Витяг з інструкції ІС.07 «Забезпечення конфіденційності інформації, одержаної при сертифікації»:

 

1 Сфера застосування

Дана інструкція встановлює вимоги щодо дотримання конфіденційності персоналом при проведенні робіт з оцінювання (сертифікації) продукції, послуг.

Дія даної інструкції поширюється на персонал ОС, що проводить роботи з сертифікації і має доступ до конфіденційної інформації замовників.

 

2 Терміни та скорочення

Терміни та визначення, що використані в даній інструкції, відповідають тим, що використовуються в ДСТУ ISO 9000, ДСТУ EN ISO/IEC 17000, ДСТУ EN ISO/IEC 17065.

Конфіденційна інформація – інформація, доступ до якої обмежено фізичною або юридичною особою, крім суб’єктів владних повноважень, та яка може поширюватися у визначеному ними порядку за їхнім бажанням відповідно до передбачених ними умов (ЗУ «Про доступ до публічної інформації»).

Конфіденційною є інформація про фізичну особу, а також інформація, доступ до якої обмежено фізичною або юридичною особою, крім суб’єктів владних повноважень. Конфіденційна інформація може поширюватися за бажанням (згодою) відповідної особи у визначеному нею порядку відповідно до передбачених нею умов, а також в інших випадках, визначених законом (ЗУ «Про інформацію»)

Комерційною таємницею є інформація, яка є секретною в тому розумінні, що вона в цілому чи в певній формі та сукупності її складових є невідомою та не є легкодоступною для осіб, які звичайно мають справу з видом інформації, до якого вона належить, у зв’язку з цим має комерційну цінність та була предметом адекватних існуючим обставинам заходів щодо збереження її секретності, вжитих особою, яка законно контролює цю інформацію (Цивільний кодекс України).

ОС – орган з сертифікації.

ПК – представник керівництва.

 

3 Відповідальність і повноваження

Відповідальність за дотримання персоналом ОС вимог нерозголошення комерційної і професіональної таємниці та проведення відповідного інструктажу несе керівник ОС.

Персонал ОС несе персональну відповідальність за дотримання вимог конфіденційності інформації, одержаної в ході робіт з сертифікації  згідно з чинним законодавством.

ОС та організації, що діють за його дорученням, несуть відповідальність за розголошення конфіденційної інформації згідно з чинним законодавством.

 

4 Опис інструкції

4.1 Загальні положення

Конфіденційність – властивість інформації, яка полягає в тому, що інформація не може бути отримана неавторизованим користувачем.

ДСТУ EN ISO/ІЕС 17065 передбачає, що ОС повинен виконувати вимоги заявника щодо конфіденційності інформації отриманої при проведенні робіт з сертифікації.

Інформація є конфіденційною, якщо вона складає професійну чи комерційну таємницю, тобто має дійсну або потенційну професійну та комерційну цінність через невідомість її третім особам, до неї немає вільного доступу на законній підставі і власник інформації приймає заходи щодо охорони її конфіденційності.

ОС вживає адекватні заходи, узгоджені з нормами чинного законодавства, щоб забезпечити конфіденційність інформації, отриманої у процесі сертифікації на всіх рівнях організації, охоплюючи і сторонні органи або приватні особи, що діють від його імені.

ОС не передає третій стороні інформацію, отриману у процесі сертифікації, що стосується конкретної продукції або інформацію про клієнта, без письмової згоди останнього, за винятком випадків, передбачених ДСТУ EN ISO/ІЕС 17065 або законодавством.

Якщо законодавство вимагає передати інформацію третій стороні, клієнта повідомляють про те, що інформацію надано відповідно до закону.

ОС забезпечує, що персонал, який підписав зобов’язання від власного імені, задовольняє всі вимоги до персоналу (див. ІС.18, посадові інструкції та результати атестації працівників), викладені у ДСТУ EN ISO/ІЕС 17065.

Вхідні дані: інформація отримана персоналом ОС при виконанні робіт з сертифікації.

Вихідні дані: протокольні записи щодо зобов’язання персоналу ОС не розголошувати конфіденційну інформацію, отриману від клієнта.

Ресурси та інфраструктура:

  • персонал;
  • нормативні документи;
  • паперові та електронні носії;
  • ПК та комп’ютерна мережа;
  • копіювальна техніка;
  • приміщення.

 

4.2 Порядок проведення робіт

Персонал ОС, який приймає участь в роботах з сертифікації або має доступ до інформації, документів, що створені за результатами таких робіт, будь яких інших відомостей про клієнта підписує зобов’язання щодо дотримання конфіденційності за формою наведеною у Додатку Г НЯ. Дане зобов’язання зберігається в окремій справі в керівника ОС.

Клієнт при подачі заявки на сертифікацію в письмовій або усній формі повідомляє ОС про інформацію, яку вважає конфіденційною.

При залученні до робіт з сертифікації персоналу сторонніх організацій, керівник чи ПК ознайомлюють їх з вимогами клієнта щодо конфіденційності і оформляють зобов’язання згідно з Додатком Г НЯ.

При залученні до робіт з сертифікації субпідрядників з ОС укладається угода, в якій обумовлюються вимоги до конфіденційності та відповідальність за її розголошення.