Как утвердить Положение о конфиденциальной информации

22.07.2025
author avatar

Раиса ДОГОВОРОВА

главный редактор «Kadrovik PRO»
Читать на узбекском языке

В каждой организации есть данные, которые нельзя разглашать: информация о клиентах, внутренние отчеты, коммерческие планы. Чтобы защитить такие сведения и установить единые правила, необходимо разработать Положение о конфиденциальной информации. В этом документе важно четко указать: что считается конфиденциальной информацией, кто и как должен ее хранить и какими будут последствия за нарушение этих правил.

Совет
Документ поможет избежать утечки информации, защитит бизнес и будет основанием для заключения NDA (соглашения о конфиденциальности) с сотрудниками

Как разработать Положение

Разработка Положения – это не просто копирование типового шаблона. Документ должен учитывать специфику компании, уровень доступа сотрудников, формы работы с данными и риски.

Пример
Когда Положение помогло избежать проблем
Сотрудник IT-компании, уволившись, попытался устроиться к конкурентам и предложил им внутреннюю документацию и клиентскую базу бывшего работодателя. Однако в IT-компании было утверждено Положение о конфиденциальной информации, с которым сотрудник был ознакомлен под подпись, и заключено NDA. Компания подала иск, предоставив копии Положения, NDA и листа ознакомления. Суд признал факт разглашения и взыскал с бывшего сотрудника компенсацию. Это стало возможным благодаря правильно оформленным внутренним документам.
Пример
Когда Положения не было и это создало проблемы
В торговой фирме менеджер передал информацию о закупочных ценах и поставщиках новому работодателю. Бывший работодатель, узнав об этом, попытался привлечь его к ответственности, но оказалось, что ни NDA, ни Положения о конфиденциальной информации не было, а формулировки в трудовом договоре были слишком общими. В суде дело проиграли: информация частично была в открытом доступе, а доказательств утечки конкретно от данного сотрудника не хватало. После инцидента компания срочно разработала и ввела Положение.

Прежде чем приступить к разработке Положения о конфиденциальной информации, важно определить: зачем компании нужен этот документ и что именно он должен регулировать. Проведите анализ текущих процессов и установите: какие данные вы считаете ценными, кто имеет к ним доступ, какова вероятность их утечки. Только после этого можно переходить к работе над структурой документа и его содержанием.

Подготовьте проект Положения, в который включите основные разделы:

I. Общие положения

В этом разделе задаются цели, задачи и правовая основа Положения.
Укажите, что такое конфиденциальная информация в контексте вашей компании, зачем она защищается, на основании каких нормативных актов составлено Положение (например: Трудовой кодекс, Закон о коммерческой тайне и др.). Обозначьте сферу действия документа и категории лиц, на которых он распространяется.

Например:
«Настоящее Положение регулирует порядок работы с конфиденциальной информацией в ООО «NAVRUZ», определяет перечень такой информации, устанавливает меры по ее защите и ответственность за разглашение».

II. Организация учета, хранения и защиты конфиденциальной информации

Здесь описываются технические и организационные меры, применяемые в компании для защиты информации.
Укажите, где и как хранится информация (серверы, архивы, защищенные облачные сервисы), кто отвечает за ее учет и список лиц, имеющих право доступа к ней. Уточните порядок маркировки, копирования, уничтожения носителей, а также систему ведения журналов доступа, использования паролей, антивирусов, ограничений по USB и т.п.

Например:
«Учет документов, содержащих конфиденциальную информацию, ведется в соответствующих журналах в бумажном и (или) электронном видах.

Документы, содержащие конфиденциальную информацию, должны храниться в металлических шкафах и (или) сейфах с прочными засовами и обязательно опечатываться (пломбироваться) во внерабочее время».

III. Допуск сотрудников к конфиденциальной информации

Раздел регулирует, кто и на каких условиях получает доступ к защищаемым сведениям.
Пропишите порядок допуска: приказ, подписание обязательства о неразглашении, обучение, разграничение уровней доступа. Также укажите, что доступ предоставляется только в пределах должностных обязанностей.

Например:
«Доступ к конфиденциальной информации имеют только сотрудники, допущенные по приказу и подписавшие соглашение о неразглашении конфиденциальной информации».

IV. Контроль за обеспечением защиты конфиденциальной информации

Здесь подробно устанавливается, каким образом компания контролирует соблюдение режима конфиденциальности.
Определите ответственных лиц (например: служба безопасности, IT-отдел, кадровая служба), укажите формы контроля: плановые и внеплановые проверки, аудиты, служебные расследования. Добавьте возможность применения технических средств контроля (журналы входов, лог-файлы, видеонаблюдение и т.д.).

Пример

«Ответственный сотрудник обязан:

  • незамедлительно сообщать руководителю о выявленном нарушении требований законодательства по обеспечению защиты конфиденциальной информации;
  • устанавливать причины совершения нарушения;
  • контролировать процесс устранения выявленных нарушений».

V. Ответственность

Раздел определяет меры воздействия за нарушение режима конфиденциальности.
Перечислите возможные виды ответственности:

  • дисциплинарная (выговор, штраф или прекращение трудового договора);
  • материальная (возмещение убытков);
  • административная или уголовная (в случаях, предусмотренных законом).

Уточните порядок расследования нарушений и оформления актов.

Например:
«Лица, виновные в нарушении требований Положения, несут ответственность в соответствии с законодательством».

VI. Заключительные положения

Этот раздел закрепляет порядок вступления Положения в силу и внесения изменений.
Укажите дату вступления в силу, процедуру ознакомления работников под подпись, кто утверждает документ и как в него вносятся изменения. При необходимости пропишите, что Положение действует бессрочно до отмены или замены.

Как согласовать и утвердить Положение

Прежде чем Положение вступит в силу, его необходимо согласовать и утвердить. Этот процесс помогает учесть интересы всех сторон, обеспечить юридическую чистоту документа и минимизировать риски.

Kadrovik.uz рекомендует
Какие локальные акты нужно согласовать с представительным органом работников, узнайте в рекомендации экспертов

Если Положение согласовано, работодатель вправе издать приказ, по которому локальный акт вводится в действие. С этого момента документ обязателен для исполнения, а все сотрудники, имеющие доступ к конфиденциальной информации, должны быть ознакомлены с ним под подпись.

Как ознакомить работников с Положением

После утверждения Положения важно правильно организовать процесс ознакомления работников с его содержанием. Это необходимо для того, чтобы сотрудники в полной мере осознавали свои обязанности по защите конфиденциальной информации и несли ответственность за возможные нарушения.

Для того, чтобы ознакомить работников с документом, используйте один из следующих способов:

  1. В трудовом договоре: добавьте в трудовой договор пункт следующего содержания: «Сотрудник обязуется соблюдать Положение о конфиденциальной информации, утвержденное приказом №__ от «_» _г».
  2. На самом локальном акте: подшейте к Положению листы ознакомления, на которых при приеме на работу все поступающие будут расписываться.
  3. В специальном журнале ознакомления с Положением: заполните графы журнала (ФИО, должность, наименование локального акта, дата) и получите подпись работника
  4. На отдельных листах ознакомления для каждого работника: приведите полный перечень локальных актов, с которыми вы ознакомили лицо при приеме на работу. Работник ставит подпись напротив каждого локального акта.

Каких ошибок стоит избегать при составлении Положения

Даже при наличии типового шаблона важно адаптировать Положение под конкретную организацию и ее риски. Небрежно или формально составленный документ может не только не защитить данные, но и создать иллюзию защищенности. Ниже приведены типичные ошибки, которые стоит избегать, чтобы Положение стало рабочим инструментом, а не «бумажной формальностью».

Ошибка

Почему это плохо

Рекомендуем

В Положении указывается, что конфиденциальной является «любая информация, ставшая известной работнику»

Такая формулировка может быть признана недействительной, поскольку нарушает принцип определенности

Четко перечислить категории информации (например: клиентские базы, внутренние методики, коммерческие предложения), с возможностью дополнять их приложением

Документ составлен только юристом или кадровиком, без учета мнения IТ-отдела, служб безопасности, коммерческого блока

Реальные риски могут быть упущены, а технические меры защиты – не реализованы

Перед утверждением провести согласование с подразделениями, использующими или хранящими критически важные данные

Положение не определяет, кто и на каких условиях получает доступ к конфиденциальной информации

При утечке данных невозможно установить круг лиц, имевших к ним доступ, и привлечь конкретного нарушителя

Прописать уровни доступа, ответственных лиц и порядок оформления допуска (например: подписание NDA, приказ, регистрация в журнале доступа)

Положение не включает меры защиты электронных данных (например: пароли, запрет копирования на внешние носители)

Современные утечки чаще происходят в цифровом виде. Без четких правил IT-безопасности ответственность возложить трудно

 

Прописать требования к использованию служебной почты, паролей, резервного копирования, ограничению доступа к сетевым папкам

Положение не содержит раздела об ответственности

Невозможно привлечь нарушителя к ответственности

Указать дисциплинарные меры (выговор, увольнение), возможность взыскания убытков, привлечение к административной или уголовной ответственности с отсылкой на конкретные статьи

Положение утверждено, но работники о нем не знают или не ознакомлены под подпись

Без подтверждения ознакомления документ не имеет юридической силы по отношению к сотруднику

Разработать лист ознакомления, включить пункт о Положении в трудовой договор и пр.

Положение утверждено один раз и не пересматривается годами

Технологии, бизнес-процессы и законодательство меняются

Установить срок пересмотра (например, раз в год), указать лицо, ответственное за актуализацию
Kadrovik.uz янгиликларини биринчи бўлиб олиш учун Telegram-каналга обуна бўлинг
Мавзуга доир материаллар:

Тушунтиришлар материал эълон қилинган пайтда амалда бўлган нормаларни ҳисобга олган ҳолда тайёрланган ва экспертлар фикрини акс эттиради. Якуний қарорни фойдаланувчи аниқ вазиятларни ҳисобга олган ҳолда мустақил равишда қабул қилади.




Сайт «NORMA» МЧЖ томонидан ишлаб чиқилган.

Контентни яратишда “Кадрлар бўйича маслаҳатчи” ЭМТ, «Buxgalter PRO» ЭМТ, buxgalter.uz сайти материалларидан фойдаланилган.

Сайт материалларини ресурс маъмурияти розилигисиз кўчириб олиш тақиқланади.

© «NORMA» МЧЖ, 2021–2025 й. Барча ҳуқуқлар ҳимояланган.

 
 
Яндекс.Метрика
Бориш харитаси Бориш харитаси

Манзил: Ўзбекистон, 100105,
Тошкент ш., Миробод тум., Толлимаржон кўч., 1/1.

E-mail: admin@kadrovik.uz

Call-марказ телефони: (+998)78 150-11-72