкрита інформація, що містить банківську таємницю.
3. Особливості юридичної відповідальності у сфері обігу банківської таємниці
Стаття 231 Кримінального кодексу України була змінена Законом України «Про внесення змін до деяких законодавчих актів України щодо відповідальності за незаконне збирання з метою використання або використання відомостей, що становлять банківську таємницю, та за розголошення банківської таємниці» від 16 грудня 2004 року № 2252-ГУ і відповідно до даного закону отримала назву «Незаконне збирання з метою використання або використання відомостей, що становлять комерційну або банківську таємницю»
Встановлено, що «Умисні дії, спрямовані на отримання відомостей, що становлять комерційну або банківську таємницю, з метою розголошення чи іншого використання цих відомостей, а також незаконне використання таких відомостей, якщо це спричинило істотну шкоду суб’єкту господарської діяльності, — караються штрафом від двохсот до тисячі неоподатковуваних мінімумів доходів громадян або обмеженням волі на строк до п’яти років, або позбавленням волі на строк до трьох років».
Тим же законом було змінено статтю 232. «Розголошення комерційної або банківської таємниці»
«Умисне розголошення комерційної або банківської таємниці без згоди її власника особою, якій ця таємниця відома у зв’язку з професійною або службовою діяльністю, якщо воно вчинене з корисливих чи інших особистих мотивів і завдало істотної шкоди суб’єкту господарської діяльності, — карається штрафом від двохсот до п’ятисот неоподатковуваних мінімумів доходів громадян з позбавленням права обіймати певні посади чи займатися певною діяльністю на строк до трьох років, або виправними роботами на строк до двох років, або позбавленням волі на той самий строк «.
Крім того, розголошення банківської таємниці може тягнути і більш «м’які» види юридичної відповідальності, зокрема дисциплінарну, матеріальну, цивільну, господарсько-правову тощо.
Так, зокрема наприклад, стаття 45 Закону України «Про банки і банківську діяльність» визначає, що працівники служби внутрішнього аудиту при призначенні на посаду дають письмове зобов’язання про нерозголошення інформації щодо діяльності банку та збереження банківської таємниці відповідно до вимог глави 10 зазначеного Закону.
Положення про порядок накладення адміністративних штрафів, затверджене Постановою Правління Національного банку України від 29.12.2001 р. № 563, зареєстроване в Міністерстві юстиції України 25 січня 2002 р. за № 62/6350 визначає особливості адміністративної відповідальності за розголошення або використання інформації, що становить банківську таємницю.
Так, п. 2.2. Положення визначає, що «Національний банк вживає заходів щодо притягнення до адміністративної відповідальності за допущення порушень
…у разі незаконного розголошення або використання інформації, що становить банківську таємницю».
Пунктом 2.3. Положення передбачено, що «штраф накладається
…на осіб, які незаконно розголосили або використали інформацію, що становить банківську таємницю, яким ця інформація стала відома у зв’язку з виконанням професійних чи службових обов’язків.
Штрафи на осіб, зазначених у цьому пункті, накладаються, якщо виявлене порушення є наслідком їх особистих дій або бездіяльності».
Загалом, суб’єктом адміністративно-правових проступків в галузі застосування режимів банківської таємниці може бути лише фізична особа, якій інформація, що становить банківську таємницю стала відома у зв’язку з виконанням нею своїх професійних чи службових обов’язків.
Об’єктом проступку є встановлений порядок здійснення господарської діяльності в частині забезпечення чесної конкуренції між її суб’єктами, а також реалізація конституційного права на захист особистої таємниці. Неправомірне розголошення і використання в своїй діяльності інформації, що належить іншим суб’єктам та відноситься до банківської таємниці, має наслідки отримання безпідставних переваг певними юридичними або фізичними особами, які отримали цю інформацію, веде до знищення стимулів для розвитку і вдосконалення форм і способів економічної діяльності, завдає прямої шкоди власникам банківської таємниці.
Об’єктивна сторона проступку характеризується незаконним розголошенням або використанням інформації, що становить банківську таємницю. Суб’єктивна сторона проступку характеризується умислом.
Разом з тим, чинне законодавство не передбачає накладення будь-яких фінансово-правових санкцій за порушення банківської таємниці. Не передбачена в законі і можливість позбавлення ліцензії банку за вчинення подібного правопорушення.
Банківська таємниця є одним із видів інформації з обмеженим доступом. її правовий статус визначений як на законодавчому рівні, так і на рівні підзаконних нормативно-правових актів.
На сьогодні правовий режим захисту такої інформації у значній мірі визначається відомчим нормотворенням Національного банку України щодо регулювання банківської діяльності в Україні. Окремі положення щодо обігу інформації, що становить банківську таємницю, містяться зокрема у таких нормативних документах Національного банку України
— Правила організації захисту електронних банківських документів в установах, включених до інформаційно-обчислювальної мережі Національного банку України, затверджені Постановою Правління Національного банку України 10.06.99 № 280;
— Положення про філії (територіальні управління) Національного банку України, затверджене Постановою Правління Національного банку України 27.06.2001 № 245, зареєстроване в Міністерстві юстиції України 26 січня 2001 р. за № 81/5272;
— Положення про єдину інформаційну систему «Реєстр позичальників», затверджене Постановою Правління Національного банку України 17.07.2001 № 276, зареєстроване в Міністерстві юстиції України 18 липня 2001 р. за № 604/5795;
— — Положення про планування та порядок проведення інспекційних перевірок, затверджене Постановою Правління Національного банку України 28.08.2001 № 369, зареєстроване в Міністерстві юстиції України 15 серпня 2001 р. за № 703/5894;
— Положення про застосування Національним банком України заходів впливу за порушення банківського законодавства, затверджене Постановою Правління Національного банку України 20.09.2002 № 352, зареєстроване в Міністерстві юстиції України 27 вересня 2001 р. за № 845/6036;
— Положення про порядок проведення виїзних перевірок щодо дотримання банками та фінансовими установами вимог валютного законодавства України, затверджене Постановою Правління Національного банку України 14.05.2003 № 189, зареєстроване в Міністерстві юстиції України 9 жовтня 2002 р. за № 818/7106;
— Положення про здійснення банками фінансового моніторингу, затверджене Постановою Правління Національного банку України 19.04.2005 № 137, зареєстроване в Міністерстві юстиції України 19 травня 2005 р. за № 543/10823;
— Положення про порядок емісії платіжних карток і здійснення операцій з їх застосуванням, затверджене Постановою Правління Національного банку України 19.04.2005 № 137, зареєстроване в Міністерстві юстиції України 20 травня 2003 р. за № 381/ 7702.
6. Правовий статус та зміст інформації з обмеженим доступом про особу
Питання лекції
1. Зміст поняття «інформація з обмеженим доступом про особу».
2. Правова охорона персональних даних.
3. Перспективи розвитку чинного законодавства України щодо правового регулювання захисту інформації з обмеженим доступом про особу.
На сучасному етапі демократичних перетворень Україна визнає людину, її життя і здоров’я, честь і гідність, недоторканність і безпеку найвищою соціальною цінністю.
При цьому стаття 21 Конституції визначає, що «усі люди є вільні і рівні у своїй гідності та правах. Права і свободи людини є невідчужуваними та непорушними».
Кожна людина має право на вільний розвиток своєї особистості, якщо при цьому не порушуються права і свободи інших людей, та має обов’язки перед суспільством, в якому забезпечується вільний і всебічний розвиток її особистості (стаття 23 Конституції України).
До конституційних основ правового статусу людини як учасника інформаційних відносин належить і стаття 34 Конституції України «Кожному гарантується право на свободу думки і слова, на вільне вираження своїх поглядів і переконань. Кожен має право вільно збирати, зберігати, використовувати і поширювати інформацію усно, письмово або в інший спосіб — на свій вибір. Здійснення цих прав може бути обмежене законом в інтересах національної безпеки, територіальної цілісності або громадського порядку з метою запобігання заворушенням чи злочинам, для охорони здоров’я населення, для захисту репутації або прав інших людей, для запобігання розголошенню інформації, одержаної конфіденційно, або для підтримання авторитету і неупередженості правосуддя».
1. Зміст поняття «інформація з обмеженим доступом про особу»
Стаття 23 Закону України «Про інформацію» дає визначення поняття «інформація про особу».
Інформація про особу — це сукупність документованих або публічно оголошених відомостей про особу.
Основними даними про особу (персональними даними) є національність, освіта, сімейний стан, релігійність, стан здоров’я, а також адреса, дата і місце народження.
Джерелами документованої інформації про особу є видані на її ім’я документи, підписані нею документи, а також відомості про особу, зібрані державними органами влади та органами місцевого і регіонального самоврядування в межах своїх повноважень.
Обмеження доступу до інформації про особу здійснюється на підставі такої норми ст. 23 Закону України «Про інформацію» «забороняється збирання відомостей про особу без її попередньої згоди, за винятком випадків, передбачених законом».
Кожна особа має право на ознайомлення з інформацією, зібраною про неї.
Закон України «Про інформацію» містить бланкетну норму, що відсилає нас до окремого законодавчого акту з питань існування даного виду інформації з обмеженим доступом «Інформація про особу охороняється Законом» (ст. 23 Закону України «Про інформацію»).
Конфіденційна інформація про особу є одним із специфічних видів інформації з обмеженим доступом. її правовий статус визначається Законом України «Про інформацію», а офіційне тлумачення викладене у Рішенні Конституційного Суду України № 5-зп від ЗО жовтня 1997 року (справа К. Г. Устименка). Зокрема, зазначається, що частину четверту статті 23 Закону України «Про інформацію» треба розуміти так, що забороняється не лише збирання, а й зберігання, використання та поширення конфіденційної інформації про особу без її попередньої згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту, прав та свобод людини.
До конфіденційної інформації про особу, зокрема, належать такі свідчення про особу
— освіта,
— сімейний стан,,
— релігійність,
— стан здоров’я,
— дата і місце народження,
— майновий стан
— інші персональні дані.
— На визначення змісту конфіденційної інформації про особу спрямовані й інші нормативно-правові акти органів судової влади.
Зокрема Постанова Пленуму Верховного Суду України визначає відомості, що ганьблять потерпілого або близьких йому осіб — це такі дійсні чи вигадані дані про них, їх дії і дії, вчинені щодо них, які потерпілий бажає зберегти в таємниці і розголошення яких, на його думку, скомпрометує або принизить честь і гідність його чи близьких йому осіб.
До таких відомостей, зокрема, можуть відноситися дані про
— інтимні сторони життя,
— захворювання,
— неблаговидні вчинки,
— злочинну діяльність тощо.
Погроза розголосити такі відомості — це погроза повідомити про них особам (або особі), яким вони невідомі, і чиє ознайомлення з ними небажане для потерпілого.
Кожному гарантується судовий захист права спростовувати недостовірну інформацію про себе і членів своєї сім’ї та права вимагати вилучення будь-якої інформації, а також право на відшкодування матеріальної і моральної шкоди, завданої збиранням, зберіганням, використанням та поширенням такої недостовірної інформації. Більше того, незаконне збирання, зберігання, використання або поширення конфіденційної інформації про особу без її згоди або поширення цієї інформації у публічному виступі, творі, що публічно демонструється, чи в засобах масової інформації визнано ст. 182 Кримінального кодексу України злочином.
Конституцією України встановлено головні засади механізму захисту особи від втручання в її особисте і сімейне життя, зокрема гарантовано таємницю листування, телефонних розмов, телеграфної та іншої кореспонденції. Для іноземців та осіб без громадянства в Україні встановлено національний режим захисту цих прав. Законодавством України встановлена також кримінально-правова заборона порушення таємниці листування, телефонних розмов, телеграфної чи іншої кореспонденції, що передаються засобами зв’язку або через комп’ютер.
Цивільним Кодексом України це право віднесено до особистих немайнових прав та передбачено судовий порядок його захисту від протиправних посягань Цим кодексом також визначено право власності адресата на надіслані на його адресу листи, телеграми тощо. Проте на їх публікацію повинна дати згоду і особа, яка їх надіслала. Якщо кореспонденція стосується особистого життя іншої фізичної особи, для її використання, зокрема шляхом опублікування, потрібна згода цієї особи. Визначено також, що кореспонденція, яка стосується фізичної особи, може бути долучена до судової справи лише у разі, якщо в ній містяться докази, що мають значення для вирішення справи. Інформація, яка міститься в такій кореспонденції, не підлягає розголошенню.
Право на таємницю листування, телефонних розмов, телеграфної та іншої кореспонденції може бути обмежено рішенням суду за наявності підстав, передбачених ст. 6 Закону України «Про оперативно-розшукову діяльність» з метою запобігти злочинові чи з’ясувати істину під час розслідування кримінальної справи, якщо іншими способами одержати інформацію неможливо. За забезпеченням законності цих обмежень здійснюється прокурорський нагляд . Законодавство зобов’язує операторів, провайдерів телекомунікацій вживати відповідно до законодавства технічних та організаційних заходів із захисту поштових відправлень, телекомунікаційних мереж, засобів телекомунікацій, інформації з обмеженим доступом про організацію телекомунікаційних мереж та інформації, що передається цими мережами
Стан здоров’я особи також включено до переліку, персональних даних, які підлягають захисту Механізми правового захисту такої інформації встановлено ст. 286 Цивільного кодексу України основами законодавства України про охорону здоров’я від 19.11.1992 р. Фізична особа має право на таємницю про стан свого здоров’я, факт звернення за медичною допомогою, діагноз, а також про відомості, одержані при її медичному обстеженні. Чинним законодавством заборонено вимагати та подавати за місцем роботи або навчання інформацію про діагноз та методи лікування фізичної особи. Фізична особа зобов’язана утримуватися від поширення цієї інформації, яка стала їй відома у зв’язку з виконанням службових обов’язків або з інших джерел.
Медичні працівники та інші особи, яким у зв’язку з виконанням професійних або службових обов’язків стало відомо про хворобу, медичне обстеження, огляд та їх результати, інтимну і сімейну сторони життя громадянина, не мають права розголошувати ці відомості, крім передбачених законодавчими актами випадків. Проте саму особу зобов’язують під час медичного обстеження, що проводиться перед даванням крові повідомити відповідну посадову особу установи чи закладу охорони здоров’я відомі їй дані про перенесені та наявні в неї захворювання, а також про вживання нею наркотичних речовин та властиві їй інші форми ризикованої поведінки, що можуть сприяти зараженню донора інфекційними хворобами, які передаються через кров, і за наявності яких виконання донорської функції може бути обмежено. Зазначена інформація засвідчується особистими підписами особи, яка виявила бажання здати кров або її компоненти, та посадової особи установи чи закладу охорони здоров’я і становить лікарську таємницю . Захисту підлягають також дані про реципієнтів донорських органів, а також про осіб, які заявили про свою згоду або незгоду стати донорами у разі смерті. Такі дані віднесені чинним законодавством до лікарської таємниці.
Офіційним тлумаченням окремих статей закону України «Про інформацію» до основних персональних даних віднесено майновий стан особи.
Не підлягає також розголошенню конфіденційна інформація щодо діяльності та фінансового стану страхувальника — клієнта страховика, яка стала Відомою йому під час взаємовідносин з клієнтом чи з третіми особами при провадженні діяльності у сфері страхування, розголошення якої може завдати матеріальної чи моральної шкоди клієнту. Таку інформацію законом визнано таємницею страхування і вона надається страховиком лише на письмовий запит або з письмового дозволу власника такої інформації, за рішенням суду чи на запит органів досудового слідства у разі порушення кримінальної справи щодо клієнта страхувальника.
Таємність інформації про майновий стан особи та факти розпорядження нею своїм майном захищені також інститутом таємниці вчинення нотаріальних дій. Так ст. 8 Закону України «Про нотаріат» нотаріуси, інші посадові особи, які вчиняють нотаріальні дії, та особи, яким про вчинені нотаріальні дії стало відомо у зв’язку з виконанням ними службових обов’язків, зобов’язані додержувати таємниці цих дій у зв’язку із чим довідки про вчинені нотаріальні дії та документи видаються тільки громадянам та юридичним особам, за дорученням яких або щодо яких вчинялися нотаріальні дії.
Закон допускає видачу довідок про вчинювані нотаріальні дії на письмову вимогу компетентних державних органів у зв’язку з кримінальними, цивільними або господарськими справами, що знаходяться у їх провадженні чи у зв’язку із необхідністю визначення правильності стягнення державного мита та цілей оподаткування.
До інформації персонального характеру захистом якої уповноважені займатися державні органи відносять і дані щодо всиновлення. Так відповідно до ст. 228 Сімейного кодексу України особи, яким у зв’язку з виконанням службових обов’язків доступна інформація щодо усиновлення (перебування осіб, які бажають усиновити дитину, на обліку, пошук ними дитини для усиновлення, подання заяви про усиновлення, розгляд справи про усиновлення, здійснення нагляду за дотриманням прав усиновленої дитини тощо), зобов’язані не розголошувати її, зокрема і тоді, коли усиновлення для самої дитини не є таємним. Відомості про усиновлення видаються судом лише за згодою усиновлювача, крім випадків, коли такі відомості потрібні правоохоронним органам, суду у зв’язку з цивільною чи кримінальною справою, яка є у їх провадженні. За розголошення таємниці усиновлення (удочеріння) всупереч волі усиновителя (удочерителя) передбачена кримінальна відповідальність . Задля забезпечення таємниці усиновлення ст. ст. 10, 265-4 ЦПК України дозволено закритий судовий розгляд цивільних справ за мотивованою ухвалою суду.
2. Правова охорона персональних даних
В Україні продовжується нормотворча робота у сфері правового регулювання конфіденційної інформації про особу. Так підготовлено проект Закону України про захист персональних даних, який прийнятий Верховною Радою України у другому читанні.
Початок розробки проекту базового (рамкового) Закону України «Про захист персональних даних» було покладено у 1996 р. Практична необхідність розробки закону обґрунтовується наступним
стан нормативно-правової бази України не в повній мірі забезпечує захист прав людини у сфері персональних даних. Нормативна база має слабку кореляцію з вимогами статей 3, 23, 31, 32, 34 Конституції України та міжнародних стандартів;
діючі у цей час більш як 20 законів України, пов’язані зі збором, використанням і передачею інформації про фізичних осіб, не мають однозначного визначення персональних даних.
Перша версія законопроекту була підготовлена у 1998 році. На той час законопроект 4 рази розглядався у міністерствах і комітетах Мінекономіки України, Мінфіні України, Мін’юсті України, в МВС України, СБ України, Державній податковій адміністрації України, у Раді національної безпеки і оборони України, Уповноваженим ВР України з прав людини. Було враховано понад 160 зауважень і пропозицій.
На кінець 1999 р. законопроект погодили всі міністерства та відомства і 27 грудня 1999 р. він був направлений до Кабінету Міністрів України.
У червні 2002 року авторами законопроекту був здійснений переклад з англійської на українську мову Конвенції №108 Ради Європи «Про захист осіб у зв’язку з автоматизованою обробкою персональних даних» та Додаткового протоколу до зазначеної Конвенції щодо органів нагляду та транскордонних потоків від 08.11.2001 р., які були затверджені МЗС України як офіційні переклади (лист МЗС України від 02.07.2002 р. № 72/15-077-1412).
У травні 2003 року законопроект розглянутий у першому читанні та прийнятий за основу (Постанова Верховної Ради України від 15.05.2003 р. №784-Г7). У березні 2006 року законопроект розглянутий у другому читанні і прийнятий 16.03.2006 р. в цілому.1
3. Перспективи розвитку чинного законодавства України щодо правового регулювання захисту інформації з обмеженим доступом про особу
Передбачається, що Закон України «Про захист персональних даних» набере чинності з 1 січня 2007 року. Він,регулюватиме відносини, пов’язані з обробкою персональних даних.
Дія цього Закону не поширюватиметься на діяльність зі створення баз персональних даних фізичною особою виключно для особистих чи побутових потреб.
У цьому Законі терміни матимуть такі значення база персональних даних — іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних;
власник персональних даних — фізична особа, яка має право власності на персональні дані про себе;
володілець персональних даних — фізична та/або юридична особа, якій власником персональних даних надано право на обробку цих даних;
ідентифікація персональних даних — встановлення тотожності певної фізичної особи відомостям про неї, які визначають її особистість;
обробка персональних даних (обробка) — будь-яка дія або сукупність дій, здійснених в інформаційній (автоматизованій) системі та/або в картотеках персональних даних, які пов’язані із збиранням (придбанням), реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, поновленням, використанням і поширенням (розповсюдженням, реалізацією, передачею), знищенням відомостей про фізичну особу;
персональні дані — окремі відомості про фізичну особу чи сукупність таких відомостей, що ідентифіковані або можуть бути ідентифіковані;
право власності на персональні дані — встановлене законом право фізичної особи на володіння, користування, розпорядження відомостями про себе, а також право забороняти іншим суб’єктам їх використання, крім випадків, встановлених законом.
Суб’єктами відносин, пов’язаних із персональними даними, є
— власник персональних даних;
— володілець персональних даних;
— користувач персональних даних;
— уповноважений орган з питань захисту персональних даних.
За договором або дорученням власник персональних даних зможе надати право розпоряджатися цими даними іншій фізичній або юридичній особі — розпоряднику персональних даних.
Суб’єкти відносин, пов’язані із персональними даними, зобов’язані
— не допускати розголошення персональних даних;
— виконувати вимоги встановленого відповідно до законодавства режиму доступу до персональних даних та захисту персональних даних.
Суб’єктами відносин, пов’язаних із персональними даними відповідно до зазначеного Закону, зможуть бути фізичні та/або юридичні особи інших держав та міжнародні організації.
Об’єктами захисту є персональні дані, які обробляються за допомогою інформаційних (автоматизованих) систем та/або картотек персональних даних.
Персональні дані за режимом доступу є інформацією з обмеженим доступом.
Віднесення персональних даних до категорії відомостей, які становлять державну або іншу визначену законом таємницю, і доступ до них здійснюються відповідно до закону.
Персональні дані фізичної особи, яка претендує чи займає виборну посаду (в представницьких органах) або посаду державного службовця першої категорії, не відноситиметься до інформації з обмеженим доступом, за винятком інформації, яка визначена такою відповідно до закону.
Персональні дані зможуть оброблятися тільки за умови, що
— обробка персональних даних здійснюється за письмовою згодою власника персональних даних або відповідно до законів України;
— персональні дані обробляються відповідно до свого прямого призначення, яке визначається повноваженнями суб’єкта відносин, пов’язаних із персональними даними, і не використовуються для інших цілей, не сумісних із цим призначенням;
— персональні дані повинні бути точними, у разі необхідності — оновлюватися;
— персональні дані обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, у строк, не більший, ніж це необхідно відповідно до їх законного призначення.
Не допускатиметься обробка даних про фізичну особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини. Обробка персональних даних в інформаційних ^автоматизова-них) системах здійснюватиметься відповідно до вимог, встановлених зазначеним Законом та Законом України «Про захист інформації в інформаційно-телекомунікаційних системах».
Первинними джерелами відомостей про фізичну особу є видані на її ім’я документи; підписані нею документи; відомості про фізичну особу на матеріальних носіях інформації, що обробляються суб’єктами відносин, пов’язаними з персональними даними, які діють відповідно до законодавства України та в межах своїх повноважень.
Джерелами відомостей про фізичну особу є бази персональних даних, які зареєстровані в установленому законодавством порядку.
Право власності на персональні дані є невід’ємне, непорушне і невідчужуване. Право власності на свої персональні дані має кожна фізична особа. Розпорядження персональними даними особи, яка повністю або частково обмежена в дієздатності, здійснює її повноважний представник.
Право власності на персональні дані фізичної особи, яка померла, належить особам, які визначені її спадкоємцями в частині персональних даних. Кожна фізична особа має право ознайомитися у суб’єкта відносин, пов’язаних із персональними даними, зі своїми персональними даними, що обробляються цим суб’єктом, чи дати доручення ознайомитися з ними уповноваженим ним особам, крім випадків, встановлених законом.
Користування персональними даними передбачає будь-які дії їх власника щодо обробки цих даних, дії щодо їх захисту, а також дії щодо надання часткового або повного права обробки персональних даних іншими суб’єктами відносин, пов’язаних із персональними даними.
Використання персональних даних передбачає дії їх власника щодо користування ними або дії володільця персональних даних, якому їх власником чи законом надано часткове або повне право обробки персональних даних, а також покладені обов’язки щодо їх захисту. Використання персональних даних передбачає також право володільця персональних даних на надання часткового або повного права обробки персональних даних іншим суб’єктам відносин, пов’язаних із персональними даними, за згодою власника персональних даних чи відповідно до закону.
Використання персональних даних їх володільцем передбачає створення ним умов для захисту цих даних. Володільцю персональних даних забороняється розголошувати відомості стосовно власників персональних даних, доступ до персональних даних яких здійснюється іншими суб’єктами відносин, пов’язаних із такими даними.
Використання персональних даних працівниками суб’єктів відносин, пов’язаних із персональними даними, повинне здійснюватися тільки відповідно до їх службових або трудових обов’язків.
Особи, яким було надано доступ до персональних даних у порядку, встановленому законодавством, зобов’язані не допускати розголошення будь-яким способом персональних даних, які їм довірені або стали відомі у зв’язку з виконанням службових або трудових обов’язків. Таке зобов’язання зберігає чинність після припинення їх діяльності, пов’язаної з персональними даними, крім випадків, установлених законом.
Відомості щодо особистого життя фізичної особи не можуть використовуватися як обумовлювання, яке підтверджує чи не підтверджує її ділові здібності.
Підставами виникнення права на використання персональних даних буде
— письмова згода фізичної особи на обробку її персональних даних, надана у довільній формі;
— письмовий договір про введення відомостей про фізичну особу до бази персональних даних. Власник персональних даних матиме право робити в договорі застереження щодо обмеження обробки його персональних даних;
— дозвіл на обробку персональних даних, наданий відповідно до закону суб’єкту відносин, пов’язаних із персональними даними, виключно для виконання його повноважень.
Збирання персональних даних передбачає будь-які дії щодо зосередження певних відомостей про фізичну особу з будь-яких джерел та розміщення їх у базі персональних даних.
При первісному розміщенні відомостей про фізичну особу до складу бази персональних даних їх власник повідомляється протягом одного місяця про мету розміщення даних.
Повідомлення не здійснюється, якщо персональні дані збираються
— для забезпечення захисту персональних даних;
— у випадках, визначених законом в інтересах національної безпеки, економічного добробуту та прав людини;
— для тимчасового, на строк не більше трьох місяців, їх зберігання у базі персональних даних. У разі подальшої обробки персональних даних понад зазначеного тримісячного строку їх введення до бази персональних даних їх власник повідомляється протягом одного місяця про мету обробки цих даних;
— із загальнодоступних джерел.
Відомості про фізичну особу, що зібрані з будь-яких джерел, а також інформація про їх джерела надаються власнику персональних даних за його вимогою.
Накопичення персональних даних передбачає будь-які дії щодо поєднання та систематизацію відомостей про фізичну особу чи групу фізичних осіб або введення цих даних до бази персональних даних. Забороняється накопичення персональних даних, якщо мета їх збирання не відповідає законам.
Зберігання персональних даних передбачає будь-які дії щодо забезпечення їх цілісності та відповідного режиму доступу до них.
У разі зберігання персональних даних з метою їх поширення в знеособленій формі необхідно зберігати окремі відмінності, за якими конкретні відомості про фізичну особу можуть бути поставлені у відповідність з певним суб’єктом відносин, пов’язаних із персональними даними.
Поширення персональних даних передбачає будь-які дії щодо
передачі відомостей про фізичну особу між суб’єктами відносин, пов’язаних із персональними даними, для їх обробки.
Поширення персональних даних здійснюватиметься безпосередньо власником персональних даних або уповноваженим ним суб’єктом, крім випадків здійснення органами державної влади та органами місцевого самоврядування своїх повноважень, передбачених законом.
Поширення персональних даних без згоди власника персональних даних або уповноваженого ним суб’єкта дозволяється у випадках, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини. Відповідальність за виконання вимог встановленого режиму захисту даних про фізичну особу несе сторона, що поширює персональні дані.
Будь-який суб’єкт відносин, пов’язаних із персональними даними, матиме право звернутися до будь-якого іншого суб’єкта таких відносин стосовно персональних даних певної фізичної особи. Доступ до персональних даних здійснюється згідно з режимом доступу, встановленим згідно з законодавством. Доступ до персональних даних не надаватиметься, якщо суб’єкт відносин пов’язаних із персональними даними, відмовляється взяти на себе зобов’язання щодо забезпечення умов захисту персональних даних.
Держава здійснює контроль за додержанням режиму доступу до персональних даних. Контроль за додержанням режиму доступу до персональних даних здійснюється уповноваженим органом з питань захисту персональних даних. Завдання контролю за додержанням режиму доступу полягає у забезпеченні виконання вимог законодавства про персональні дані всіма суб’єктами відносин, пов’язаних із персональними даними, недопущення ними несанкціонованого доступу до персональних даних.
Суб’єкт відносин, пов’язаних із персональними даними, подає запит щодо доступу (надалі — запит) до персональних даних іншому суб’єкту відносин, пов’язаних із персональними даними.
Запит повинен містити такі відомості
— прізвище, ім’я та по батькові, місце проживання та реквізити документа, що посвідчує фізичну особу, яка подає запит;
— найменування, місцезнаходження та адреса юридичної особи, якою подається запит, посада, прізвище, ім’я та по батькові особи, яка засвідчує запит; підтвердження того, що зміст запиту відповідає повноваженням юридичної особи;
— прізвище, ім’я та по батькові та інші відомості, що дають змогу ідентифікувати фізичну особу, стосовно якої робиться запит;
— відомості про інформаційну (автоматизовану) систему обробки персональних даних, стосовно яких подається запит, чи відомості про розпорядника цієї системи;
— перелік персональних даних, що запитуються;
— мета запиту.
Строк вивчення запиту на предмет його задоволення не повинен перевищувати десяти днів. Протягом цього строку будь-який суб’єкт відносин, пов’язаних із персональними даними, сповіщає особу, яка подає запит, про те, що запит буде задоволено, або про те, що відповідні персональні дані не підлягають наданню, із зазначенням підстави, визначеної в нормативно-правовому акті. Запит задовольняється протягом одного місяця.
Власник персональних даних матиме право на одержання будь-яких відомостей про себе у будь-якого суб’єкта відносин, пов’язаних із персональними даними, згідно із законом.
Віднесення персональних даних до категорії відомостей, які становлять державну або іншу визначену законом таємницю, і доступ до них здійснюються відповідно до закону.
Порядок обробки персональних даних, які становлять державну або іншу визначену законом таємницю, та захисту цих даних визначається законодавством.
Порядок і строк засекречування персональних даних, які становлять державну або іншу визначену законом таємницю, визначаються відповідно до закону.
Відстрочення у доступі до персональних даних допускатиметься в тому разі, коли необхідні дані не можуть бути надані протягом місяця. Повідомлення про відстрочення доводитиметься до відома фізичної або юридичної особи, яка зробила запит, у письмовій формі з роз’ясненням порядку оскарження такого рішення.
У повідомленні про відстрочення зазначається
— прізвище, ім’я та по батькові посадової особи, яка відмовляє у задоволенні доступу в місячний строк;
— дата відправлення повідомлення;
— причина відстрочення;
— строк, протягом якого буде задоволено запит.
Відмова в доступі до персональних даних допускається в разі, якщо їх віднесено до категорії відомостей, які становлять державну або іншу визначену законом таємницю, або якщо доступ до персональних даних заборонено згідно із законом. У повідомленні про відмову зазначається
— прізвище, ім’я, по батькові посадової особи, яка відмовляє у доступі;
— дата відправлення повідомлення;
— причина відмови.
Рішення про відстрочення або відмову в доступі до персональних даних може бути оскаржено до уповноваженого органу з питань захисту персональних даних або до суду.
Якщо запит зроблено власником персональних даних, обов’язок щодо доведення в суді законності відстрочення чи відмови у його доступі до персональних даних покладається на суб’єкта відносин, пов’язаних із персональними даними, до якого подано запит на доступ.
Кожний власник персональних даних матиме право
— знати про місцезнаходження інформаційної (автоматизованої) системи, що обробляє його персональні дані, її призначення та найменування, місцезнаходження та адресу володільця або розпорядника цієї системи;
— на доступ до своїх персональних даних, які обробляються в архівних установах;
— отримати в місячний строк відповідь про те, чи зберігаються його персональні дані у відповідній інформаційній (автоматизованій) системі;
— пред’являти вмотивовану вимогу щодо зміни або знищення даних будь-яким володільцем персональних даних щодо обробки персональних даних про нього, якщо ці дані обробляються незаконно чи є недостовірними;
— звертатися до суду для захисту своїх прав.
Доступ власника персональних даних до даних про себе здійснюватиметься безоплатно.
Доступ інших суб’єктів відносин, пов’язаних із персональними даними, до персональних даних певної фізичної особи чи групи фізичних осіб може бути платним. Оплаті підлягає робота, пов’язана із обробкою персональних даних, а також робота з консультування та організації доступу до відповідних даних. Розмір плати за послуги з надання персональних даних органами державної влади визначатиметься Кабінетом Міністрів України.
Органи державної влади та органи місцевого самоврядування мають право на безперешкодний і безоплатний доступ до персональних даних відповідно до покладених на них повноважень.
Зміни чи доповнення до персональних даних вносяться на підставі вмотивованої письмової вимоги власника персональних даних. Дозволяється внесення зміни до персональних даних за зверненням інших суб’єктів відносин, пов’язаних із персональними даними, якщо на це є згода власника персональних даних чи відповідна зміна здійснюється за рішенням суду, що набрало законної сили. Зміна персональних даних, які не відповідають дійсності, проводиться протягом чотирнадцяти робочих днів з дня звернення власника персональних даних.
Про зміну, доповнення, знищення персональних даних або обмеження до них доступу володільці персональних даних повідомляють власника персональних даних, а також суб’єктів відносин, пов’язаних із персональними даними, яким ці дані передаються, якщо це необхідно для захисту інтересів власника персональних даних.
Держава гарантує фізичній особі право на захист персональних даних. Суб’єкти відносин, пов’язаних із персональними даними, повинні забезпечити захист прав власності на персональні дані.
Власник персональних даних має право на захист цих даних від несанкціонованої обробки та випадкової втрати, знищення, завдання шкоди у зв’язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи.
Основними повноваженнями уповноваженого органу з питань захисту персональних даних будуть
— підготовка пропозицій щодо формування державної політики у сфері захисту персональних даних;
— реєстрація баз персональних даних, інформаційних (автоматизованих) систем обробки персональних даних;
— контроль за виконанням законодавства з питань захисту персональних даних з безперешкодним доступом до приміщень, в яких здійснюється обробка персональних даних;
— надання приписів щодо припинення роботи баз персональних даних, інформаційних (автоматизованих) систем обробки персональних даних у разі виявлення порушень;
— розгляд пропозицій, запитів, звернень, вимог та скарг фізичних і юридичних осіб;
— забезпечення взаємодії з іноземними суб’єктами відносин, пов’язаних із персональними даними;
— участь у роботі міжнародних організацій з питань захисту персональних даних.
Реєстрація баз персональних даних, інформаційних (автоматизованих) систем обробки персональних даних здійснюється за заявами володільців персональних даних.
В органах державної влади та органах місцевого самоврядування, організаціях, установах і підприємствах усіх форм власності визначається відповідальна особа, яка організовує роботу, пов’язану із захистом персональних даних при їх обробці в інформаційних (автоматизованих) системах та картотеках персональних даних, і несе персональну відповідальність за забезпечення захисту.
Фізичні особи-підприємці, адвокати, приватні нотаріуси несуть персональну відповідальність за організацію захисту персональних даних згідно з вимогами закону.
Обмеження прав, передбачених законом здійснюватиметься лише в інтересах
— національної безпеки, економічного добробуту та прав людини;
— захисту прав і свобод фізичних осіб, персональні дані яких обробляються, чи прав інших суб’єктів відносин, пов’язаних із персональними даними, а також з метою боротьби з адміністративними порушеннями та злочинністю;
— забезпечення зведеною знеособленою інформацією щодо персональних даних органів державної влади, органів місцевого самоврядування, юридичних та фізичних осіб відповідно до законодавства.
Суб’єкти відносин, пов’язаних із персональними даними, здійснюють свої повноваження в установлених Конституцією України, законами України межах.
Фінансування заходів щодо забезпечення захисту персональних даних здійснюється за рахунок коштів Державного бюджету України та місцевих бюджетів, коштів суб’єктів відносин, пов’язаних із персональними даними.
Порушення законодавства України про захист персональних даних тягне за собою відповідальність, встановлену законом.
Несанкціоновані дії або бездіяльність володільців персональних даних, що завдали шкоду фізичним чи юридичним особам.
можуть бути оскаржені до суду в порядку, встановленому законом. Шкода, завдана фізичним чи юридичним особам володільцем персональних даних під час виконання ним своїх обов’язків, підлягає відшкодуванню в порядку, встановленому законом.
Передача персональних даних іноземним суб’єктам відносин, пов’язаних із персональними даними, здійснюється лише за умов забезпечення права власності на персональні дані і за наявності дозволу уповноваженого органу з питань захисту персональних даних у випадках, встановлених законом або міжнародним договором України. Персональні дані не можуть поширюватися з іншою метою, ніж та, з якою вони були зібрані.
7. Захист конфіденційної інформації, що є власністю держави
Питання лекції
1. Зміст поняття «конфіденційна інформація, що є власністю держави».
2. Порядок надання відомостям статусу конфіденційної інформації, що є власністю держави.
3. Система захисту конфіденційної інформації, що є власністю держави.
4. Центральний орган державної влади, функції якого пов’язані із захистом конфіденційної інформації, що є власністю держави.
Національне законодавство передбачає низку правових норм, якими встановлюються обмеження щодо поширення інформації. На відміну від питань захисту секретної інформації, в якій було застосовано правові напрацювання ще радянських часів, законодавче регулювання захисту конфіденційної інформації в Україні розвинуте слабко і перебуває ще на початкових стадіях формування.
Зі здобуттям незалежності Україна починає самостійно створювати і розвивати власну систему державних органів та національне законодавство. Одним з перших законодавчих актів, який закріпив право громадян України на інформацію, заклав правові основи інформаційної діяльності був прийнятий 2 жовтня 1992 р. Закон України «Про інформацію». Саме цим законом вперше було введено в обіг термін «конфіденціальна інформація», а згодом «конфіденційна інформація».
1. Зміст поняття «конфіденційна інформація, що є власністю держави»
Термін «конфіденційна інформація, що є власністю держави» вперше на законодавчому рівні було застосовано в Концепції (Основах державної політики) національної безпеки України, схваленої Постановою Верховної Ради України від 16 січня 1997 року № 3/97. Витік такої інформації визнавався однією з загроз національній безпеці в інформаційній сфері. На той час чинне законодавство не давало визначення даного терміну.
Другим законодавчим актом, у якому прямо застосовувався термін «конфіденційна інформація, що є власністю держави» став прийнятий 5 квітня 2001 року Кримінальний Кодекс України. Кримінальна відповідальність встановлювалась за передачу іноземній стороні конфіденційної інформації, що є власністю держави, особою, якій ці відомості були довірені у зв’язку з виконанням службових обов’язків (стаття 330). Ця кримінально-правова норма майже повністю відтворювала аналогічну норму, яка була закріплена у КК УРСР (1960). Зміст статті 330 практично залишився без змін (законодавець продублював колишню статтю 68-1 КК). Було змінено лише предмет злочину (термін «службова таємниця» було замінено на «конфіденційна, що є власністю держави) і таким чином криміналізовано діяння, пов’язані з передачею або збиранням з метою передачі іноземним підприємствам, установам, організаціям або їх представникам інформації з грифом «Для службового користування» (далі — «ДСК»).
Лише 11 травня 2004 року до Закону України «Про інформацію» було внесено зміни, завдяки яким в законодавче поле вписуються основи правового регулювання конфіденційної інформації, а саме — доповнено статтю 30, згідно з якою інформації, що є власністю держави і знаходиться в користуванні органів державної влади чи органів місцевого самоврядування, підприємств, установ та організацій усіх форм власності, з метою її збереження може бути відповідно до закону встановлено обмежений доступ — надано статус конфіденційної.
До конфіденційної інформації, що є власністю держави і знаходиться в користуванні органів державної влади чи органів місцевого самоврядування, підприємств, установ та організацій усіх форм власності, не можуть бути віднесені відомості
— про стан довкілля, якість харчових продуктів і предметів побуту;
— про аварії, катастрофи, небезпечні природні явища та інші надзвичайні
— про стан здоров’я населення, його життєвий рівень, включаючи харчування, одяг, житло, медичне обслуговування та соціальне забезпечення, а також про соціально-демографічні показники, стан правопорядку, освіти і культури населення;
— стосовно стану справ із правами і свободами людини і громадянина, а також фактів їх порушень;
— про незаконні дії органів державної влади, місцевого самоврядування, їх посадових та службових осіб;
— інша інформація, доступ до якої відповідно до законів України та міжнародних договорів, згода на обов’язковість яких надана Верховною Радою України, не може бути обмеженим.
2. Порядок надання відомостям статусу конфіденційної інформації, що є власністю держави
Відповідно до Закону України «Про інформацію» порядок обліку, зберігання і використання документів та інших носіїв інформації, що містять зазначену інформацію, визначається Кабінетом Міністрів України. З цією метою було затверджено Інструкцію про порядок обліку, зберігання і використання документів, справ, видань та інших матеріальних носіїв інформації, які містять конфіденційну інформацію, що є власністю держави (Постанова КМ України від 27 листопада 1998 р. № 1893).
Переліки відомостей, які містять конфіденційну інформацію, що є власністю держави, і яким надається гриф обмеження доступу «ДСК», розробляються експертними комісіями згідно з орієнтовними критеріями віднесення інформації до конфіденційної і затверджуються міністерствами, іншими центральними органами виконавчої влади, Радою міністрів Автономної Республіки Крим, обласними, Київською та Севастопольською міськими держадміністраціями, в яких утворюються або у володінні, користуванні чи розпорядженні яких перебувають ці відомості. На підставі рішення експертної комісії інформація включається до переліку відомостей, які містять конфіденційну інформацію, що є власністю держави
Інформація, що включається до переліків відомостей, які містять конфіденційну інформацію, що є власністю держави, повинна відповідати таким вимогам
1)створюватися за кошти державного бюджету або перебувати у володінні, користуванні чи розпорядженні організації;
2)використовуватися з метою забезпечення національних інтересів держави;
3)не належати до державної таємниці;
4)унаслідок розголошення такої інформації можливе
— порушення конституційних прав і свобод людини та громадянина;
— настання негативних наслідків у внутрішньополітичній, зовнішньополітичній, економічній, військовій, соціальній, гуманітарній, науково-технологічній, екологічній, інформаційній сферах та у сферах державної безпеки і безпеки державного кордону;
— створення перешкод у роботі державних органів.
Експертні комісії утворюються міністерствами, іншими центральними органами виконавчої влади, Радою міністрів Автономної Республіки Крим, обласними, Київською та Севастопольською міськими держадміністраціями. До їх складу включаються представники режимно-секретного та інших структурних підрозділів з числа найбільш кваліфікованих фахівців. У разі потреби для участі в роботі експертної комісії можуть залучатися фахівці заінтересованих підприємств, установ та організацій (за погодженням з їх керівниками) з метою розгляду питань, що належать до їх компетенції. Рішення комісії оформляється протоколом, який затверджується міністерством, іншим центральним органом виконавчої влади, Радою міністрів Автономної Республіки Крим, обласною, Київською та Севастопольською міською держадміністрацією.
У разі потреби на державних підприємствах, в установах і організаціях з урахуванням особливостей їхньої діяльності розробляються та за погодженням з міністерством, іншим центральним органом виконавчої влади, до сфери управління якого вони належать, вводяться в дію переліки конкретних видів документів у відповідній сфері діяльності.
На документах у правому верхньому кутку першої сторінки, а для видань — на обкладинці та на титулі проставляються гриф «ДСК» і номер примірника. Якщо гриф обмеження доступу неможливо нанести безпосередньо на магнітний носій інформації, він має бути зазначений у супровідному документі.
Необхідність проставляння грифа «ДСК» на документі визначається виконавцем та особою, що підписує документ, а на виданні — автором (укладачем) і керівником, який підписав видання до друку на підставі переліків, затверджених відповідними експертними комісіями.
Керівники центральних органів виконавчої влади, Ради міністрів Автономної Республіки Крим, місцевих органів виконавчої влади та їхніх структурних підрозділів, державних підприємств, установ і організацій у разі потреби мають право зняти гриф «ДСК» з документів, підготовлених цим органом чи його структурним підрозділом, підприємством, установою, організацією, якщо відомості, що містяться у цих документах, не відповідають перелікам, затвердженим відповідними експертними комісіями.
Керівники міністерств, інших центральних органів виконавчої влади, Ради міністрів Автономної Республіки Крим, обласних,
Київської та Севастопольської міських держадміністрацій, які затвердили переліки відомостей, які містять конфіденційну інформацію, що є власністю держави, мають право зняти гриф «ДСК» з відповідних документів.
З введенням у дію названої вище Інструкції тиражовані документи, видані з грифом «ДСК» до 1991 року, а також тиражовані документи, випущені у світ у різний час з іншими обмежувальними грифами, крім грифів «Службова таємниця», «Таємно», «Цілком таємно» та «Особливої важливості», можуть розглядатися як відкриті документи за наявності письмової згоди організацій, що їх підготували, або правонаступників цих організацій. Тиражовані документи, що вийшли у світ у 1991 році та пізніше з грифом «ДСК» або з нумерацією кожного примірника тиражу, а також всі документи органу законодавчої влади, вищого органу виконавчої влади та вищих судових органів без грифів обмеження доступу, але не опубліковані в офіційних виданнях, з яких знято грифи секретності, розглядаються як матеріали, що містять відомості обмеженого поширення з грифом «ДСК».
3. Система захисту конфіденційної інформації, що є власністю держави
Відповідальність за забезпечення правильного ведення обліку, зберігання та використання документів з грифом «ДСК» несуть керівники організацій. Ведення обліку, зберігання, розмноження та використання документів з грифом «ДСК», а також контроль за дотриманням вимог цієї Інструкції покладається на управління справами, загальні відділи, канцелярії організацій (далі — канцелярії).
На режимно-секретні підрозділи організацій покладається завдання з запобігання розголошенню відомостей, що містяться в документах з грифом «ДСК», та випадкам втрат таких документів.
Співробітники організацій, які працюють з документами з грифом «ДСК», в обов’язковому порядку підлягають ознайомленню під розписку із відповідними інструкціями, в яких регламентовано правила поводження з інформацією «ДСК». Ознайомлення здійснюють канцелярії організацій.
Співробітникам (виконавцям), допущеним до роботи з документами з грифом «ДСК», забороняється повідомляти усно або письмово будь-кому відомості, що містяться у цих документах, якщо це не викликано службовою потребою.
Інструкцією про порядок обліку, зберігання і використання документів, справ, видань та інших матеріальних носіїв інформації, які містять конфіденційну інформацію, що є власністю держави визначаються основні правила
— прийняття і обліку документів;
— розмноження і розсилання (відправлення) документів;
— формування виконаних документів у справи;
— використання документів;
— зняття грифа «ДСК»;
— відбору документів для зберігання і знищення;
— забезпечення схоронності документів та перевірка їх наявності;
— обліку, зберігання і використання печаток, штампів і бланків. Приймання і облік (реєстрація) документів з грифом «ДСК»
здійснюється канцелярією організації, яка веде облік несекретної документації. На документи з грифом «ДСК», як правило, поширюється вимога одноразовості реєстрації. Кореспонденція з грифом «ДСК», що надходить до організації, у тому числі документи, створені за допомогою персональних комп’ютерів (ПК), приймається і розкривається централізовано у канцелярії співробітниками, яким доручена робота з такими документами. При цьому перевіряються номери, кількість сторінок та примірників документів, а також наявність додатків, зазначених у супровідному листі. У разі відсутності у конвертах (пакетах) документів або додатків до них складається акт про відсутність вкладень у конверті (пакеті) у двох примірниках, один з яких надсилається відправнику.
Документи з грифом «ДСК», які надійшли помилково, повертаються відправнику або пересилаються адресатові.
У разі надходження документів з грифом «ДСК» у неробочий час вони приймаються черговим працівником, який, не розкриваючи цю кореспонденцію, передає її під розписку до канцелярії.
Забороняється доставляти у неробочий час документи з грифом «ДСК» в організації, де немає постійних чергових працівників.
Реєстрації підлягають усі вхідні, вихідні та внутрішні документи з грифом «ДСК». Вони обліковуються за кількістю сторінок, а видання (книги, журнали, брошури) — за кількістю примірників.
Сторінки журналів нумеруються, журнали прошнуровуються та опечатуються. На останній обліченій сторінці робиться запис про кількість сторінок у журналі, який підписується працівником канцелярії та завіряється печаткою «Для пакетів». У разі коли обсяг документів з грифом «ДСК» незначний, дозволяється вести їх облік (реєстрацію) разом з іншою несекретною документацією. При цьому на картці (у журналі) до реєстраційного номера документа або видання додається позначка «ДСК».
Проходження документів з грифом «ДСК» повинно своєчасно відображатися на відповідних картках (у журналах).
На кожному зареєстрованому документі, а також супровідному листі до видання з грифом «ДСК» проставляється штамп, у якому зазначаються найменування організації, реєстраційний номер документа та дата його надходження.
Тираж видання з грифом «ДСК», одержаний для розсилання, реєструється за одним вхідним номером у журналі обліку і розподілу видань з грифом «ДСК» за відповідною формою. Додатково розмножені примірники документа (видання) обліковуються за номером цього документа (видання), про що робиться позначка на розмноженому документі (виданні) та у формах обліку. Нумерація додатково розмножених примірників продовжується від останнього номера примірників, що були розмножені раніше.
Відповідальність за випуск документів з грифом «ДСК», що тиражуються, несуть керівники організацій (структурних підрозділів), у яких вони тиражуються. Документи з грифом «ДСК», одержані від сторонніх організацій, можуть бути розмножені тільки за їх згодою.
Друкування документів з грифом «ДСК» здійснюється у друкарському бюро організації. При цьому до реєстраційного номера документа додається позначка «ДСК». Друкування таких документів також допускається у структурних підрозділах під відповідальність їх керівників. Оброблення, зберігання, а також друкування документів з грифом «ДСК» та конфіденційної інформації, що є власністю держави, з використанням автоматизованих систем (далі — АС) дозволяється тільки за наявності виданого в установленому порядку Департаментом спеціальних телекомунікаційних систем та захисту інформації СБ України атестата відповідності комплексної системи захисту інформації в цій АС вимогам щодо захисту інформації.
На звороті останньої сторінки кожного примірника документа друкарка повинна зазначити кількість надрукованих примірників, прізвище виконавця, власне прізвище і дату друкування документа. Надруковані і підписані документи з грифом «ДСК» разом з їх чернетками та варіантами передаються для реєстрації співробітнику канцелярії, який здійснює їх облік. Чернетки і варіанти знищуються виконавцем та співробітником канцелярії, про що на копії вихідного документа робиться запис «Чернетки і варіанти знищені. Дата. Підписи».
Реферативні інформаційні видання у журнальному або зброшурованому картковому виконанні, в яких містяться відомості про документи з грифом «ДСК», випускаються з аналогічним грифом. Вилучені із зазначених видань реферативні інформаційні картки та сторінки, що не містять відомостей обмеженого поширення, обліковуються і зберігаються як несекретні матеріали. Факт вилучення карток і сторінок засвідчується підписами двох виконавців на обкладинках цих видань.
Розмноження документів з грифом «ДСК» у друкарні або на розмножувальних апаратах здійснюється з дозволу керівника організації (структурного підрозділу) за підписаними ним нарядами під контролем канцелярії. Облік розмножених документів здійснюється за кількістю їх примірників.
У друкарнях та у відділах розмножувальної техніки облік документів з грифом «ДСК», що тиражуються в незначному обсязі, може здійснюватися в одному журналі разом з іншими несек-ретними документами. При цьому до реєстраційного номера чи назви документа додається позначка «ДСК».
Після закінчення друкування документів з грифом «ДСК» набір повинен бути розсипаний, друкарські форми анульовані, записи на магнітних дисках знищені, про що складається акт або робиться відповідна відмітка у журналі за підписами замовника і виконавця.
Під час розмноження документів з грифом «ДСК» з використанням засобів копіювально-розмножувальної техніки заходи технічного захисту інформації здійснюються відповідно до законодавства.
Розсилання (відправлення) тиражу документів з грифом «ДСК» здійснюється на підставі рознарядок, підписаних керівником організації (його заступником) та керівником канцелярії, із зазначенням облікових номерів примірників, що розсилаються (відправляються).
Пересилання документів з грифом «ДСК» до інших організацій у межах України здійснюється рекомендованими або цінними поштовими відправленнями, а також з кур’єрами організацій.
Доставка документів з грифом «ДСК» представниками інших організацій здійснюється на підставі письмового доручення.
Документи, справи і видання з грифом «ДСК», що розсилаються, повинні бути вкладені у конверти або упаковані таким чином, щоб виключалася можливість доступу до них.
На упаковці або конверті зазначаються адреси і найменування одержувача та відправника, номери вкладених документів з проставлянням позначки «ДСК».
На конвертах (упаковках) документів з грифом «ДСК» забороняється зазначати прізвища і посади керівників організацій (структурних підрозділів) і виконавців документів, а також найменування структурних підрозділів.
Ознайомлення представників засобів масової інформації з документами з грифом «ДСК та передавання їм таких матеріалів допускається у кожному окремому випадку за письмовими дозволами керівників організацій, яким надано право відповідно затверджувати переліки відомостей, які містять конфіденційну інформацію, що є власністю держави. Такі документи попередньо розглядаються експертними комісіями, які приймають письмові рішення про доцільність їх передавання або можливість зняття грифа «ДСК», якщо на момент ознайомлення або передавання відомості, що містяться у документах, втратили первісне значення. Якщо в документах з грифом «ДСК» містяться відомості, що належать до компетенції інших організацій, передавання їх за кордон або у засоби масової інформації може бути здійснене лише за письмовою згодою цих організацій. Забороняється надсилати за кордон видання з грифом «ДСК» у порядку книгообміну або експонування на виставках, презентаціях тощо.
Документи з грифом «ДСК» після їх виконання формуються у справи. Порядок формування цих справ передбачається номенклатурами справ несекретного діловодства У номенклатуру справ в обов’язковому порядку включаються всі довідкові та реєстраційні картотеки і журнали на документи з грифом «ДСК». Документи з грифом «ДСК» залежно від виробничої та інформаційної потреби дозволяється формувати у справи окремо або разом з іншими несекретними документами з одного й того ж питання.
Якщо в організації створюється велика кількість однакових видів документів (наказів, інструкцій, планів тощо) з грифом «ДСК» та без цього грифа, доцільно формувати їх в окремі справи. При цьому в графі номенклатури справ «Індекс справи» до номера справи з документами з грифом «ДСК» додається позначка «ДСК».
У разі долучення документа з грифом «ДСК» до справи з документами, що не мають такого грифа, на справі ставиться позначка «ДСК», а до номенклатури справ вносяться відповідні зміни.
В організаціях, у діяльності яких створюється незначна кількість документів з грифом «ДСК», номенклатурою справ може бути передбачене запровадження однієї справи із заголовком «Документи з грифом «ДСК». Термін зберігання такої справи не встановлюється, а у відповідній графі номенклатури справ приставляється позначка «ЕК» (експертна комісія).
Після закінчення діловодного року справа «Документи з грифом «ДСК» переглядається посторінково членами експертної комісії організації та у разі потреби приймається рішення про переформування документів. Документи постійного зберігання, що містяться у цій справі, формуються в окрему справу, якій надається окремий заголовок і яка додатково включається до номенклатури справ. Документи тимчасового зберігання залишаються у цій справі згідно із затвердженою номенклатурою справ. Якщо у справі «Документи з грифом «ДСК» містяться тільки документи тимчасового зберігання, вона може не переформовуватися. Термін зберігання такої справи встановлюється відповідно до найбільшого терміну зберігання документів, що містяться в цій справі. Позначка «ЕК» у графі номенклатури справ «Термін зберігання» закреслюється і зазначається уточнений термін зберігання.
Якщо члени експертної комісії за результатами перегляду наявних у справі документів дійдуть висновку, що вони за сукупністю містять відомості, які становлять державну таємницю, про це складається відповідний акт. Цій справі надається гриф обмеження доступу згідно із законодавством про державну таємницю. Зберігання її здійснюється відповідно до вимог секретного діловодства.
Справи з несекретними документами, в яких накопичуються окремі документи з грифом «ДСК», повинні бути віднесені до категорії обмеженого розповсюдження і використання. На обкладинках і титульних сторінках цих справ також проставляється гриф «ДСК», а в номенклатуру справ вносяться відповідні уточнення.
Справи з документами з грифом «ДСК» повинні мати внутрішні описи. До роботи із справами з грифом «ДСК» допускаються посадові особи, які мають досвід роботи та безпосереднє відношення до цих справ, згідно із списками, погодженими з канцелярією, а до документів — згідно з вказівками, викладеними у резолюціях керівників організацій (структурних підрозділів).
Категорії працівників, які допускаються до роботи з виданнями з грифом «ДСК», визначаються керівниками організацій.
Забороняється користуватися відомостями з документів з грифом «ДСК» для відкритих виступів або опублікування у засобах масової інформації, експонувати такі документи на відкритих виставках, демонструвати їх на стендах, у вітринах або інших громадських місцях.
У разі потреби з письмового дозволу керівника організації допускається опублікування або передання для опублікування несекретних відомостей обмеженого поширення, якщо такі відомості не суперечать затвердженим в установі перелікам конфіденційної інформації, що є власністю держави.
Передача конфіденційної інформації, що є власністю держави, каналами зв’язку здійснюється лише з використанням засобів технічного та (або) криптографічного захисту інформації.
Представники інших організацій допускаються до ознайомлення і роботи з документами з грифом «ДСК» з дозволу керівників організацій (структурних підрозділів), у володінні та розпорядженні яких перебувають ці документи, за наявності письмового запиту організацій, в яких вони працюють, із зазначенням характеру завдання, що виконується.
Виписки з документів і видань з грифом «ДСК», що містять відомості обмеженого поширення, робляться у зошитах, що мають аналогічний гриф, які після закінчення роботи надсилаються на адресу організації, яка давала дозвіл на ознайомлення і роботу з документами з грифом «ДСК».
Справи та видання з грифом «ДСК» видаються виконавцям і приймаються від них під розписку в картці обліку справ і видань, що видаються за встановленою формою.
Зняття копій, а також здійснення виписок з документів з грифом «ДСК» співробітниками організації, де перебувають документи, проводиться з дозволу керівника організації (структурного підрозділу).
Копіювання для сторонніх організацій документів з грифом «ДСК», одержаних від інших організацій, здійснюється за погодженням з організаціями-авторами цих документів.
Видання з грифом «ДСК» включаються тільки у службові каталоги. Забороняється включати такі видання у відкриті каталоги та бібліографічні покажчики Видача громадянам України видань з грифом «ДСК» у масових бібліотеках здійснюється за письмовими клопотаннями керівників організацій, в яких працюють ці громадяни, із зазначенням теми роботи. Ці дозволи дійсні протягом року.
Забороняється зберігати документи з грифом «ДСК» у бібліотеках загального користування.
У відомчих бібліотеках закритого типу видання з грифом «ДСК» видаються
співробітникам цієї організації — за списками, затвердженими керівником організації (структурного підрозділу), або за його письмовим дозволом;
співробітникам інших організацій — за письмовими зверненнями цих організацій та з письмового дозволу керівника організації (структурного підрозділу), що зберігає ці видання.
Видання з грифом «ДСК» з письмового дозволу керівника організації можуть видаватися по міжбібліотечному абонементу на підставі письмових запитів керівників організацій, яким ці видання потрібні.
Справи постійного та тривалого (понад 10 років) зберігання з грифом «ДСК» періодично переглядаються з метою можливого зняття цього грифа. Перегляд здійснюється під час передачі справ із структурних підрозділів до архівного підрозділу організації, у процесі зберігання справ в архівному підрозділі (як правило не менш як один раз на 5 — 10 років), а також під час підготовки справ постійного зберігання для передачі до державної архівної установи.
Рішення про зняття грифа «ДСК» приймається експертною комісією організації-автора документа (видання) чи правонаступника. До складу комісії включаються працівники канцелярії, режимно-секретного та інших структурних підрозділів організації.
Рішення комісії оформляється актом, що складається за довільною формою та затверджується керівником організації. В акті перелічуються заголовки та номери за описом справ, з яких знімається гриф «ДСК».
Один примірник акта разом із справами передається до архівного підрозділу організації, а справи постійного зберігання — до відповідної державної архівної установи. Про зняття грифа обмеження доступу повідомляються всі організації, яким надсилався цей документ (видання).
На обкладинках справ гриф «ДСК» погашається штампом або записом від руки із зазначенням дати і номера акта, що став підставою для зняття грифа. Аналогічні відмітки вносяться до опису і номенклатури справ.
Справи з грифом «ДСК», передані організаціями до державних архівних установ, використовуються на правах документів обмеженого користування.
Видача таких справ дослідникам здійснюється з письмового дозволу керівника державної архівної установи, якщо організація-фондоутворювач під час передачі справ до державної архівної установи не обумовила вимоги щодо погодження з нею видачі таких справ.
Проведення експертизи наукової, історико-культурної цінності документів і справ з грифом «ДСК», розгляд і затвердження її результатів здійснюється відповідно до Порядку утворення та діяльності експертних комісій з визначення цінності документів, Порядку державної реєстрації документів Національного архівного фонду, Порядку віднесення документів Національного архівного фонду до унікальних, внесення їх до Державного реєстру національного культурного надбання та зберігання, затверджених Постановою Кабінету Міністрів України від 16 листопада 2002 р. № 1739.
Справи із структурних підрозділів до архівного підрозділу організації передаються в упорядкованому стані. На справи з документами з грифом «ДСК» з терміном зберігання до 10 років включно описи можуть не складатися. їх передача до архівного підрозділу здійснюється за номенклатурами справ. Підготовка справ для архівного зберігання (оформлення, опис справ на обкладинках і складання описів справ) здійснюється згідно з правилами, встановленими Головархівом.
Справи з грифом «ДСК» постійного зберігання передаються до державних архівних установ у встановленому Головархівом порядку з обов’язковою посторінковою перевіркою документів, включених до них.
Відібрані для знищення справи з грифом «ДСК», що не мають наукової, історико-культурної цінності та втратили практичне значення, можуть оформлятися окремим актом або включатися у загальний акт за разом з іншими несекретними справами, відібраними до знищення. При цьому у графі «Заголовки справ» після номерів цих справ проставляється відмітка «ДСК».
Відібрані для знищення документи, справи і видання з грифом «ДСК» перед здачею на переробку як макулатура повинні в обов’язковому порядку подрібнюватися до стану, що виключає можливість прочитання їх.
Після знищення матеріалів з грифом «ДСК» в облікових документах (картках, журналах, номенклатурах справ, описах справ тимчасового зберігання) робиться відповідна відмітка.
Інформаційні бюлетені, реферативні інформаційні видання, телефонні та адресні довідники, а також копії документів, стенографічні записи і друкарський брак знищуються без акта, але з відміткою в облікових формах, що засвідчується підписами виконавця і працівника, відповідального за їх облік і зберігання.
Забезпечення схоронності документів й перевірка їх наявності здійснюється у такому порядку. Документи з грифом «ДСК» повинні зберігатися у службових приміщеннях і бібліотеках у шафах (сховищах), які надійно замикаються та опечатуються. Забороняється зберігати такі документи у підсобних фондах бібліотек.
Справи з грифом «ДСК», видані для роботи, підлягають поверненню у канцелярію або архівний підрозділ у той же день. Окремі справи з грифом «ДСК» з дозволу керівника канцелярії або архівного підрозділу організації можуть перебувати у виконавця протягом терміну, необхідного для виконання завдання, за умови повного забезпечення їх схоронності і додержання правил зберігання.
Передача документів з грифом «ДСК» іншим співробітникам здійснюється тільки через канцелярію, архівний підрозділ або бібліотеку. Забороняється вилучення із справ або переміщення документів з грифом «ДСК» з однієї справи до іншої без дозволу канцелярії. Про всі проведені вилучення або переміщення документів робляться відмітки в облікових формах, включаючи внутрішні описи.
Забороняється виносити документи з грифом «ДСК» за межі службових приміщень організації. У разі потреби керівник організації (структурного підрозділу) може дозволити виконавцям або співробітникам канцелярії винести за межі службового приміщення організації документи з грифом «ДСК» для їх погодження, підписання тощо в організаціях, що знаходяться у межах одного населеного пункту.
Особам, які відряджені до інших населених пунктів, забороняється мати при собі матеріали з грифом «ДСК». Ці матеріали повинні бути заздалегідь надіслані на адресу організації за місцем відрядження співробітника відповідно до встановленого порядку.
В окремих випадках з дозволу керівника організації дозволяється перевезення документів з грифом «ДСК» до іншого населеного пункту за умови, що такі документи перевозяться групою у складі не менше двох працівників (або одного озброєного працівника), що мають виконувати роботу з ними в іншому населеному пункті.
У разі зміни працівників, відповідальних за облік і зберігання документів (справ) з грифом «ДСК», складається за довільною формою акт прийому-передачі цих документів (справ), що затверджується керівником організації (структурного підрозділу).
Перевірка наявності документів з грифом «ДСК» здійснюється щорічно комісією, що призначається наказом керівника організації. До складу цієї комісії обов’язково включаються особи, яким доручено облік і зберігання цих документів, а також працівники режимно-секретних підрозділів.
У бібліотеках та архівних підрозділах, де зосереджена значна кількість документів з грифом «ДСК», перевірка їх наявності може здійснюватися один раз на п’ять років. Результати перевірки наявності оформляються відповідним актом.
Про факти втрати документів з грифом «ДСК» або розголошення відомостей, що містяться в них, терміново доводиться до відома керівника організації, керівників режимно-секретного підрозділу та канцелярії. Для розслідування факту втрати документів з грифом «ДСК» або встановлення факту розголошення відомостей, що містяться в них, наказом керівника організації призначається комісія, висновок якої затверджується керівником організації.
Відповідні записи про втрачені документи вносяться в облікові форми на підставі акта комісії, затвердженого керівником організації. Акти комісії про втрачені справи постійного зберігання після затвердження їх керівником організації передаються до архівного підрозділу для включення у справу фонду.
За порушення, що призвели до розголошення інформації «ДСК», втрати або незаконного знищення документів з грифом «ДСК», а також інших вимог порядку обліку, зберігання і використання документів, справ, видань та інших матеріальних носіїв інформації, які містять конфіденційну інформацію, що є власністю держави, винні особи несуть дисциплінарну та цивільно-правову відповідальність згідно із законодавством.
Облік, зберігання і використання печаток, штампів і бланків здійснюється у такому порядку. Обов’язковому обліку підлягають печатки і штампи з повним найменуванням організацій; бланки з кутовими та повздовжніми штампами організацій, що мають необхідний трафаретизований текст документів, які дають право на інспектування, нагляд та відвідування організацій; посвідчення особи, посвідчення про відрядження, а також усі види перепусток, бланки документів про освіту (атестати, дипломи, посвідчення), трудові книжки.
Порядок обліку, зберігання і використання інших видів печаток, штампів і бланків суворої звітності визначається відповідними відомчими інструкціями. Контроль за їх виготовленням, зберіганням та використанням покладається на канцелярії організацій та осіб, відповідальних за діловодство.
Особи, що персонально відповідають за облік і зберігання печаток, штампів і бланків, призначаються наказами керівників організацій.
Облік печаток, штампів і бланків ведеться у журналі за встановленою формою. Видача бланків відповідальним за їх використання особам здійснюється під розписку у відповідних журналах. Журнали обліку печаток, штампів і бланків включаються у номенклатуру справ, їх аркуші нумеруються, прошиваються і опечатуються. Печатки і штампи повинні зберігатися у сейфах або металевих шафах. Бланки дозволяється зберігати у шафах, що надійно замикаються та опечатуються.
На бланках посвідчень особи, посвідчень про відрядження, усіх видів перепусток, документів про освіту, документів, що дають право на інспектування, нагляд або відвідання організацій, друкарським способом або нумератором проставляються порядкові номери на всіх частинах (сторінках) цих бланків.
Печатки і штампи, виготовлені з дозволу органів МВС, здаються для знищення цим органам за місцезнаходженням організацій. Перевірка наявності печаток, штампів і бланків здійснюється щорічно комісією, призначеною наказом керівника організації. Про перевірки наявності печаток, штампів і бланків робляться відмітки у журналах обліку за встановленими формами після останнього запису. У разі порушення правил обліку, зберігання і використання печаток, штампів і бланків комісія проводить службове розслідування, результати якого оформляються актом довільної форми та доводяться до відома керівника організації.
У разі втрати печаток і штампів керівники організацій зобов’язані негайно повідомити про це органи МВС та вжити заходів для їх розшуку.
4. Центральний орган державної влади, функції якого пов’язані із захистом конфіденційної інформації, що є власністю держави
Врегулювання питань, пов’язаних з обігом конфіденційної інформації, що є власністю держави, на рівні постанови КМ України не призвело до вирішення даного питання в цілому. Лише 11 травня 2004 року до Закону України «Про інформацію» було внесено зміни, завдяки яким в законодавче поле вписувалися основи правового регулювання конфіденційної інформації, а саме
— доповнено статтю ЗО, згідно з якою інформація, що є власністю держави, і знаходиться в користуванні органів державної влади чи органів місцевого самоврядування, підприємств, установ та організацій усіх форм власності, з метою її збереження може бути відповідно до закону встановлено обмежений доступ — надано статус конфіденційної. Порядок обліку, зберігання і використання документів та інших носіїв інформації, що містять зазначену інформацію, визначається Кабінетом Міністрів України. Визначено категорії інформації, які не можуть бути віднесені до конфіденційної;
— статтю 47 «Відповідальність за порушення законодавства про інформацію доповнено абзацом такого змісту «порушення порядку обліку, зберігання і використання документів та інших носіїв інформації, які містять конфіденційну інформацію, що є власністю держави».
Одночасно із змінами до Закону України «Про інформацію» було внесено зміни до Кодексу України про адміністративні правопорушення, до Закону України —Про Службу безпеки України».
Аналіз чинного законодавства дозволяє зробити висновок, що СБ України є єдиним правоохоронним органом, який наділений необхідним правовим інструментарієм щодо забезпечення захисту конфіденційної інформації
— з метою пошуку і фіксації фактичних даних про передачу або збирання відомостей, що становлять конфіденційну інформацію, яка є власністю держави, СБ України уповноважена проводити оперативно-розшукову діяльність;
— до підслідності СБ України віднесено розслідування злочину передбаченого статтею 330 КК України «Передача або збирання відомостей, що становлять конфіденційну інформацію, яка є власністю держави»;
— уповноважені посадові особи СБ України мають право складати адміністративні протоколи за порушення передбачені статтею 212-5 Кодексу України про адміністративні правопорушення «Порушення порядку обліку, зберігання і використання документів та інших носіїв, які містять конфіденційну інформацію, що є власністю держави»;
— ДСТСЗІ СБ України (Державну службу спеціального зв’язку та захисту інформації України) наділено контрольно-наглядовими, регулятивними та дозвільно-реєстраційними повноваженнями з технічного та криптографічного захисту конфіденційної інформації, що є власністю держави.
Крім цього, відповідно до Закону України «Про Службу безпеки України» остання зобов’язана брати участь у розробці і здійсненні заходів щодо забезпечення конфіденційної інформації (п. 7 ст. 24). А згідно з Постановою Кабінету Міністрів України від 17.11.2004 р. № 1547 (доповнення до Постанови КМ України від 27 листопада 1998 р. № 1893) СБ України
— контролює обіг документів, які містять конфіденційну інформацію;
— погоджує (спільно з Держкомархів України) відомчі інструкції з питань обліку, зберігання і використання документів, справ, видань та інших матеріальних носіїв інформації, які її містять;
— про факти втрати документів з грифом «ДСК» або розголошення таких відомостей організації зобов’язані письмово повідомляти СБ України.
Виходячи з зазначеного, Службу безпеки України фактично визнано спеціально уповноваженим органом державної влади у сфері захисту конфіденційної інформації.
Повне розв’язання даної проблеми можливе у разі законодавчого врегулювання основних аспектів захисту конфіденційної інформації.
— встановлення строку обмеження доступу до інформації, підстави для зняття такого обмеження;
— заходи захисту даної категорії інформації;
— порядок доступу до відповідної інформації;
— обмеження прав громадян, які обізнані з конфіденційною інформацією (насамперед на її оприлюднення) тощо.
8. Правова регламентація технічного захисту інформації в Україні
Питання лекції
1. Зміст поняття «технічний захист інформації».
2. Основні положення законодавства України щодо технічного захисту інформації.
3. Особливості дозвільного порядку здійснення діяльності з розробки технічних засобів захисту інформації.
4. Правове регулювання захисту державних інформаційних ресурсів в інформаційно-телекомунікаційних системах.
Зростання загроз для інформації, спричинене лібералізацією суспільних та міждержавних відносин, кризовим станом економіки, застосуванням технічних засобів оброблення інформації та засобів зв’язку іноземного виробництва, поширенням засобів несанкціонованого доступу до інформації та впливу на неї, визначає необхідність розвитку технічного захисту інформації.
Напрями розвитку технічного захисту інформації обумовлюються необхідністю своєчасного вжиття заходів, адекватних масштабам загроз для інформації, і ґрунтуються на засадах правової демократичної держави відповідно до прав суб’єктів інформаційних відносин на доступ до інформації та її захист.
Ефективне і належне функціонування системи технічного захисту інформації не можливе без чіткого правового регулювання відповідних суспільних відносин. Адже саме право має необхідні засоби і механізми впливу на поведінку суб’єктів відповідних відносин.
У даній лекції розглянуто саме правові основи технічного захисту інформації в Україні.
1. Зміст поняття «технічний захист інформації»
Основи державної політики у сфері захисту інформації інженерно-технічними заходами визначає Концепція технічного захисту інформації в Україні, затверджена Постановою Кабінету Міністрів України від 8 жовтня 1997 р. №1126.
У Концепції зазначено, що технічний захист інформації (далі — ТЗІ) є складовою частиною забезпечення національної безпеки України.
Закон України «Про основи національної безпеки України» дає таке визначення національна безпека — захищеність життєво важливих інтересів людини і громадянина, суспільства і держави, за якої забезпечуються сталий розвиток суспільства, своєчасне виявлення, запобігання і нейтралізація реальних та потенційних загроз національним інтересам.
Таким чином, технічний захист інформації визнається одним із засобів охорони та захисту життєво важливих інтересів людини і громадянина, суспільства і держави.
Згадана вище Концепція має за мету забезпечити єдність принципів формування і проведення політики технічного захисту інформації в усіх сферах життєдіяльності особи, суспільства та держави (соціальній, політичній, економічній, військовій, екологічній, науково-технологічній, інформаційній тощо) і служити підставою для створення програм розвитку сфери ТЗІ.
Нормативне визначення ТЗІ наступне це діяльність, спрямована на забезпечення інженерно-технічними заходами порядку доступу, цілісності та доступності (унеможливлення блокування) інформації, яка становить державну та іншу передбачену законом таємницю, конфіденційної інформації, а також цілісності та доступності відкритої інформації, важливої для особи, суспільства і держави. Система ТЗІ — це сукупність суб’єктів, об’єднаних цілями та завданнями захисту інформації інженерно-технічними заходами (далі — організаційні структури), нормативно-правова та матеріально-технічна база.
Принципами формування і проведення державної політики у сфері ТЗІ є
— додержання балансу інтересів особи, суспільства та держави, їх взаємна відповідальність;
— єдність підходів до забезпечення ТЗІ, які визначаються загрозами безпеці інформації та режимом доступу до неї;
— комплексність, повнота та безперервність заходів ТЗІ;
— відкритість нормативно-правових актів та нормативних документів з питань ТЗІ, які не містять відомостей, що становлять державну таємницю;
— узгодженість нормативно-правових актів та нормативних документів з питань ТЗІ з відповідними міжнародними договорами України;
— обов’язковість захисту інженерно-технічними заходами інформації, яка становить державну та іншу передбачену законом таємницю, конфіденційної інформації, що є власністю держави, відкритої інформації, важливої для держави, незалежно від того, де зазначена інформація циркулює, а також відкритої інформації, важливої для особи та суспільства, якщо ця інформація циркулює в органах державної влади та органах місцевого самоврядування, Національній академії наук, Збройних Силах, інших військових формуваннях, органах внутрішніх справ, на державних підприємствах, в державних установах і організаціях (далі — державні органи, підприємства, установи і організації);
— виконання на власний розсуд суб’єктами інформаційних відносин вимог щодо технічного захисту конфіденційної інформації, що не належить державі, та відкритої інформації, важливої для особи та суспільства, якщо остання циркулює поза межами державних органів, підприємств, установ і організацій;
— покладення відповідальності за формування та реалізацію державної політики у сфері ТЗІ на спеціально уповноважений центральний орган виконавчої влади;
— ієрархічність побудови організаційних структур системи ТЗІ та керівництво їх діяльністю у межах повноважень, визначених нормативно-правовими актами;
— методичне керівництво спеціально уповноваженим центральним органом виконавчої влади у сфері ТЗІ діяльністю організаційних структур системи ТЗІ;
— скоординованість дій та розмежування сфер діяльності організаційних структур системи ТЗІ з іншими системами захисту інформації та системами забезпечення інформаційної та національної безпеки;
— фінансова забезпеченість системи ТЗІ за рахунок Державного бюджету України, бюджету Автономної Республіки Крим, місцевих бюджетів та інших джерел.
2. Основні положення законодавства України щодо технічного захисту інформації
Правову основу забезпечення ТЗІ в Україні становлять Конституція України, Закон України «Про основи національної безпеки України», Закони України «Про інформацію», «Про захист інформації в автоматизованих системах», «Про державну таємницю», «Про науково-технічну інформацію», інші нормативно-правові акти, а також міжнародні договори України, що стосуються сфери інформаційних відносин.
Структура нормативно-правової бази системи ТЗІ в Україні є наступною.
1. Закони України, в т.ч. Конституція України і Кримінальний кодекс України (ст. 361, 363), які містять загальні правові норми щодо забезпечення організації діяльності системи ТЗІ в Україні. Вони стосуються правового статусу суб’єктів інформаційних відносин, власників інформації; інформаційної діяльності різноманітних суб’єктів; національної, інформаційної безпеки тощо.
2. Нормативно-правові акти підзаконного характеру (постанови, укази, накази, розпорядження тощо) Верховної Ради України, Президента України, Кабінету Міністрів України, Служби безпеки України, інших органів державної влади щодо організації діяльності системи ТЗІ в Україні
— ліцензування господарської діяльності в галузі ТЗІ, дозвільного порядку проведення робіт з ТЗІ для власних потреб;
— процедур сертифікації, атестації, експертизи, контролю, інспектування в галузі ТЗІ;
— порядку і правил побудови, викладення, оформлення, видання та розповсюдження документів з питань ТЗІ;
— підготовки, перепідготовки і підвищення кваліфікації фахівців в галузі ТЗІ.
3. Міжвідомчі нормативні документи з питань ТЗІ (державні стандарти, галузеві стандарти, стандарти науково-технічних та інженерних товариств і спілок України, технічні умови України, стандарти підприємств, державні (відомчі) будівельні норми). Це стандарти, які містять положення, вимоги, умови щодо ТЗІ або можуть бути використані для забезпечення ТЗІ.
Порядок розроблення, погодження, затвердження, реєстрації та видання нових, перегляду і скасування чинних міжвідомчих нормативних документів технічного характеру (норми, методики, положення, інструкції тощо) системи технічного, захисту інформації, що не належать до нормативних документів із стандартизації, але є обов’язковими для виконання всіма органами виконавчої влади та місцевого самоврядування, військовими частинами всіх військових формувань, створених відповідно до законодавства, підприємствами, установами й організаціями незалежно від форм власності, діяльність яких пов’язана з технічним захистом інформації, визначається Положенням про порядок розроблення, прийняття, перегляду та скасування міжвідомчих нормативних документів системи технічного захисту інформації, затвердженим Наказ Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 7.06.2002 р. № 35. Міжвідомчі нормативні документи з питань ТЗІ призначені для забезпечення конфіденційності, цілісності і доступності інформації в інформаційно-телекомунікаційних системах, автоматизованих системах і на об’єктах інформаційної діяльності.
4. Відомчі документи з питань ТЗІ, що погоджені Державною службою і стосуються досліджень заходів ТЗІ та досліджень їх ефективності.
У сукупності всі ці документи встановлюють основні положення, загальні правила, визначають порядок здійснення різних видів діяльності в сфері ТЗІ, формулюють вимоги до якості послуг і продукції, викладають методичні вказівки по впровадженню заходів захисту і оцінюванню їх ефективності.
3. Особливості дозвільного порядку здійснення діяльності з розробки технічних засобів захисту інформації
Дозвільний порядок здійснення діяльності з розробки технічних засобів захисту інформації визначається Положенням про державну експертизу в сфері технічного захисту інформації, затвердженим Наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 29 грудня 1999 р. № 62.
Державна експертиза в сфері технічного захисту інформації (далі — експертиза) проводиться з метою оцінки захищеності інформації, яка обробляється або циркулює в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, приміщеннях, інженерно-технічних спорудах тощо (далі — об’єкти інформаційної діяльності), та підготовки обґрунтованих висновків для прийняття відповідних рішень.
Дія зазначеного Положення поширюється на всіх юридичних та фізичних осіб, які належать до числа суб’єктів експертизи.
Суб’єктами експертизи є
юридичні та фізичні особи, які є замовниками експертизи (далі — замовники);
Департамент спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України (Законом України <<Про Державну службу спеціального зв'язку та захисту інформації України" від 23 лютого 2006 року на базі Департаменту спеціальних телекомунікаційних систем та захисту інформації і відповідних підрозділів Служби безпеки України утворено Державну службу спеціального зв'язку та захисту інформації України, далі — Державна служба), а також підприємства, установи та організації, які проводять експертизу за його дорученням (далі — організатори);
фізичні особи — виконавці експертних робіт з технічного захисту інформації (далі — експерти). Об’єктами експертизи є
комплексні системи захисту інформації (далі — КСЗІ), кожна з яких є невід’ємною складовою частиною конкретного об’єкта інформаційної діяльності і поєднує організаційні та інженерні заходи, програмні й технічні засоби, призначені для попередження навмисних чи ненавмисних дій щодо блокування інформації, порушення її цілісності або конфіденційності;
окремі технічні та програмні засоби, які реалізують функції технічного захисту інформації (далі — засоби забезпечення технічного захисту інформації, ЗТЗІ).
КСЗІ на об’єктах інформаційної діяльності, де обробляється інформація, яка є власністю держави, або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, підлягають експертизі в обов’язковому порядку.
Експертиза може бути первинною та контрольною.
Первинна експертиза є основним видом експертизи і передбачає виконання всіх потрібних заходів для підготовки та прийняття рішення щодо об’єкта експертизи.
Контрольна експертиза провадиться іншим організатором з ініціативи замовника, за наявності в нього обґрунтованих претензій до висновку первинної експертизи, або з ініціативи Державної служби — для перевірки висновків первинної експертизи.
Державна служба для організації та проведення експертизи
— розробляє необхідні нормативно-правові аьсги та нормативні документи, що забезпечують проведення експертизи, інформує організаторів та експертів про введення їх у дію;
— формує Реєстри організаторів та експертів;
— реєструє заяви на проведення експертизи та надає замовникові консультації з процедурних питань;
— приймає рішення щодо можливості й доцільності проведення та організації експертизи, зокрема — контрольної;
— реєструє, видає, призупиняє дію або анулює документи, що засвідчують рішення щодо можливості використання ЗТЗІ чи відповідності КСЗІ вимогам нормативних документів з технічного захисту інформації;
— здійснює контроль за дотриманням тих вимог експлуатації об’єкта експертизи, недотримання яких впливає на захищеність інформації.
Замовник експертизи має право
— використовувати без обмежень висновки, результати і матеріали експертизи у своїй діяльності, якщо іншого не передбачено договором на проведення експертизи;
заявляти клопотання про потребу проведення контрольної експертизи — брати, за погодженням з організатором, участь у проведенні експертних робіт.
Замовник експертизи зобов’язаний
— сприяти організатору в проведенні всебічного комплексного дослідження об’єкта експертизи, виробленні експертної оцінки;
— передавати в установлені договором терміни організатору потрібні матеріали, розрахунки, дані, додаткові відомості, що стосуються об’єкта експертизи, та надавати потрібне обладнання.
Результати, матеріали, висновки експертизи та створене або придбане за кошти замовника матеріально-технічне забезпечення є його власністю, якщо іншого не передбачено договором між замовником і організатором.
Організатор експертизи має право
— здійснювати всі потрібні заходи з метою організації та проведення експертизи відповідно до положень договору із замовником;
— готувати пропозиції щодо включення (виключення) фахівців з питань технічного захисту інформації до (з) Реєстру експертів;
— готувати пропозиції щодо розроблення та розробляти проекти нормативних документів з питань проведення експертизи.
Організатор експертизи зобов’язаний
— забезпечувати неупереджене, об’єктивне та своєчасне проведення експертизи;
— за залучення Державною службою — розглядати проекти нормативних документів щодо виконання експертних робіт і надавати змістовні, обґрунтовані пропозиції та зауваження;
— створювати умови, які б забезпечували виконання вимог до конфіденційності проведення експертизи, якщо це передбачено договором.
Експерт має право
— вільно викладати в документах з експертизи особисту думку з питань експертизи, а також — особливі думки відносно результатів виконання робіт;
— вимагати від організатора надання достовірних відомостей, матеріалів та інженерно-технічного забезпечення, потрібних для виконання експертних робіт та підготовки висновків;
— вносити пропозиції щодо вдосконалення форм і методів проведення експертизи.
Експерт зобов’язаний
— об’єктивно, неупереджено та своєчасно виконувати експертні роботи;
— не допускати розголошення інформації, яка міститься у матеріалах та висновках експертизи;
— пред’являти на вимогу замовника документи, які підтверджують його досвід та рівень кваліфікації.
Положення про державну експертизу в сфері технічного захисту інформації, затверджене Наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 29 грудня 1999 р. № 62 визначає також порядок організації та проведення експертизи.
З метою координації заходів та прийняття рішень щодо проведення експертиз при Державній службі створюється Експертна рада з питань державної експертизи в сфері технічного захисту інформації (далі — Експертна рада).
Для проведення експертизи замовник надсилає на ім’я керівника Державної служби у двох примірниках з копією на магнітному носії заяву про проведення експертизи комплексної системи захисту інформації об’єкта інформаційної діяльності або заяву про проведення експертизи засобу технічного захисту інформації.
За результатами розгляду заяви Експертна рада у місячний термін приймає рішення про доцільність проведення експертизи та визначає її організатора. У разі наявності у замовника обґрунтованих претензій щодо результатів або порядку проведення експертизи він може звернутися із заявою на ім’я керівника Державної служби про проведення контрольної експертизи.
Основним юридичним документом, що регламентує відносини між замовником і організатором, є договір на проведення експертизи. Порядок фінансування експертизи визначається відповідно до законодавства України, а оплата витрат на проведення експертизи, оплата праці експертів та послуг організаторів здійснюється на підставі договору. Термін проведення експертизи визначається договором і не повинен перевищувати шести місяців. Збільшення терміну проведення експертизи допускається лише за узгодженням з Державної службою у випадку значного обсягу експертних робіт. Питання оплати контрольної експертизи визначається у договорі на проведення експертизи.
Список експертів, які залучаються до виконання експертних робіт під час проведення конкретної експертизи, визначається організатором.
Замовник надає організатору визначений нормативними документами системи ТЗІ комплект організаційно-технічної документації на об’єкт експертизи. Організатор, за результатами аналізу наданих документів і з урахуванням загальних методик оцінювання ефективності ЗТЗІ та КСЗІ, формує програму і окремі методики проведення експертизи об’єкта та розробляє, у разі потреби, відповідне програмно-технічне забезпечення.
Терміни розроблення окремої методики та потрібних програмно-апаратних засобів залежать від характеру та складності об’єкта експертизи і визначаються у договорі на проведення експертизи. Під час проведення експертизи кожен експерт виконує тільки доручені організатором роботи, визначені окремою методикою. Результати роботи оформлюються у вигляді протоколу за підписом експертів, які її виконували. Протокол затверджується організатором. Організатор може рекомендувати експерту здійснити лише стилістичне редагування протоколів виконаних робіт без зміни їх змісту.
Узгодження результатів окремих робіт між експертом та організатором, а також внесення змін до протоколів після їх оформлення або поєднання результатів окремих робіт в одному протоколі не дозволяється. У протоколі можуть бути зафіксовані особливі думки експертів щодо результатів виконаних робіт. У разі виявлення невідповідності об’єкта експертизи вимогам нормативних документів системи технічного захисту інформації організатор може запропонувати замовнику виконати доробку об’єкта.
Термін доробки об’єкта експертизи визначається спільним протоколом між замовником та організатором. Відомості щодо кожної з доробок, а також результати додаткових експертних робіт, оформлюються окремими протоколами. Результати робіт, визначених окремою методикою, узагальнюються організатором в експертному висновку.
Висновки щодо кожного пункту окремої методики, а також особливі думки експертів, зафіксовані в протоколах, включаються до експертного висновку як складові частини, без унесення до них будь-яких змін.
За результатами проведених робіт організатор складає «Експертний висновок» щодо відповідності об’єкта експертизи вимогам нормативних документів системи технічного захисту інформації, підписує його і подає до Державної служби.
Положення про державну експертизу визначає також порядок надання «Експертного висновку» та «Атестата відповідності». «Експертний висновок» розглядається Експертною радою і в разі затвердження результатів експертизи реєструється та видається замовнику.
Наявність позитивного рішення щодо експертизи ЗТЗІ є підставою для включення цього засобу до переліку технічних засобів загального призначення, що дозволені Державною службою для використання з метою технічного захисту інформації.
На підставі позитивного рішення щодо експертизи КСЗІ замовнику видається зареєстрований «Атестат відповідності», який підписується керівником (заступником керівника) Державної служби. Державна служба має право призупинити або анулювати дію «Експертного висновку» та «Атестата відповідності». Порядок призупинення або анулювання дії зазначених документів визначається окремим нормативно-правовим документом системи ТЗІ.
Ліцензійні умови провадження господарської діяльності, пов’язаної з розробленням, виробництвом, впровадженням, обслуговуванням, дослідженням ефективності систем і засобів технічного захисту інформації, наданням послуг у галузі технічного захисту інформації, затверджені спільним Наказом Державного комітету України з питань регуляторної політики та підприємництва, Департаменту спеціальних телекомунікаційних систем та захисту інформації СБ України від 29.12.2000 № 89/67.
Зазначені Ліцензійні умови розроблені з урахуванням вимог Законів України «Про ліцензування певних видів господарської діяльності», «Про інформацію», Положення про технічний захист інформації в Україні, затвердженого Указом Президента України від 27 вересня 1999 року № 1229 та інших нормативних актів. Ліцензійні умови визначають кваліфікаційні, організаційні, технологічні та інші вимоги до суб’єктів господарювання, виконання яких є обов’язковою умовою провадження певних видів робіт та надання певних видів послуг у межах господарської діяльності, пов’язаної з розробленням, виробництвом, впровадженням, обслуговуванням, дослідженням ефективності систем і засобів технічного захисту інформації, наданням послуг у галузі технічного захисту інформації (далі — господарська діяльність у галузі ТЗІ).
В установчих документах суб’єкта господарювання повинно бути передбачено провадження господарської діяльності в галузі ТЗІ. Ліцензування господарської діяльності в галузі ТЗІ провадить Державна служба спеціального зв’язку та захисту інформації України.
У межах господарської діяльності в галузі ТЗІ можуть виконуватися види робіт або надаватися види послуг (далі — види робіт), які визначаються зазначеними Ліцензійними умовами. У разі, якщо суб’єкт господарювання провадить господарську діяльність у галузі ТЗІ не в повному обсязі, а частково, ліцензійні умови поширюються на нього в частині, що встановлює вимоги до провадження окремих робіт.
Суб’єкт господарювання, який має намір провадити господарську діяльність в галузі ТЗІ та відповідає цим Ліцензійним умовам, подає до Державної служби заяву за встановленою формою про видачу ліцензії.
Ліцензуванню підлягають такі види робіт, які виконуються в межах господарської діяльності з технічного захисту інформації
— розроблення, впровадження, дослідження ефективності, обслуговування на об’єктах інформаційної діяльності комплексів (систем) технічного захисту інформації, носіями якої є акустичні поля, надання консультативних послуг;
— розроблення, впровадження, дослідження ефективності, обслуговування на об’єктах інформаційної діяльності комплексів (систем) технічного захисту інформації, носіями якої є електромагнітні поля та електричні сигнали, надання консультативних послуг;
— розроблення, виробництво, впровадження, дослідження ефективності, супроводження засобів та комплексів технічного захисту інформації в інформаційних системах, інформаційних технологій із захистом інформації від несанкціонованого доступу, надання консультативних послуг;
— виявлення та блокування витоку мовної та видової інформації через закладні пристрої на об’єктах інформаційної діяльності, надання консультативних послуг;
— виробництво засобів забезпечення технічного захисту інформації, носіями якої є акустичні поля;
— виробництво засобів забезпечення технічного захисту інформації, носіями якої є електромагнітні поля та електричні сигнали;
— розроблення, впровадження, дослідження ефективності, обслуговування на об’єктах інформаційної діяльності комплексів (систем) технічного захисту інформації, носіями якої є хімічні речовини, надання консультативних послуг.
Для провадження господарської діяльності в галузі ТЗІ суб’єкт господарювання повинен мати
— штатних або найманих за договором спеціалістів, які мають повну вищу освіту відповідного професійного спрямування або пройшли перепідготовку та підвищення кваліфікації у галузі інформаційної безпеки чи мають стаж роботи відповідного професійного спрямування не менше 3 років;
— нормативно-правові акти з технічного захисту інформації, що забезпечують проведення обраного виду роботи;
— власні або орендовані засоби вимірювань і контролю, перелік яких визначається нормативними документами з питань технічного захисту інформації, та (або) засоби електронно-обчислювальної техніки в обсязі, що забезпечує проведення обраного виду роботи;
— власну або створену на договірній основі виробничу базу, яка дає змогу виробляти засоби забезпечення технічного захисту інформації згідно з вимогами нормативних документів з питань технічного захисту інформації;
— методику виявлення витоку мовної або видової інформації через закладні пристрої на об’єктах інформаційної діяльності (власної розробки з урахуванням апаратурного забезпечення, узгодженої з Державною службою).
Залежно від важливості інформації для особи, суспільства, держави та правового режиму доступу до інформації встановлюються особливі умови провадження господарської діяльності в галузі ТЗІ
— з наданням права технічного захисту інформації усіх видів, у тому числі інформації, що містить відомості, які становлять державну таємницю;
— з наданням права технічного захисту інформації, що не містить відомостей, які становлять державну таємницю.
Для провадження господарської діяльності в галузі ТЗІ з наданням права технічного захисту інформації усіх видів, у тому числі інформації, що містить відомості, які становлять державну таємницю, суб’єкт господарювання повинен мати
— дозвіл на здійснення діяльності, пов’язаної з державною таємницею;
— оформлені у встановленому порядку допуски до державної таємниці на спеціалістів, що залучаються до виконання робіт, пов’язаних із державною таємницею;
— матеріали, які відповідно до компетенції, державних завдань, програм, замовлень, договорів (контрактів) підтверджують, що суб’єкт господарювання передбачає провадити господарську діяльність у галузі ТЗІ, що містить відомості, які становлять державну таємницю;
— приміщення та (або) об’єкти електронно-обчислювальної техніки, атестовані на відповідність вимогам нормативних документів з питань технічного захисту інформації (за потреби).
Виконання робіт із захисту таємної інформації дозволяється в межах терміну дії відповідного дозволу на здійснення діяльності, пов’язаної з державною таємницею. При виконанні робіт на об’єктах інформаційної діяльності, на яких циркулює інформація, що містить відомості, які становлять державну таємницю, а також у державних органах та установах суб’єкт господарювання зобов’язаний
— щорічно (до 20 грудня) надавати відомості до Державної служби щодо змісту виконаних робіт;
— терміново (не пізніше наступного дня) інформувати Державну службу про виявлення закладних пристроїв.
4. Правове регулювання захисту державних інформаційних ресурсів в інформаційно-телекомунікаційних системах
Порядок захисту державних інформаційних ресурсів в інформаційно-телекомунікаційних системах, затверджений Наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 24 грудня 2001 р. № 76, визначає основи організації та порядок захисту державних інформаційних ресурсів в інформаційно-телекомунікаційних системах (далі — ITC). У ньому використовуються наступні поняття державні інформаційні ресурси — інформація, яка є власністю держави та (або) необхідність захисту якої визначено законодавством;
інформаційно-телекомунікаційна система — організаційно-технічна сукупність, що складається з автоматизованої системи та мережі передачі даних;
дані — інформація, яка передається мережею передачі даних незалежно від способу її фізичного та логічного представлення;
мережа передачі даних — організаційно-технічна система, яка складається з комплексів телекомунікаційного обладнання (вузлів комутації) та реалізує технологію інформаційного обміну з використанням первинної мережі зв’язку оператор мережі передачі даних (вузла комутації) — юридична особа, що здійснює діяльність з надання послуг з передачі даних;
користувач мережі передачі даних — фізична або юридична особа (власник автоматизованої системи), яка користується послугами мережі передачі даних за договором з оператором.
Дія Порядку поширюється на ITC, які обробляють, зберігають, передають державні інформаційні ресурси.
Вимоги Порядку обов’язкові для всіх власників автоматизованих систем, що входять до складу ITC (користувачів мереж передачі даних), а також для підприємств (установ, організацій) усіх форм власності, які є операторами мереж передачі даних (далі -МПД) усіх типів відомчих, подвійного призначення, загального користування, глобальних (у тому числі Інтернет).
Захист державних інформаційних ресурсів в автоматизованих системах, що входять до складу ITC (далі — автоматизована система, АС), повинен забезпечуватися впровадженням комплексу технічних, криптографічних, організаційних та інших заходів і засобів комплексної системи захисту інформації (далі — КСЗІ), спрямованих на недопущення блокування інформації, несанкціонованого ознайомлення з нею та/або її модифікації.
В АС повинен забезпечуватися захист від несанкціонованого доступу до державних інформаційних ресурсів з боку мереж передачі даних, зокрема глобальних мереж.
Конфіденційність інформації, яка є державними інформаційними ресурсами, під час передавання мережею передачі даних забезпечує власник АС з використанням засобів та заходів з криптографічного захисту інформації або оператор МПД за договором з власником АС.
Основними завданнями підприємств (установ, організацій), які є операторами МПД, щодо забезпечення захисту державних інформаційних ресурсів є
— створення, упровадження та супроводження КСЗІ в МПД;
— контроль за виконанням користувачами встановленого режиму доступу до державних інформаційних ресурсів та ресурсів МПД, а також правил їх використання.
Захист державних інформаційних ресурсів у МПД повинен забезпечуватися впровадженням на кожному з її вузлів комутації комплексу технічних, криптографічних, організаційних та інших заходів і засобів захисту інформації, спрямованих на недопущення її блокування та/або модифікації.
Організація захисту державних інформаційних ресурсів у МПД покладається на керівника підприємства, яке є оператором МПД.
Права доступу до МПД окремим співробітникам підприємства, яке є оператором МПД, надаються наказом керівника підприємства у відповідності до їх службових обов’язків. При змінах у розподілі службових обов’язків права доступу мають бути своєчасно відкориговані.
Засоби захисту інформації, які використовуються в МПД для забезпечення безпеки державних інформаційних ресурсів, повинні мати сертифікат відповідності або експертний висновок, отримані в установленому порядку.
Сертифікат відповідності надається згідно з Порядком проведення робіт із сертифікації засобів забезпечення технічного захисту інформації загального призначення, затвердженим наказом Держстандарту України та ДСТСЗІ СБ України від 9 липня 2001 р. № 329/32 і зареєстрованим у Міністерстві юстиції України 26 липня 2001 р. за № 640/5831, а експертний висновок — згідно з Положенням про державну експертизу в сфері технічного захисту інформації, затвердженим наказом ДСТСЗІ СБ України від 29 грудня 1999 р. № 62 і зареєстрованим у Міністерстві юстиції України 24 січня 2000 р. за № 40/4261.
У разі відсутності на час створення КСЗІ таких документів сертифікація або державна експертиза зазначених засобів на відповідність вимогам із захисту інформації здійснюється під час проведення державної експертизи КСЗІ.
Розроблення, виробництво, впровадження та обслуговування КСЗІ здійснюється оператором МПД самостійно за умови наявності в нього ліцензії на провадження відповідних видів робіт або із залученням інших підприємств-ліцензіатів у галузі захисту інформації.
Для організації робіт із розроблення, виробництва, впровадження та обслуговування КСЗІ, контролю за станом захищеності державних інформаційних ресурсів у МПД наказом керівника підприємства, яке є оператором МПД, визначається відповідальний підрозділ або відповідальна особа.
Контроль за забезпеченням захисту державних інформаційних ресурсів в ITC здійснюється Департаментом спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України і полягає у перевірці виконання власниками АС та операторами МПД вимог нормативно-правових актів і нормативних документів з технічного та криптографічного захисту інформації.
Власники АС та оператори МПД повинні повідомляти ДСТСЗІ
СБ України про виявлені ними спроби та факти здійснення несанкціонованих дій щодо державних інформаційних ресурсів.
Оператори МПД повинні надавати власнику АС відомості про виявлені ними спроби та факти здійснення несанкціонованих дій в мережах передачі даних щодо інформації, яка йому належить.
9. Правові основи захисту інформації в інформаційно-телекомунікаційних системах
Питання лекції
1.Законодавство України про захист інформації в інформаційно-телекомунікаційних системах.
2.Інформаційно-телекомунікаційні системи. Обробка інформації, несанкціонований доступ, витік інформації.
3.Відносини між суб’єктами в процесі обробки інформації в інформаційно-телекомунікаційній системі.
4.Відповідальність за порушення законодавства про захист інформації в інформаційно-телекомунікаційних системах.
5.Формування концепції захисту інформації в конкретній інформаційно-телекомунікаційній системі.
Інноваційна спрямованість сучасної економічної діяльності, інтеграція до глобальних процесів розвитку інформаційного суспільства потребує відповідного правового забезпечення.
На сьогодні дослідження науковців спрямовуються саме на роз криття новітніх інформаційних процесів та їх правової регламентації. Не є винятком і питання правового регулювання захисту інформації в інформаційно-телекомунікаційних системах.
1. Законодавство України про захист інформації в інформаційно-телекомунікаційних системах
На сьогодні відносини, що виникають з приводу захисту інформації в інформаційно-телекомунікаційних системах, регулюються Законом України «Про захист інформації в автоматизованих системах» від 05.07.94 р. (нова редакція Закону «Про захист інформації в інформаційно-телекомунікаційних системах» від 31 травня 2005 року № 2594-ГУ, набрала чинності з 1 січня 2006 року). Закон регулює відносини у сфері захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах (далі система). Дія зазначеного Закону поширюється на будь-яку інформацію, що обробляється в автоматизованих системах.
Відносини, що виникають з приводу захисту інформації в інформаційно-телекомунікаційних системах, також частково регулюються Законом України «Про електронні документи та електронний документообіг» від 22.05.2003 р. Предметом правового регулювання даного Закону є відносини, що виникають у процесі створення, відправлення, передавання, одержання, зберігання, оброблення, використання та знищення електронних документів.
На сьогодні питання захисту інформації в інформаційно-телекомунікаційних системах окрім Закону України «Про захист інформації в інформаційно-телекомунікаційних системах» та інших законів регулюються також низкою підзаконних нормативно-правових актів.
Кабінет Міністрів України Постановою від 13 березня 2002 р. № 281 уповноважив Департамент спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України (Законом України «Про Державну службу спеціального зв’язку та захисту інформації України» від 23 лютого 2006 року на базі Департаменту спеціальних телекомунікаційних систем та захисту інформації та відповідних підрозділів Служби безпеки України утворено Державну службу спеціального зв’язку та захисту інформації України) здійснювати управління захистом інформації в автоматизованих системах відповідно до Закону України «Про захист інформації в автоматизованих системах».
Так, наприклад, Кабінет Міністрів України Постановою від 2 серпня 1996 р. № 898 «Про створення Єдиної державної автоматизованої паспортної системи» започаткував створення Єдиної державної автоматизованої паспортної системи (далі — Система), яка забезпечуватиме видачу громадянам паспортів, що оформлюватимуться за єдиною технологією, та облік громадян за місцем проживання із застосуванням комп’ютерної мережі на єдиних принципах їх ідентифікації (із використанням особистих (ідентифікаційних) номерів громадян, відцифрованого образу осіб і біометричної ідентифікації) і взаємодії з базами даних інших інформаційних систем (як вітчизняних, так і іноземних). Передбачалося, що Система входитиме складовою частиною до Державного реєстру фізичних осіб.
Постановою Кабінету Міністрів України від 29 квітня 2004 р. № 573 було затверджено Положення про Головний обчислювальний центр Єдиної державної автоматизованої паспортної системи. Зазначеним Положенням зокрема визначалося, що основними завданнями Головного обчислювального центру є серед інших «впровадження комплексної системи захисту інформації Єдиної державної автоматизованої паспортної системи і здійснення постійного контролю за дотриманням у ній інформаційної безпеки» .
Постанова Кабінету Міністрів України від 16 лютого 1998 р. № 180 «Про затвердження Положення про забезпечення режиму секретності під час обробки інформації, що становить державну таємницю, в автоматизованих системах» також регулювала відносини щодо обігу інформації (яка становить державну таємницю) в автоматизованих системах.
Постанова Кабінету Міністрів України від 8 червня 1998 р. № 832 визначала комплекс заходів щодо поетапного впровадження у Пенсійному фонді автоматизованого персоніфікованого обліку відомостей у системі загальнообов’язкового державного пенсійного страхування.
Пам’ятаємо також про створення і функціонування у Центральній виборчій комісії автоматизованої інформаційної системи «Вибори», яка застосовувалась у процесі підготовки і проведення виборів Президента України, народних депутатів України.
Питання функціонування конкретних автоматизованих систем у органах державної влади, як правило, визначаються відомчими нормативно-правовими актами.
Так, наприклад, у Міністерстві фінансів України розроблено Положення про роботу із засобами обчислювальної техніки та про доступ до інформаційних ресурсів Міністерства фінансів України (додаток до наказу Міністерства фінансів України від 01.04.2003 р. № 248).
Наказом МВС України від 02.09.98 р. № 659 затверджено Інструкцію про створення єдиної автоматизованої системи номерного обліку вогнепальної (стрілецької) зброї, яка зберігається й використовується в МВС, на об’єктах дозвільної системи та перебуває в особистому користуванні громадян.
2. Інформаційно-телекомунікаційні системи. Обробка інформації, несанкціонований доступ, витік інформації
Розуміння основних понять, що застосовуються у сфері захисту інформації в інформаційно-телекомунікаційних системах, дає можливість не лише правильно аналізувати суб’єктно-об’єктний склад відповідних правовідносин, а й дозволяє правильно використовувати їх під час усної відповіді і виконання практичних завдань студентами та слухачами. Законом України «Про захист інформації в інформаційно-телекомунікаційних системах» даються такі визначення основних понять
блокування інформації в системі — дії, внаслідок яких унеможливлюється доступ до інформації в системі;
виток інформації — результат дій, внаслідок яких інформація в системі стає відомою чи доступною фізичним та/або юридичним особам, що не мають права доступу до неї;
власник інформації — фізична або юридична особа, якій належить право власності на інформаці власник системи — фізична або юридична особа, якій належить право власності на систему;
доступ до інформації в системі — отримання користувачем можливості обробляти інформацію в системі;
захист інформації в системі — діяльність, спрямована на запобігання несанкціонованим діям щодо інформації в системі;
знищення інформації в системі — дії, внаслідок яких інформація в системі зникає;
інформаційна (автоматизована) система — організаційно-технічна система, в якій реалізується технологія обробки інформації з використанням технічних і програмних засобів;
інформаційно-телекомунікаційна система — сукупність інформаційних та телекомунікаційних систем, які у процесі обробки інформації діють як єдине ціле;
комплексна система захисту інформації — взаємопов’язана сукупність організаційних та інженерно-технічних заходів, засобів і методів захисту інформації;
користувач інформації в системі — фізична або юридична особа, яка в установленому законодавством порядку отримала право доступу до інформації в системі;
криптографічний захист інформації — вид захисту інформації, що реалізується шляхом перетворення інформації з використанням спеціальних (ключових) даних з метою приховування/віднов-лення змісту інформації, підтвердження її справжності, цілісності, авторства тощо;
несанкціоновані дії щодо інформації в системі — дії, що провадяться з порушенням порядку доступу до цієї інформації, установленого відповідно до законодавства;
обробка інформації в системі — виконання однієї або кількох операцій, зокрема збирання, введення, записування, перетворення, зчитування, зберігання, знищення, реєстрації, приймання, отримання, передавання, які здійснюються в системі за допомогою технічних і програмних засобів;
порушення цілісності інформації в системі — несанкціоновані дії щодо інформації в системі, внаслідок яких змінюється її вміст;
порядок доступу до інформації в системі — умови отримання користувачем можливості обробляти інформацію в системі та правила обробки цієї інформації;
телекомунікаційна система — сукупність технічних і програмних засобів, призначених для обміну інформацією шляхом передавання, випромінювання або приймання її у вигляді сигналів, знаків, звуків, рухомих або нерухомих зображень чи в інший спосіб;
технічний захист інформації — вид захисту інформації, спрямований на забезпечення за допомогою інженерно-технічних заходів та/або програмних і технічних засобів унеможливлений витоку, знищення та блокування інформації, порушення цілісності та режиму доступу до інформації.
Доповнює перелік основних термінів у сфері захисту інформації в інформаційно-телекомунікаційних системах Наказ ДСТЗІ СБ України 24 грудня 2001 р. № 76, яким затверджено Порядок захисту державних шформаційних ресурсів в автоматизованих системах.
3. Відносини між суб’єктами в процесі обробки інформації в інформаційно-телекомунікаційній системі
Аналіз відносин, що виникають між суб’єктами в процесі обробки інформації в інформаційно-телекомунікаційних системах, дає можливість розкрити їх специфіку.
Об’єктами захисту в системі є інформація, що обробляється в ній, та програмне забезпечення, яке призначено для обробки цієї інформації.
Суб’єктами відносин, пов’язаних із захистом інформації в системах, є
— власники інформації;
— власники системи;
— користувачі;
— уповноважений орган у сфері захисту інформації в системах (Державна служба спеціального зв’язку та захисту інформації України).
На підставі укладеного договору або за дорученням власник інформації може надати право розпоряджатися інформацією іншій фізичній або юридичній особі — розпоряднику інформації.
На підставі укладеного договору або за дорученням власник системи може надати право розпоряджатися системою іншій фізичній або юридичній особі — розпоряднику системи.
Статтею 4 Закону України «Про захист інформації в інформаційно-телекомунікаційних системах» визначені загальні підстави доступу до інформації в системі «порядок доступу до інформації, перелік користувачів та їх повноваження стосовно цієї інформації визначаються власником інформації.
Порядок доступу до інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, перелік користувачів та їх повноваження стосовно цієї інформації визначаються законодавством.
У випадках, передбачених законом, доступ до інформації в системі може здійснюватися без дозволу її власника в порядку, встановленому законом».
Власник системи забезпечує захист інформації в системі в порядку та на умовах, визначених у договорі, який укладається ним із власником інформації, якщо інше не передбачено законом.
Власник системи на вимогу власника інформації надає відомості щодо захисту інформації в системі Відносини між власником системи та користувачем полягають у тому, що власник системи надає користувачеві відомості про правила і режим роботи системи та забезпечує йому доступ до інформації в системі відповідно до визначеного порядку доступу.
Відносини між власниками систем базуються на тому, що власник системи, яка використовується для обробки інформації з іншої системи, забезпечує захист такої інформації в порядку та на умовах, що визначаються договором, який укладається між власниками систем, якщо інше не встановлено законодавством.
Власник системи, яка використовується для обробки інформації з іншої системи, повідомляє власника зазначеної системи про виявлені факти несанкціонованих дій щодо інформації в системі.
Умови обробки інформації в системі визначаються власником системи відповідно до договору з власником інформації, якщо інше не передбачено законодавством.
Інформація, яка є власністю держави, або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, повинна оброблятися в системі із застосуванням комплексної системи захисту інформації з підтвердженою відповідністю. Підтвердження відповідності здійснюється за результатами державної експертизи в порядку, встановленому законодавством (див. попередню лекцію).
Для створення комплексної системи захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, використовуються засоби захисту інформації, які мають сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері технічного та/або криптографічного захисту інформації. Підтвердження відповідності та проведення державної експертизи цих засобів здійснюються в порядку, встановленому законодавством.
Відповідальність за забезпечення захисту інформації в системі покладається на власника системи.
Власник системи, в якій обробляється інформація, яка є власністю держави, або інформація з обмеженим доступом, вимога Щодо захисту якої встановлена законом, утворює службу захисту інформації або призначає осіб, на яких покладається забезпечення захисту інформації та контролю за ним.
Про спроби та/або факти несанкціонованих дій у системі щодо інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, власник системи повідомляє уповноважений орган у сфері захисту інформації.
Вимоги до забезпечення захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої передбачена законом, встановлюються Кабінетом Міністрів України.
Обов’язки уповноваженого органу у сфері захисту інформації в системах виконує центральний орган виконавчої влади у сфері криптографічного та технічного захисту інформації (Державна служба спеціального зв’язку та захисту інформації України).
Уповноважений орган у сфері захисту інформації в системах
— розробляє пропозиції щодо державної політики у сфері захисту інформації та забезпечує її реалізацію в межах своєї компетенції;
— визначає вимоги та порядок створення комплексної системи захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом;
— організовує проведення державної експертизи комплексних систем захисту інформації, експертизи та підтвердження відповідності засобів технічного і криптографічного захисту інформації;
— здійснює контроль за забезпеченням захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом.
Державні органи в межах своїх повноважень за погодженням з уповноваженим органом у сфері захисту інформації встановлюють особливості захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом.
Особливості захисту інформації в системах, які забезпечують банківську діяльність, встановлюються Національним банком України.
4. Відповідальність за порушення законодавства про захист інформації в інформаційно-телекомунікаційних системах
Особи, винні в порушенні порядку і правил захисту оброблюваної в ITC інформації, несуть дисциплінарну, адміністративну, кримінальну чи матеріальну відповідальність згідно з чинним законодавством України.
Зупинимося на окремих складах правопорушень у сфері захисту інформації в АС.
Кодекс України про адміністративні правопорушення було доповнено Законом України «Про внесення змін до деяких законодавчих актів України від 11 травня 2004 року» № 1703-ІУ статтею 212-6 «Здійснення незаконного доступу до інформації в автоматизованих системах».
Цією статтею передбачена адміністративна відповідальність за «здійснення незаконного доступу до інформації, яка зберігається, обробляється чи передається в автоматизованих системах». Санкція за дане правопорушення — накладення штрафу від п’яти до десяти неоподатковуваних мінімумів доходів громадян з конфіскацією засобів, що використовувалися для незаконного доступу, або без такої Та сама дія, вчинена особою, яку протягом року було піддано адміністративному стягненню за порушення, передбачене в частині першій статті 212-6, — тягне за собою накладення штрафу від десяти до двадцяти неоподатковуваних мінімумів доходів громадян з конфіскацією засобів, що використовувалися для незаконного доступу.
Законом України «Про внесення змін до Кримінального та Кримінально-процесуального кодексів України від 23 грудня 2004 року № 2289-ІУ статті 361, 361-2, 362, 363, 363-1 Кримінального кодексу України (КК України) були викладені у новій редакції. Передбачені даними статтями склади злочинів містять об’єкт, що безпосередньо стосується захисту інформації в АС.
Стаття 361 КК України «Несанкціоноване втручання в роботу електронно-обчислювальних машин (комп’ютерів), автоматизованих систем, комп’ютерних мереж чи мереж електрозв’язку» передбачає кримінальну відповідальність за «несанкціоноване втручання в роботу електронно-обчислювальних машин (комп’ютерів), автоматизованих систем, комп’ютерних мереж чи мереж електрозв’язку, що призвело до витоку, втрати, підробки, блокування інформації, спотворення процесу обробки інформації або до порушення встановленого порядку її маршрутизації». За скоєння такого злочину передбачається санкція у вигляді штрафу від шестисот до тисячі неоподатковуваних мінімумів доходів громадян або обмеження волі на строк від двох до п’яти років, або позбавлення волі на строк до трьох років, з позбавленням права обіймати певні посади чи займатися певною діяльністю на строк до двох років або без такого та з конфіскацією програмних та технічних засобів, за допомогою яких було вчинено несанкціоноване втручання, які є власністю винної особи Додатковими кваліфікуючими ознаками даного злочину є вчинення його повторно або за попередньою змовою групою осіб, або якщо вони заподіяли значну шкоду. Такі діяння (дії) караються позбавленням волі на строк від трьох до шести років з позбавленням права обіймати певні посади чи займатися певною діяльністю на строк до трьох років та з конфіскацією програмних та технічних засобів, за допомогою яких було вчинено несанкціоноване втручання, які є власністю винної особи.
Стаття 361-2 КК України «Несанкціоновані збут або розповсюдження інформації з обмеженим доступом, яка зберігається в електронно-обчислювальних машинах (комп’ютерах), автоматизованих системах, комп’ютерних мережах або на носіях такої інформації» передбачає, що «несанкціоновані збут або розповсюдження інформації з обмеженим доступом, яка зберігається в електронно-обчислювальних машинах (комп’ютерах), автоматизованих системах, комп’ютерних мережах або на носіях такої інформації, створеної та захищеної відповідно до чинного законодавства, — караються штрафом від п’ятисот до тисячі неоподатковуваних мінімумів доходів громадян або позбавленням волі на строк до двох років з конфіскацією програмних або технічних засобів, за допомогою яких було здійснено несанкціоновані збут або розповсюдження інформації з обмеженим доступом, які є власністю винної особи.
Ті самі дії, вчинені повторно або за попередньою змовою групою осіб, або якщо вони заподіяли значну шкоду, — караються позбавленням волі на строк від двох до п’яти років з конфіскацією програмних або технічних засобів, за допомогою яких було здійснено несанкціоновані збут або розповсюдження інформації з обмеженим доступом, які є власністю винної особи». Стаття 362 КК України «Несанкціоновані дії з інформацією, яка оброблюється в електронно-обчислювальних машинах (комп’ютерах), автоматизованих системах, комп’ютерних мережах або зберігається на носіях такої інформації, вчинені особою, яка має право доступу до неї» передбачає кримінальну відповідальність за несанкціоновані зміну, знищення або блокування інформації, яка оброблюється в електронно-обчислювальних машинах (комп’ютерах), автоматизованих системах чи комп’ютерних мережах або зберігається на носіях такої інформації, вчинені особою, яка має право доступу до неї. Санкція за скоєння даного злочину — штраф від шестисот до тисячі неоподатковуваних мінімумів доходів громадян або виправні роботи на строк до двох років конфіскацією програмних або технічних засобів, за допомогою яких було вчинено несанкціоновані зміна, знищення або блокування інформації, які є власністю винної особи.
«Несанкціоновані перехоплення або копіювання інформації, яка оброблюється в електронно-обчислювальних машинах (комп’ютерах), автоматизованих системах, комп’ютерних мережах або зберігається на носіях такої інформації, якщо це призвело до її витоку, вчинені особою, яка має право доступу до такої інформації, — караються позбавленням волі на строк до трьох років з позбавленням права обіймати певні посади або займатися певною діяльністю на той самий строк та з конфіскацією програмних чи технічних засобів, за допомогою яких було здійснено несанкціоновані перехоплення або копіювання інформації, які є власністю винної особи.
Дії, передбачені частиною першою або другою статті 362 КК України, вчинені повторно або за попередньою змовою групою осіб, або якщо вони заподіяли значну шкоду, — караються позбавленням волі на строк від трьох до шести років з позбавленням права обіймати певні посади або займатися певною діяльністю на строк до трьох років та з конфіскацією програмних або технічних засобів, за допомогою яких було здійснено несанкціоновані дії з інформацією, які є власністю винної особи». Стаття 363 КК України «Порушення правил експлуатації електронно-обчислювальних машин (комп’ютерів), автоматизованих систем, комп’ютерних мереж чи мереж електрозв’язку або порядку чи правил захисту інформації, яка в них оброблюється передбачає, що «порушення правил експлуатації електронно-обчислювальних машин (комп’ютерів), автоматизованих систем, комп’ютерних мереж чи мереж електрозв’язку або порядку чи правил захисту інформації, яка в них оброблюється, якщо це заподіяло значну шкоду, вчинені особою, яка відповідає за їх експлуатацію, — караються штрафом від п’ятисот до тисячі неоподатковуваних мінімумів доходів громадян або обмеженням волі на строк до трьох років з позбавленням права обіймати певні посади чи займатися певною діяльністю на той самий строк». Стаття 363-1 КК України «Перешкоджання роботі електронно-обчислювальних машин (комп’ютерів), автоматизованих систем, комп’ютерних мереж чи мереж електрозв’язку шляхом масового розповсюдження повідомлень електрозв’язку» передбачає кримінальну відповідальність за «умисне масове розповсюдження по відомлень електрозв’язку, здійснене без попередньої згоди адресатів, що призвело до порушення або припинення роботи електронно-обчислювальних машин (комп’ютерів), автоматизованих систем, комп’ютерних мереж чи мереж електрозв’язку». Санкція -штраф від п’ятисот до тисячі неоподатковуваних мінімумів доходів громадян або обмеження волі на строк до трьох років.
«Ті самі дії, вчинені повторно або за попередньою змовою групою осіб, якщо вони заподіяли значну шкоду, — караються обмеженням волі на строк до п’яти років або позбавленням волі на той самий строк, з позбавленням права обіймати певні посади або займатися певною діяльністю на строк до трьох років та з конфіскацією програмних або технічних засобів, за допомогою яких було здійснено масове розповсюдження повідомлень електрозв’язку, які є власністю винної особи». Згідно зі статтею 18 Закону України «Про захист інформації в автоматизованих системах», шкода, заподіяна суб’єктам відносин, що виникають під час захисту інформації в АС (власникам інформації чи уповноваженим ними особам; власникам АС чи уповноваженим ними особам; користувачам інформації; користувачам АС), внаслідок незаконного створення перешкод для доступу до інформації, витоку чи втрати інформації в АС, відшкодовується особами, яких визнано винними в цьому.
5. Формування концепції захисту інформації в конкретній інформаційно-телекомунікаційній системі
Нормативні документи, що визначають особливості захисту інформації в конкретній автоматизованій системі, мають розроблятися на підставі і з урахуванням положень таких державних стандартів
НД ТЗІ 1.1-002-99. Загальних положень щодо захисту інформації в комп’ютерних системах від несанкціонованого доступу, затверджених наказом ДСТСЗІ від 28.04.99 № 22 «Про затвердження і введення в дію нормативних документів»;
НД ТЗІ 2.5-005-99. Класифікації автоматизованих систем і стандартних функціональних профілів захищеності оброблюваної інформації від несанкціонованого доступу, затвердженої наказом ДСТСЗІ від 28.04.99 №22;
НД ТЗІ 2.5-004-99. Критеріїв оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу, затверджених наказом ДСТСЗІ від 28.04.99 № 22;
НД ТЗІ 1.1-003-99. Термінології в галузі захисту інформації в комп’ютерних системах від несанкціонованого доступу, затвердженої наказом ДСТСЗІ від 28.04.99 № 2
Згідно з НД ТЗІ 2.5-005-99. Класифікацією автоматизованих систем і стандартних профілів захищеності оброблюваної інформації від несанкціонованого доступу автоматизовані системи розподіляють на три класи клас «1» — одномашинний однокористувачевий комплекс; клас «2» — локалізований багатомашинний багатокористува-чевий комплекс; клас «З» — розподілений машинний багатокористувачевий комплекс, у якому передання інформації здійснюється через незахищене середовище (глобальну мережу).
Прикладом індивідуального нормотворення у сфері захисту інформації в АС може бути Комплексна система захисту інформації в автоматизованій системі Міністерства та Інструкція користувача автоматизованої системи 3 класу, які затверджені Наказом Міністерства економіки та з питань європейської інтеграції України від 23.04.2002 р. № 121 «Про заходи щодо захисту конфіденційної і відкритої інформації, що циркулює в автоматизованій системі Міністерства». У зазначених документах використано принцип, який є актуальним не лише для Міністерства економіки та з питань європейської інтеграції України, а й для інших органів державної влади. Зокрема, зазначається, що широке застосування програмно-технічних обчислювальних засобів імпортного походження при приєднані їх до Інтернету принципово унеможливлює здійснити надійний захист інформації, що належить державі. У таких умовах забезпечення конфіденційності, цілісності і доступності інформації можливе лише в разі фізичного відокремлення автоматизованої системи, де циркулює інформація, яка потребує захисту, від системи, яка приєднана до Інтернету.
«