Статья 32. Конфиденциальная информация

Информация, содержащая определенного рода сведения, согласно закону, находится под особой охраной. Рядом законодательных актов предусмотрена ответственность за разглашение персональных данных, а также сведений, составляющих банковскую, коммерческую и другие тайны, охраняемые законом.

Статья 32. Конфиденциальная информация

Виды конфиденциальных сведений, за нарушение тайны которых может наступить ответственность, предусмотрены соответствующим указом Президента России. К таким сведениям можно отнести:

  • тайна следствия и судопроизводства;
  • персональные данные, а также частная жизнь гражданина, включая его переписку, телефонные переговоры и т.д.;
  • сведения о коммерческой деятельности организации или предпринимателя, доступ к которым ограничен в силу закона или внутренних актов предприятия;
  • служебная информация, не подлежащая разглашению, любые сведения, составляющие служебную тайну;
  • информация, полученная в ходе исполнения профессиональных обязанностей, в том числе врачебная, адвокатская тайна и т.д.

Таким образом, ответственность может наступить не только за разглашение личной информации, охране подлежат и другие сведения, передача которых посторонним лицам недопустима.

Виды ответственности

За разглашение неподлежащей обнародованию информации, в зависимости от характера распространенных сведений, может быть предусмотрена дисциплинарная, административная и уголовная ответственность. Параллельно может быть рассмотрен вопрос и о привлечении к гражданско-правовой ответственности путем взыскания ущерба, в том числе и морального вреда.

Дисциплинарная ответственность

Представляет собой наказание, назначенное работнику руководством предприятия или учреждения после проведенных служебных проверок и расследований, в результате которых признана вина сотрудника в утечке сведений.

Ответственность за разглашение конфиденциальной информации в данном случае может быть выражена в виде выговора, замечания, предупреждения о неполном служебном соответствии или увольнения.

Ответственность такого вида применяется в рамках трудовых отношений, решение о назначении меры наказания принимает, как правило, руководитель организации или учреждения, в соответствии с положениями специального и трудового законодательства.

  Приватизация жилья несовершеннолетними

Административная ответственность

Наступает, как за разглашение персональных данных, так и за нарушение защиты информации, кроме государственной тайны. Предметом административной ответственности выступает и распространение сведений о частной жизни – в этом случае виновное лицо может получить наказание в виде штрафа в сумме до 10 тысяч рублей.

Уголовная ответственность

Составы уголовных преступлений, связанных с распространением сведений, весьма разнообразны.

Так, предметом наказания может выступать и разглашение персональных данных, уголовная ответственность здесь, например, за нарушение неприкосновенности частной жизни, может повлечь и реальное лишение свободы.

Кроме того, уголовное наказание может повлечь и нарушение тайны переписки, телефонных переговоров, необоснованный и незаконный отказ в предоставлении информации гражданину.

Гражданско-правовая ответственность

Может выступать, как сопутствующее наказание, так и самостоятельный вид ответственности. Как уже говорилось выше, пострадавшее лицо вправе взыскать не только материальный вред, нанесенный вследствие неправомерного разглашения сведений, но и моральный ущерб, причиненный действиями виновного лица.

Административная, гражданско-правовая и уголовная ответственность за распространение конфиденциальной информации наступает только в случае принятия судом соответствующего решения и признания лица виновным в таком деянии.

Статья 32. Конфиденциальная информация

Разглашение информации – сложный состав правонарушения. При рассмотрении вопроса о привлечении к ответственности за такие действия, как правило, допускаются ошибки, неправильно применяются нормы права.

Сложно защитить свои интересы в случае нарушения и распространения конфиденциальной информации – здесь надо правильно определить состав правонарушения, составить иск или обратиться в правоохранительные органы с заявлением.

На сайте 33Юриста.ру  вы можете получить исчерпывающую информацию о правильности применения норм права, видах ответственности, порядке составления иска и других процессуальных документов.

В соответствующем разделе сайта можно получить бесплатную юридическую консультацию онлайн – наши юристы, имея большой опыт участия в делах такой категории, быстро и квалифицированно ответят на любой вопрос, касающийся защиты информации и ответственности за распространение сведений.

  Досрочное взыскание задолженности по кредитному договору

Закон о конфиденциальной информации | 149-ФЗ Об информации, информационных технологиях и о защите информации

Информация ограниченного доступа относится к различным категориям, от государственной до коммерческой тайны, степень ее конфиденциальности определяется международными соглашениями и национальными законами. В деятельности бизнес-структур наиболее важно, как обеспечение безопасности коммерческой тайны регулируется федеральными законами и какую ответственность компания понесет за утечку персональных данных.

Международная практика обеспечения безопасности данных

Изучая отечественный опыт определения статуса конфиденциальной информации в законе и его защиты, нужно сравнивать его с законодательством иностранных государств.

Существуют разные концепции регламентации обеспечения безопасности:

  • коммерческой тайны как имеющей ценность для бизнеса;
  • персональных данных, так как за их утечку грозит административная ответственность.

Европейские страны предлагают интересные варианты решения этих задач. В Великобритании полностью отсутствует законодательство, посвященное вопросам регулирования вопроса статуса защищенности информации, для нее характерна прецедентная правовая система.

Уже 150 лет вопрос охраны коммерческой тайны решается на уровне судебной системы. В стране сформировалась устойчивая правоприменительная практика с множеством интересных прецедентов и четко выработанными правилами.

Интересно, что правила, выработанные судами для охраны коммерческой тайны, по аналогии применяются к обеспечению безопасности государственной тайны и тайны частной жизни (персональных данных).

Давая определение тайне, английские суды действуют от противного, определяя, что к категории тайны не могут относиться общеизвестные сведения или так называемая публичная собственность, данные, предназначенные для раскрытия общественности.

Британцы не разделяют позицию, что к коммерческой тайне относится все, что сочла нужным внести в этот список служба безопасности компании.

Сведения должны иметь действительную коммерческую ценность, на их создание должны быть израсходованы временные и интеллектуальные ресурсы, а право на охрану и ограничение доступа определяется реальной ценностью.

Все взаимоотношения по обеспечению режима ограничения доступа к данным регулируются соглашениями:

  • между нанимателем и работником – трудовым договором;
  • между партнерами в бизнесе – соглашением о взаимных гарантиях неразглашения коммерческой тайны;
  • в рамках государственной службы – контрактом госслужащего, дающего подписку о неразглашении.

Ровно так же вопрос статуса обеспечения безопасности данных регулируется в странах – членах Британского содружества – Австралии и Индии. При отсутствии закона, содержащего понятие секретности сведений, в Австралии существуют уголовно-правовые нормы, регулирующие ответственность за их разглашение.

Германия также отказалась от общего понимания коммерческой тайны как неограниченного массива данных компании. Правовой охране подлежат только ноу-хау, под которыми может пониматься и научно-техническая, и коммерческая информация.

Методы рекламы и маркетинга, бизнес-планы, сведения о бизнес-процессах и перечнях клиентов будут отнесены к ноу-хау как имеющие самостоятельную коммерческую ценность. Регулируется охрана такой информации соглашением между работодателем и работником.

 

Интересно, что в немецкой практике за разглашение коммерческой тайны отвечает не только виновник. Предусмотрены такие составы, как пособничество и подстрекательство.

Законы Германии обязывают должностных лиц государственных органов не разглашать коммерческую тайну компаний, попавшую к ним по долгу службы, вводя ответственность вплоть до уголовной.

Предусмотрены меры, исключающие разглашение любой коммерческой тайны в ходе судебных процессов. 

При этом работодатели обязаны информировать работников о прекращении режима конфиденциальности в отношении доверенных ему данных.

 Эта позиция немецкого законодателя не дает работодателю каким-то образом ущемлять трудовые права работника, например, запрещать ему устраиваться на аналогичные должности к конкурентам.

Такие положения трудового договора будут сочтены противоправными в случае возникновения судебного спора.

Французское законодательство об охране коммерческой тайны во многом аналогично российскому, соответствующие нормы прописаны в гражданском, трудовом и уголовном праве. 

Предусматриваются следующие направления обеспечения безопасности коммерческой тайны:

  • пока сотрудник трудится в компании, он обязан не разглашать доверенные ему сведения. По окончании контракта на него может быть возложена обязанность не конкурировать с работодателем;
  • если правообладатель данных доверил их кому-то, и они были разглашены, за злоупотребление доверием может наступить уголовная ответственность;
  • если коммерческая тайна разглашена государственным чиновником, он также понесет уголовную ответственность.

Финляндия, Швейцария и другие европейские государства пошли по схожему пути, причем вопрос ответственности за разглашение некоммерческой тайны регулируется в большей степени не национальным правом, а нормами Евросоюза. 

Читайте также:  Статья 4.1. классы опасности отходов

Свое решение в вопросе охраны данных предложила Италия. 2105-я статья Гражданского кодекса Италии вводит понятие «долга верности», согласно которому наемный работник:

  • не вправе вести деятельность, в которой он вступает в конкуренцию с работодателем ни как частное лицо, ни по трудовому контракту с другой компанией;
  • не может не только разгласить, но и использовать полученные им знания и информацию ограниченного доступа.

Оба обязательства не имеют временных пределов и носят формальный характер. Работодатель не обязан доказывать ущерб от действий бывшего сотрудника, достаточно одного факта нарушения.

Япония в вопросе регулирования отношений, связанных с сохранением коммерческой тайны, пошла по пути корпоративной этики. Все вопросы регулируются локальными нормативными актами предприятий. 

Кодексы корпоративной этики содержат морально-этические нормы, предполагающие:

  • полный запрет на передачу любых данных компании третьим лицам;
  • запрет любого совместительства мест работы без разрешения руководства, если следствием может быть утечка данных компании.

Часто отмечается, что Япония меньше всех стран мира страдает от инсайдерских утечек, что связано с семейной атмосферой бизнеса и принципом пожизненного найма.

Приведенные положения иностранного законодательства говорят о том, что наибольшее внимание уделяется коммерческой тайне компаний. В американской практике властям пришлось делать выбор между защитой коммерческой и личной информации и национальной безопасностью.

Долгое время американское законодательство считало персональные данные и коммерческую тайну объектами, охрана которых требует дополнительного государственного воздействия, например, регулирования систем охраны данных и введения уголовной ответственности за существенное вторжение в зону частного интереса.

При этом само государство не было заинтересовано в неограниченном доступе к частной информации. Американская концепция недоверия к вторжению административных властей в частную жизнь исключала любую степень государственного регулирования, кроме нейтральной. Все изменилось с началом эпохи глобального терроризма.

Уже с 2011 года США начали говорить о том, что понятие конфиденциальности информации устарело. Закон «Патриот» предоставил доступ государству к закрытым данным без объяснения целей их использования.

Российское регулирование

Национальное российское законодательство в этой сфере проработано неравномерно, наиболее полно отрегулированы три блока:

  • государственная тайна;
  • персональные данные;
  • коммерческая тайна.

Вопрос раскрывается в нескольких федеральных законах и подзаконных актах, часто содержащих пересекающиеся нормы. Правоприменение обычно реализуется в рамках трудовых договоров и внутренних нормативных актов компаний.

Российское законодательство о защите конфиденциальной информации

Статья 32. Конфиденциальная информация

149-ФЗ

Федеральный закон «Об информации» не внес в российское правовое поле каких-либо существенных норм в части регулирования оборота данных, но утвердил, какая именно информация окажется закрытой, опираясь на критерий ограниченности доступа к ней. 

Исходя из ст. 9 закона, к этой категории относятся:

  • государственная тайна;
  • служебная информация госструктур;
  • коммерческая тайна;
  • служебная тайна;
  • персональные данные;
  • профессиональная тайна.

Закон не устанавливает никаких особых требований к обеспечению безопасности закрытой в доступе информации, адресуя к федеральным законам, регулирующим конкретные сферы правоотношений.

Дополнительно он определяет критерий общедоступности информации, исключающий ее отнесение к категории данных ограниченного доступа.

Также он раскрывает вопросы государственного регулирования информационных систем, обрабатывающих данные высокой степени секретности.

Указ Президента № 188

Принятый чуть ранее, чем федеральный закон, но несколько раз изменявшийся Указ Президента № 188 предложил немного другой перечень данных, которые могут быть отнесены к конфиденциальной информации:

  • персональные данные;
  • тайна следствия и судопроизводства;
  • служебные сведения;
  • профессиональная тайна;
  • данные о сути изобретений до их публикации или получения патента;
  • данные об исполнении судебных актов.

Если сравнивать этот список с перечнем, предложенным федеральным законом «Об информации», выявляются новые объекты (правовые и в научной сфере), но мер по их защите, отличных от общих принципов защиты данных в государственных информационных системах или охране коммерческой тайны, не предложено.

Закон о коммерческой тайне, ГК РФ и ТК РФ

Применительно к коммерческой тайне компаний в России работают три нормативных акта – федеральный закон «О коммерческой тайне», Гражданский кодекс и Трудовой кодекс. 

ФЗ «О коммерческой тайне» рассматривает:

  • способы отнесения данных к коммерческой тайне и механизмы ее защиты. Закон полностью отдает этот вопрос на откуп компаниям, не выделяя критериев, которые могли бы доказать действительную ценность информации, за разглашение которой гражданину может грозить уголовная ответственность;
  • перечень сведений, которые не могут быть отнесены к коммерческой тайне. По сути он ограничен общедоступной информацией;
  • способы охраны данных, в общем идентичные списку организационных мер, рекомендованных для защиты персональных данных.

Компания вправе назвать коммерческой тайной практически любые данные, за их разглашение сотрудник понесет ответственность в рамках гражданского и уголовного законодательства. Гражданский кодекс ранее содержал ст.

139, посвященную вопросам коммерческой тайны и способам привлечения граждан к имущественной ответственности за ее разглашение, недавно она была исключена. Сейчас работодатель может привлечь сотрудника к ответственности только в рамках ст.

15, говорящей о возмещении убытков. 

Законодатель принял сторону работника, утвердив, что убытки могут быть возмещены только после того, как будут установлены:

  • их фактическое существование;
  • их реальная оценка.

В большинстве случаев сделать это невозможно, так как доказать реальную стоимость утраченных сведений, если в список сведений, относимых к коммерческой тайне, включено все, что пришло в голову администрации, фактически невозможно. Тем не менее в рамках трудового права работника можно уволить за утечку закрытых данных любого характера и любой ценности.

Правоприменение

Любые обязательства гражданина по сохранению коммерческой тайны предприятия окажутся ничтожными, если не будет предусмотрен механизм реализации ответственности.

В отношении коммерческой тайны определенные возможности предоставляет Трудовой кодекс.

Отдельным вопросом правового регулирования системы защиты данных становятся взаимоотношения между компанией и работником, в рамках которых последний обязан охранять коммерческую тайну и нести ответственность за ее разглашение. 

В трудовом договоре необходимо прописать:

  • неразглашение каких именно видов охраняемой законом информации запрещено в компании;
  • какие меры ответственности могут быть применены в случае невиновной утраты и в случае намеренного хищения данных;
  • как долго после увольнения длится обязанность не разглашать защищаемые данные;
  • какие дополнительные документы должны оформляться одновременно с изменениями в трудовом договоре.

Включить условие о неразглашении охраняемой законом тайны в стандартный трудовой договор позволяет ст. 57 ТК РФ.

Она говорит о любом типе секретных данных, соответственно, трудовой контракт может обязать не разглашать не только коммерческую тайну, но и врачебную, и служебную, и персональные данные.

Но государственная и служебная тайна дополнительно охраняется законодательством, сторонам трудового договора нет необходимости достигать дополнительной договоренности по этому вопросу.

В случае нарушения штрафные санкции, прописанные в договоре, будут неприменимы, так как нарушат общий порядок государственного управления. Трудовой кодекс в ст. 57 не предусматривает включения в трудовой договор отдельного условия о неразглашении персональных данных, так как ответственность гражданина за это нарушение также предусмотрена законодательством.  

Но есть одно исключение: если оператор поручает обрабатывать персональные данные третьему лицу, то ответственность за их утечку несет оператор, а не его контрагент. Соответственно, не понесет ответственности сотрудник контрагента, намеренно допустивший утечку. В этом случае допустимо уточнение в трудовом договоре дополнительной ответственности по этому основанию.

Стандартно в трудовой договор включается общая формулировка о неразглашении различных видов тайны, но отдельным категориям работников целесообразно прописывать персонифицированные условия.

Особенно это касается руководителей, сотрудников служб безопасности и ИТ-подразделений, в чьем распоряжении находятся данные, формально не относимые к закрытым, но разглашение которых способно причинить существенный вред предприятию.

С точки зрения ответственности следует учитывать, что нарушение условия о неразглашении коммерческой тайны является одним из оснований досрочного расторжения трудового договора. Работодатель вправе применять иные дисциплинарные взыскания, но материальная ответственность возможна только в пределах премиальной части выплат. Причиненный ущерб придется взыскивать через суд.

По поводу срока действия обязательства о неразглашении защищаемой информации после завершения трудовых отношений законодатель придерживается позиции, что он бессрочен, доверенная информация не может быть передана третьим лицам никогда, даже тогда, когда она утратила коммерческую ценность.

Читайте также:  Статья 38. Служба защиты прав пациентов, находящихся в медицинских организациях, оказывающих психиатрическую помощь в стационарных условиях

***

Защита информации требует внимательного отношения к правам и тех, чьи данные защищаются, и тех, кто может пострадать в случае неправомерного преследования. Идеальной модели нормативного регулирования степени конфиденциальности данных пока не предложено.

26.03.2020

Что относится к персональным данным. Кому их можно передавать, как хранить и уничтожать

Статья 32. Конфиденциальная информация

В последние годы вопрос о персональных данных стал крайне острым ввиду активной цифровизации, а следовательно, и с ростом рисков по утечке и мошенническом использовании информации. При проведении проверок инспекторы обращают внимание на документы, относящиеся к персональным данным, их наличие, хранение, согласие работников на обработку и т.д.

Что такое персональные данные и что к ним относят

Персональные данные — это любая информация, прямо или косвенно относящаяся к физическому лицу, и позволяющая его определить. Это из статьи 3 ФЗ «О персональных данных», от 27.07.2006 № 152-ФЗ (далее — Закон).

К персональным данным, согласно данному закону, относят:

  • фамилия, имя, отчество;
  • место, дата рождения;
  • место постоянной или временной регистрации;
  • фотография или видеозапись человека, позволяющие идентифицировать человека;
  • сведения о детях, родственниках, семейном положении;
  • сведения о заработной плате;
  • оценка навыков, личностных качеств;
  • индивидуальные личные данные (раса, национальность, политические или религиозные взгляды, философские убеждения; состояние здоровья);
  • информация о судимостях, или их отсутствии;
  • номер телефона, адрес электронной почты, иные идентификаторы в соц. сетях или мессенджерах;
  • паспортные данные, СНИЛС, ИНН (хотя с ИНН вопрос спорный);
  • биометрические данные.

Но стоит учитывать, что некоторые из этих данных сами по себе, без связки с другими данными, персональными являться не могут.

Если номер телефона сам по себе не является персональными данными, то в базе оператора, с указанием ФИО владельца — является. Адрес электронной почты в формате petrov_sergey_1987@mail.

ru — тоже относится к персональным данным, как и ФИО, с привязкой к ИНН, номеру телефона или месту регистрации.

Также существует классификация персональных данных. Их подразделяют на:

  • общедоступные;
  • специальные;
  • биометрические;
  • иные.

Такая классификация дана в Постановлении Правительства от 1 ноября 2012 г. № 1119.

  • Немного подробнее по каждой категории.
  • Общедоступные — те, на доступ к которым дано согласие субъекта персональных данных, а не те, которые можно найти в общем доступе в интернете.
  • Специальные — информация о расе, национальности и религии; политических и философских взглядах, здоровье, подробностях личной жизни,
  • судимостях.

Биометрические — информация о физиологических и биологических особенностях человека. Это отпечатки пальцев, генетическая информация, рисунок радужной оболочки глаз, образцы голоса, фотографии.

Но здесь тоже важна определенная привязка к личности. Например, отпечаток пальца, используемый для идентификации сотрудника для входа в офис. Или скан радужной оболочки глаза.

К иным данным относится все остальное. Это как папка «разное» на большинстве компьютеров. Это электронная почта или геолокация,

информация о принадлежности к определенной социальной группе,

стаж работы и пр.

Также стоит упомянуть, кто является субъектом персональных данных, а кто оператором. Соответственно, субъект — физическое лицо, чьи данные обрабатывают. К примеру, собирают и хранят. А оператор персональных данных — юридические лица, государственные организации или ведомства. Они данные собирают, обрабатывают, хранят, передают и уничтожают.

Обратите внимание! Уничтожение персональных данных должно происходить таким образом, чтобы впоследствии ими не могли воспользоваться ни злоумышленники, ни нечистоплотные сотрудники организации, а у проверяющих не оставалось сомнений в законности процедуры. Делис Архив проведет экспертизу документов, отбор и уничтожение, предоставит все подтверждающие документы и уничтожит документы, содержащие конфиденциальную информацию. Подробнее.

Обработка персональных данных

Любой договор с физлицом, содержащий его личные данные (а он и будет их содержать, если это не публичная оферта), должен в обязательном порядке содержать раздел о персональных данных. Без письменного согласия человека, обработка персональных данных оператором, а также их передача третьим лицам — запрещена.

Вообще, обработка персональных данных — это вообще любые действия, которые с ними делают. Сюда входит:

  • сбор;
  • передача;
  • запись;
  • хранение;
  • извлечение;
  • изменение;
  • обезличивание;
  • анализ;
  • удаление.

В свою очередь, обработка может осуществляться тремя путями:

  • Автоматизированная — с помощью средств вычислительной техники. Это компьютеры, телефоны и другие электронные устройства, базы данных, криптографические средства защиты, программы, скрипты.
  • Смешанная — обработка человеком при участии средств вычислительной техники. Например, когда в бухгалтерии вбивают в программу данные из бумажного заявления на отпуск.
  • Неавтоматизированная — без автоматизации.

После того, как персональные данные обработаны они отправляются на хранение в архив. Это может быть и отдельное специализированное помещение (если речь о бумажных документах) и электронное хранилище (например, облачное). В любом случае вам впоследствии нужно иметь возможность оперативно найти данные и уничтожить их (по требованию субъекта) или передать (в силу закона).

Чтобы поиск не стал квестом, рекомендуем правильно организовать архив, как обычный, так и электронный. Как это сделать знают специалисты Делис Архив.

Определить срок хранения документа онлайн

Что будет, если нарушить законодательство о персональных данных

Следит за соблюдением законодательства в этой сфере организация, которая у многих на слуху — Роскомнадзор. Применяемая статья — 13.11 КоАП.

  • обработка ПД, несовместимая с целью сбора — штраф до 3 тыс. для граждан, до 10 тыс. на должностных лиц, до 50 тыс. — на организации.
  • обработка ПД без письменного согласия субъекта — штраф для граждан до 5 тыс., до 20 тыс. на должностных лиц, до 75 тыс. на организации.
  • неопубликование документа о политике оператора в отношении обработки ПД — штраф для граждан до 1,% тыс руб., для должностных лиц до 6 тыс., для ИП до 10 тыс., а для юрлиц — до 30 тыс.

Если собирать персональные данные о гражданах РФ на серверы, расположенные за пределами РФ — штраф до 6 миллионов.

Что делать, чтобы не попасть под штрафы

Чтобы собирать, хранить и обрабатывать ПД, нужно соблюдать требования Закона № 152-ФЗ. Краткий чек-лист:

  • Зарегистрироваться в Роскомнадзоре, как оператор персональных данных.
  • Запрашивать разрешение на сбор и обработку данных у субъектов и не собирать с них лишние данные.
  • Отвечать на обращения субъектов и предоставлять им всю информацию.
  • Собирать и хранить информацию только для достижения определенных целей, и на определенный срок.
  • Хранить и защищать ПД по закону, обеспечивать сохранность, тайну и точность данных, не передавая третьим лицам. А если передавать, то только с документальным подтверждением и только аттестованным.
  • Уточнять, блокировать или уничтожать ПД по заявлению субъектов или когда достигли целей их сбора.

Смотреть, что будет, если неправильно хранить документы

Все нужна регистрация в Роскомнадзоре?

Может возникнуть ощущение, что уже давно всем работодателям нужно бежать в Роскомнадзор и регистрироваться как оператору персональных данных. Однако это не так. Вот исключения:

  • сбор персональных данных гражданина оператором осуществляется в связи с установлением трудовых отношений;
  • персональные данные собираются с целью заключения договора, без последующей передачи и распространения третьим лицам, также предусматривается использование персональных данных только для исполнения договора с гражданином;
  • обработка персональных данных, находящимся в открытом доступе;
  • сбор фамилии, имени и отчества граждан без указания телефона, e-mail;
  • сбор персональных данных проводится с целью однократного пропуска гражданина на территорию оператора, собирающего данные, или в аналогичных случаях;
  • сбор, обработка и хранение персональных данных осуществляется на бумажных носителях без использования средств автоматизации. Кстати, хранить свой бумажный архив, включая кадровые документы и персональные данные вы можете и вне офиса. Так можно избежать их утраты и несанкционированного доступа к информации.

Во всех остальных случаях — регистрация обязательна!

Не забудьте, что в Делис Архив действует акция «Новогодняя» — дарим полезные подарки действующим и будущим клиентам!

Создайте свой блог, выскажитесь и станьте суперзвездой «Клерка» Создать блог

Являются ли персональные данные действительно конфиденциальными, или Как соотносятся категории «персональные данные» и «тайны» (взгляд цивилиста)

Закон.Ру – официально зарегистрированное СМИ. Ссылка на настоящую статью будет выглядеть следующим образом: Рожкова М.А.

  Являются ли персональные данные действительно конфиденциальными, или Как соотносятся категории «персональные данные» и «тайны» (взгляд цивилиста) [Электронный ресурс] // Закон.ру. 2019. 18 марта. URL: https://zakon.ru/blog/2019/3/18/yavlyayutsya_personalnye_dannye_dejstvitelno_konfidencialnymi_ili_kak_sootnosyatsya_kategorii_person

Достаточно часто в отечественных публикациях и выступлениях звучат утверждения, что персональные данные являются конфиденциальными и вследствие этого охватываются понятием «тайна». Некоторых это приводит к выводу о целесообразности объединения в одном законе норм, регулирующих как тайны, так и персональные данные.

Попробуем разобраться, насколько верна такая позиция.

Понятие конфиденциальности

В русском языке синонимами слова «конфиденциальный» традиционно являются «секретный», «тайный», «доверительный», «не подлежащий огласке»[1]. Поэтому понятия «тайна», «секрет», «конфиденциальность» всегда признавались равнозначными и использовались для обозначения того, что неизвестно другим и не должно быть раскрыто под угрозой применения мер ответственности. 

Читайте также:  Статья 1. Местное самоуправление

В отечественном законодательстве нашел закрепление подход, согласно которому под тайной понимаются сведения, которые не известны третьим лицам и не могут быть ими свободно получены, обладают определенной ценностью, защищаются от несанкционированного доступа к ним.  В частности, выделяются государственная (в том числе военная), профессиональная, служебная, коммерческая тайна, секрет производства – для них установлены соответствующие правовые режимы.

Изучение зарубежного опыта позволяет сделать вывод о том, что за понятием «конфиденциальность» сегодня признается более широкое значение – им охватываются как собственно тайны (секреты), так и иные формы ограничения применительно к конкретным типам информации[2]. Выделяют две основные разновидности конфиденциальности:

– секретность (secrecy), которая понимается как форма сокрытия информации, которая носит недобровольный характер и предусматривает санкции за разглашение.

Именно под режим secrecy подпадают упомянутые выше государственные, профессиональные, служебные, коммерческие тайны, тайны частной жизни (личные, интимные, семейные), а также, например, информация для служебного пользования, согласованная контрагентами конфиденциальная информация и т.п.

– приватность (privacy), представляющая собой форму ограничения доступа к личным сведениям, в силу которой всякое использование таких сведений допускается только с согласия субъекта этих сведений.

Эта разновидность конфиденциальности распространяется на личную информацию, которая не является тайной (секретом), но использование которой третьими лицами допустимо лишь при условии соблюдения определенных правил.

Под режим privacy подпадает любая личная информация, использование которой третьими лицами может привести к нарушению неприкосновенности частной жизни субъекта этой информации.

Надо признать, что обозначенное разграничение проникло и в отечественное право. Именно о privacy (как разновидности конфиденциальности) идет речь в ст. 2 Федерального закона от 27.07.

2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее – Закон об информации), в которой под конфиденциальностью информации предлагается понимать «обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя».

Эта новация стала результатом начала ратификационного процесса подготовки России к участию в Конвенции 108[3], о которой речь пойдет далее.

Конвенция 108

Эту часть статьи хотелось бы предварить замечанием, уже звучавшим в моей предыдущей работе: общеизвестный термин «personal data» было бы вернее перевести на русский язык не как «персональные данные», а как «личные данные», «личные сведения» или «личная информация» (далее эти выражения будут использоваться как синонимы). На мой взгляд, это значительно облегчило понимание целей и сущности отечественного законодательства о персональных данных. 

Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data CETS No. 108 (Strasbourg, 28.I.1981), название которой можно перевести как Конвенция о защите частных лиц применительно к автоматизированной обработке личных сведений (далее – Конвенция 108), представляет собой международный договор, нацеленный на решение проблем, порождаемых использованием новых технологий.

В преамбуле Конвенции 108 отмечается увеличение трансграничного потока личной информации, которая сегодня подвергается автоматизированной обработке (включающей хранение, аналитику, изменение, уничтожение, поиск, распространение личных сведений). Указывается, что в этих условиях необходимо усиление защиты прав и свобод граждан, в частности права на неприкосновенность частной жизни.

С учетом этого цель Конвенции 108 состоит в обеспечении для каждого частного лица уважения его прав и основных свобод, и в частности его права на неприкосновенность частной жизни, в том что касается автоматизированной обработки его личной информации (ст. 1).

Для краткости эта цель обозначена как «защита данных».

 Иными словами, использованное в Конвенции 108 выражение «защита данных» должно пониматься в контексте защиты не самих по себе личных данных, а прав и основных свобод частных лиц, которые могут быть нарушены при автоматизированной обработке (использовании) этой информации.

В ст.

7 Конвенции 108 закреплено положение, касающееся обеспечения безопасности личных данных: в ней предусмотрено, что для целей безопасности личной информации, хранящейся в автоматизированных базах данных, принимаются надлежащие меры, направленные на предотвращение (1) случайного или несанкционированного уничтожения / (2) случайной потери сведений / (3) несанкционированного доступа, изменения или распространения таких сведений.

Помимо упомянутых мер безопасности Конвенция 108 в ст.

8 закрепляет дополнительные гарантии для субъектов личных сведений, предоставляя им возможность: (1) знать об автоматизированных базах личных данных и их целях; (2) получать подтверждение того, что их личная информация хранится в такой базе; (3) добиваться исправления или уничтожения данных, если они подверглись обработке в нарушение национального законодательства; (4) при невыполнении указанных просьб использовать соответствующие средства правовой защиты.

В силу ст. 10 Конвенции 108 каждое государство, присоединившееся к Конвенции 108, должно закрепить надлежащие санкции и определить средства правовой защиты на случай нарушения норм национального законодательства, в котором воплощены принципы защиты данных, изложенных в Конвенции.

Отечественное законодательство о персональных данных

В 2006 году в рамках упомянутого ратификационного процесса был принят Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных), который, как следует из его ст.

1, призван урегулировать отношения, связанные с обработкой персональных данных, осуществляемой как с использованием средств автоматизации, так и без таковых в установленных законом случаях[4].

 В качестве цели Закона о персональных данных (подобно Конвенции 108) указывается на «обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну».

В п. 1 ст.

19 Закона о персональных данных предусмотрена обязанность оператора при обработке данных принимать меры по обеспечению их безопасности – необходимые правовые, организационные и технические меры, направленные на предотвращение: (1) неправомерного или случайного доступа к ним; (2) уничтожения данных; (3) их изменения; (4) блокирования; (5) копирования данных; (6) предоставления; (7) распространения персональных данных, а также от иных неправомерных действий.

Помимо этого в Законе о персональных данных содержится ст.

7, носящая наименование  «Конфиденциальность персональных данных», которая закрепляет следующее положение: «Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом». По всей видимости, именно ст. 7 и подводит многих юристов к мысли о том, что персональные данные – это сведения, которые следует рассматривать как разновидность тайны.

Однако подобные выводы неверны.

Во-первых, под категорию «персональные данные» на сегодняшний подпадают разные по своей природе разновидности личной информации, в том числе сведения, однозначно не являющиеся секретными и ни в коей мере не относящиеся к тайне (на это указывалось в моей предыдущей статье о персональных данных).

Во-вторых, ст. 7 Закона о персональных данных, по сути, лишь устанавливает общий запрет на использование личных сведений граждан без их согласия операторами и другими лицами, получившими доступ к этим сведениями. Иными словами, в данной статье Закона о персональных данных, как и ст. 2 Закона об информации, под конфиденциальностью понимается privacy.

Исходя из вышеизложенного, можно заключить, что понятие «персональные данные» отнюдь не тождественно понятию «тайна». Это заключение основано в том числе и на том, что конфиденциальность персональных данных предполагает иную форму ограничения (privacy), отличающуюся от режима секретности (secrecy).

Об авторе. Другие работы автора в открытом доступе – http://rozhkova.com/all.html

P.S. лента новостей IP CLUB в сфере права интеллектуальной собственности и цифрового права (IP & Digital Law) в:

Ссылка на основную публикацию