Статья о личных данных конфиденциальности: Как защищены персональные данные россиян

Разное 

Статья 7. Конфиденциальность персональных данных

Статья 7. Конфиденциальность персональных данных

Комментарий к статье 7

1. Комментируемая статья прямо относит персональные данные к разновидности информации ограниченного доступа (ст. 9 Закона об информации). Учитывая многообразие существующих правовых режимов информации ограниченного доступа, сведения, являющиеся персональными данными, могут одновременно подпадать под действие иного режима информации ограниченного доступа, например являться коммерческой, врачебной или банковской тайной. При этом Закон о персональных данных не дает никаких ориентиров относительно разрешения возможных коллизий между такими правовыми режимами (за исключением режима государственной тайны, отношения по обработке которой выведены за рамки законодательства о персональных данных). Представляется, что в таком случае оператору целесообразно действовать согласно наиболее рестриктивному правовому режиму. Так, например, в отношении базы данных клиентов оператора, содержащей персональные данные, им может быть установлен режим коммерческой тайны.

При этом в соответствии с Федеральным законом от 29 июля 2004 г. N 98-ФЗ «О коммерческой тайне» оператору как обладателю такой информации принадлежит достаточно широкий круг правомочий по определению ее режима и судьбы. В данном случае оператор может распоряжаться информацией, составляющей коммерческую тайну, только с соблюдением ограничений, предусмотренных законодательством о персональных данных. У него нет возможности «обойти» данные ограничения посредством установления по собственной инициативе альтернативного, более либерального правового режима. Если же, к примеру, информация, составляющая персональные данные, одновременно является банковской тайной и в отношении ее обработки и защиты установлены дополнительные требования, например в части идентификации ее субъектов, то представляется, что такие требования должны применяться в совокупности с положениями законодательства о персональных данных, а в случае коллизий иметь приоритет.
2. Положения комментируемой статьи могут иметь важное значение при оценке законности требований о предоставлении персональных данных в различных правоотношениях, в том числе в сфере государственных закупок. Так, нередко для подтверждения наличия квалификации или трудовых ресурсов заказчики требуют от участников закупок предоставить копии трудовых договоров, трудовых книжек работников, приказов о приеме на работу, а также копии дипломов о профессиональном образовании работников. Поскольку указанные сведения являются персональными данными, в отношении которых оператор обязан соблюдать требование конфиденциальности, соответствующие требования не соответствуют положениям законодательства. По мнению антимонопольного органа, предоставление документов и сведений, которые требует заказчик, напрямую не предусмотрено Федеральным законом от 5 апреля 2013 г. N 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд», в связи с чем заказчик не вправе требовать от участника закупки предоставления таких сведений (решение Алтайского краевого УФАС России от 24 июня 2014 г. по делу N 295/14). Аналогичным образом требование государственного заказчика предоставить справки формы 2-НДФЛ на каждого сотрудника участника торгов было признано не соответствующим требованиям закона (решение ФАС России от 31 июля 2013 г.
по делу N К-1230/13).
3. Новая редакция комментируемой статьи, вступившая в силу 1 сентября 2011 г., исключила указание на возможность несоблюдения режима конфиденциальности в отношении общедоступных, а также обезличенных данных. Принимая во внимание, что обезличенные данные в большинстве своем сохраняют идентификационный потенциал, могут относиться к «косвенно определяемому» лицу, а также имеют потенциал технологий «больших данных», позволяющих без особого труда осуществлять деобезличивание данных, такой подход представляется логичным. Что же касается общедоступных данных, то, с одной стороны, такой статус сохраняется за ними до соответствующего волеизъявления субъекта (ч. 2 ст. 8 Закона о персональных данных), а с другой — возможность обработки общедоступных данных без согласия субъекта не носит безграничный характер и должна осуществляться в соответствии с принципами обработки персональных данных.

Статья 87, 88, 89 ТК РФ. Использование, хранение персональных данных работников

Статья 87.
Хранение и использование персональных данных работников

(Трудовой кодекс РФ) (Ст. 87)

Порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований настоящего Кодекса и иных федеральных законов.

Статья 88. Передача персональных данных работника

(Трудовой кодекс РФ) (Ст. 88)

При передаче персональных данных работника работодатель должен соблюдать следующие требования:

  • не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами;
  • не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
  • предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном настоящим Кодексом и иными федеральными законами;
  • осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;
  • разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
  • не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
  • передавать персональные данные работника представителям работников в порядке, установленном настоящим Кодексом и иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.
Статья 89. Права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя

(Трудовой кодекс РФ) (Ст. 89)

В целях обеспечения защиты персональных данных, хранящихся у работодателя, работники имеют право на:

  • полную информацию об их персональных данных и обработке этих данных;
  • свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;
  • определение своих представителей для защиты своих персональных данных;
  • доступ к медицинской документации, отражающей состояние их здоровья, с помощью медицинского работника по их выбору;
  • требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований настоящего Кодекса или иного федерального закона. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия.
    Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
  • требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
  • обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.

Почему мы так заботимся о конфиденциальности?

Единственным несогласным был Уильям О. Дуглас. Дуглас был судебным ренегатом, мало заботившимся о прецеденте. «Мы пишем, — начал он свое несогласие, — с чистого листа». Не найдя правила, он предоставил его. Он объяснил, что речь идет о свободе, а «начало всякой свободы» — это «право быть оставленным в покое», то есть право на неприкосновенность частной жизни. Для Дугласа на карту было поставлено больше, чем надоедливая фоновая музыка. По его словам, принуждение людей слушать радио — это шаг на пути к тоталитаризму. Если вы можете сказать людям, что слушать, вы можете сказать людям, что думать. «Право на неприкосновенность частной жизни, — заключил Дуглас, — является мощным сдерживающим фактором для любого, кто хочет контролировать умы людей».

Дуглас не придумал фразу «право быть оставленным в покое». Он появляется в одной из самых известных когда-либо написанных юридических статей Сэмюэля Уоррена и Луи Брандейса «Право на неприкосновенность частной жизни», опубликованной в Harvard Law Review в 1890 году. (Уоррен и Брандес взяли его из трактата 1879 года. о деликтном праве.) И «Право на неприкосновенность частной жизни» — это то, с чего Сара Иго начинает «Известный гражданин» (Гарвард), ее могучую попытку рассказать историю современной Америки как историю беспокойства о неприкосновенности частной жизни.

Первая книга Иго «Средний американец» стала хорошо принятым исследованием того, как социологи двадцатого века создали идею «массовой публики». Ее новое усилие должно быть мощным, потому что, как она признает в самом начале, конфиденциальность — это многогранное понятие — термин, который она использует, — «эластичный», — и как только вы начинаете его искать, оно появляется почти везде. Каждое новое технологическое, юридическое и культурное развитие, кажется, побуждало кого-то беспокоиться о неминуемой смерти конфиденциальности. В девятнадцатом веке люди были шокированы введением открыток, которые предлагали незнакомцам читать вашу почту. Почта должна была быть частной.

Дело Музака не фигурирует в книге Иго, но есть много других. Она берется за телеграфию, телефонию, мгновенную фотографию (моментальные снимки), дактилоскопию (дактилоскопию), номера социального страхования, пригороды, Миннесотскую многофазную личностную инвентаризацию, юриспруденцию Четвертой поправки, права на аборт, освобождение геев, исследования на людях, права семьи на образование и Закон о конфиденциальности, «60 минут», Бетти Форд, документальный фильм PBS 1973 года «Американская семья», отчет Старра, увлечение мемуарами, блоги и социальные сети. Иго разумно интерпретирует факты, и ее интеллект часто приводит ее к выводу, что «конфиденциальность» не имеет какого-либо стабильного значения. Конфиденциальность ассоциируется со свободой, но она также связана с привилегиями (частные дороги и частные продажи), с конфиденциальностью (частные беседы), с несоответствием и инакомыслием, со стыдом и смущением, с девиантностью и табу (Igo не идет туда). ), а также с уловками и сокрытием.

Иногда, как в случае несогласия Дугласа, неприкосновенность частной жизни действует как своего рода право по умолчанию, когда нанесен ущерб, и кажется, что никакое другое право не подходит в данном случае. Дуглас получил вторую попытку применить свою теорию неприкосновенности частной жизни как конституционного права в 1965 году в деле Грисволд против Коннектикута. Речь шла о законе Коннектикута, согласно которому использование противозачаточных средств считалось преступлением. «Конкретные гарантии в Билле о правах, — писал Дуглас для суда, — имеют полутень, образованную эманациями этих гарантий, которые помогают дать им жизнь и содержание». Право на неприкосновенность частной жизни сформировалось из таких эманаций.

Что ставит противозачаточные средства вне полномочий полиции штата — его права принимать законы для защиты здоровья и благополучия своих граждан? Ответ, сказал Дуглас, заключается в том, что предшествует Конституции: институт брака. «Брак — это объединение, к лучшему или к худшему, надеюсь, прочное и интимное до степени священности», — писал он. Это вне политики и даже вне закона. (Кстати, Дуглас был женат четыре раза.) Восемь лет спустя дело Грисволда стало ключевым прецедентом в другом деле о репродуктивных правах, Роу против Уэйда. «Право на неприкосновенность частной жизни, — заявил Суд в этом деле, — достаточно широкое, чтобы включать в себя решение женщины, прерывать беременность или нет».

Иго отмечает, что часто конфиденциальность — это просто оружие, которое попадается под руку в социальной борьбе. Люди ссылаются на свое право на неприкосновенность частной жизни, когда это служит их интересам. Очевидно, это относится и к аргументам «плодов ядовитого дерева», например, когда подсудимые просят суд отбросить доказательства, полученные в результате несанкционированного обыска. Но также верно и то, что знаменитости жалуются на то, что в их частную жизнь вторгаются фотографы и обозреватели светской хроники. Репортеры вторгаются в частную жизнь во имя «права общества знать» и возмущаются, когда их просят раскрыть свои источники.

Люди непоследовательны в том, какое воздействие они будут терпеть. Нам не нравится, когда правительственные учреждения берут у нас отпечатки пальцев — практика, которую мы ассоциируем с фотокамерами и государственной слежкой, — но мы с радостью передаем свои отпечатки пальцев Apple, которая делает с ними Бог знает что. Требование, чтобы каждый гражданин имел при себе удостоверение личности. Карточка кажется неамериканской, но мы все запоминаем наши номера социального страхования и повторяем последние четыре цифры почти каждый раз, когда нас спрашивают.

Многие люди считали, что сообщения о том, какие видео Кларенс Томас брал напрокат, имеют отношение к вопросу о том, имеет ли он право заседать в Верховном суде, и многие люди надеялись, что кто-то раскроет налоговые декларации Дональда Трампа. Но многие из тех же людей были возмущены публикацией доклада Старра о сексуальных выходках Билла Клинтона в Овальном кабинете. Секс должен быть личным.

Другими словами, конфиденциальность имеет ценность, и, как указывает Иго, иногда ценность реализуется путем ее накопления, а иногда — путем ее обналичивания. Когда-то считалось, что геям лучше держать свою сексуальную жизнь в секрете. Потом было решено, что им лучше обнародовать свою сексуальность, и почти в одночасье уединение стало признаком лицемерия.

В 1970-х и 80-х годах люди начали делать себя знаменитыми, а иногда и богатыми, рассказывая о своей жизни и жизни других людей по телевидению и в книгах. Некоторые из этих экскурсов в частную жизнь были постановочными, как, например, телешоу «Образ жизни богатых и знаменитых». Некоторые из них были разоблачениями, как и многие книги и программы о Кеннеди. А некоторые, такие как «Американская семья», документальный фильм PBS о семье Лаудов, были одновременно откровенными и саморекламными. Но реалити-шоу и мемуары-исповеди не знаменовали собой смерть частной жизни. Наоборот, они подтвердили, насколько ценным является конфиденциальность товара.

Конфиденциальность особенно ценна для преступников. Те же самые права Четвертой поправки, которые запрещают правительству входить в ваш дом и прослушивать ваши разговоры без ордера, также защищают людей, занимающихся незаконной деятельностью. Выяснение того, когда правоохранительные органы переходят черту в получении товаров от подозреваемых в совершении преступлений, было бесконечной работой для судов.

Работа бесконечна, потому что технологии постоянно меняются. У правительства теперь есть много способов, кроме прослушивания вашего телефонного провода (у вас, вероятно, даже нет телефонного провода), чтобы узнать, что вы замышляете. Насколько далеко может быть расширено конституционное право на неприкосновенность частной жизни, является предметом оживленной истории недавней судебной практики Четвертой поправки Сайруса Фаривара «Данные Habeas: конфиденциальность против подъема технологии наблюдения» (Melville House).

В статье Уоррена и Брандейса о частной жизни, опубликованной еще в 1890 году, ничего не говорилось о Конституции. В нем утверждалось, что право на неприкосновенность частной жизни неотъемлемо от общего права, и порождало различные «нарушения конфиденциальности», такие как раскрытие личных фактов или несанкционированное использование чьего-либо имени или образа. Иго немного пренебрежительно относится к «праву на неприкосновенность частной жизни». Она называет это «стратегией восстановления надлежащих социальных границ и регулирования общественной морали» — попыткой привилегированных не допустить нежелательных фотографий и непристойных сплетен в газеты, угрожая судебным иском. И это правда, что неприкосновенность частной жизни, как и многие гражданские права, может служить защитой для владельцев собственности и статус-кво в целом. Но внутри «Права на неприкосновенность частной жизни» была бомба замедленного действия, и почти сорок лет спустя она взорвалась.

Рой Олмстед был известным бутлегером из Сиэтла, который был осужден за сговор с целью нарушения Закона о запрете, частично на основании улик, собранных в результате прослушивания телефонных разговоров правительством. В деле Олмстед против Соединенных Штатов, принятом в 1928 году, Верховный суд подтвердил обвинительный приговор. Но Луи Брандейс теперь был помощником судьи в суде и выразил несогласие. Брандейс утверждал, что, поскольку правительство нарушило закон — прослушивание телефонных разговоров считалось преступлением в штате Вашингтон — доказательства, полученные в результате прослушивания телефонных разговоров, должны были быть исключены на суде над Олмстедом. Его права были нарушены. «Право быть оставленным в покое, — писал Брандейс, — является наиболее всеобъемлющим правом и правом, наиболее ценимым цивилизованными людьми». Это, конечно, те чувства, которые Уильям О. Дуглас повторил двадцать четыре года спустя в деле Музака.

Правила конфиденциальности данных распространяются по всему миру и становятся все более строгими

Ануча Тимсом | Исток | Getty Images

Предприятия, особенно в строго регулируемых секторах, таких как финансовые услуги, здравоохранение и правительство, а также те, которые работают в нескольких странах, сталкиваются с растущим числом правил конфиденциальности данных.

Эти правила, регулирующие хранение, использование и совместное использование данных, могут оказаться неподъемными для отделов кибербезопасности и управления рисками с ограниченными ресурсами, поэтому организациям необходимо принять меры для более эффективного управления своими операциями по обеспечению соответствия требованиям.

С 2018 года, когда вступил в силу Общий регламент Европейского Союза по защите данных (GDPR), количество таких правил постоянно растет, говорит Энца Яннополло, главный аналитик Forrester Research.

«Наше исследование насчитывает около 100 стран по всему миру, в которых действуют те или иные правила конфиденциальности данных или безопасности», — сказал Яннополло. «Возможно, эти правила также стали более строгими».

В ЕС правила об искусственном интеллекте и управлении данными, которые в настоящее время находятся в разработке, также содержат требования, влияющие на сбор, обработку и распространение личной информации.

Законодательство и нормативные акты США

Несколько штатов США, в первую очередь Калифорния с ее Законом о конфиденциальности потребителей штата Калифорния (CCPA), приняли законы о конфиденциальности. «Тридцать пять из 50 штатов США как минимум рассмотрели регулирование конфиденциальности данных», — сказал Райан О’Лири, директор по исследованиям в области конфиденциальности и юридических технологий в исследовательской фирме International Data Corp. власть через отдельное государственное агентство и прекращает освобождение сотрудников, сказал О’Лири. «Ранее в соответствии с CCPA данные сотрудников не подпадали под действие запросов о правах на данные», — сказал он. «Этого больше не будет в ближайшее время».

По словам О’Лири, самый важный нормативный акт в настоящее время, Американский закон о конфиденциальности и защите данных, привлекает внимание большей части мира конфиденциальности, но вряд ли он будет принят Конгрессом. А если этого не произойдет, это «оставит вакуум на федеральном уровне и по-прежнему позволит штатам создавать лоскутную нормативную среду без федерального уровня», — сказал он.

4,2 зеттабайта данных и рост

Проблема соответствия требованиям продолжает расти с развитием цифрового бизнеса. «По состоянию на 2020 год во всем мире хранилось 4,2 зеттабайта данных в год», — сказал О’Лири. «Этот объем продолжает увеличиваться, и раньше многие предприятия считали данные ценными и пытались сожрать как можно больше. Однако теперь эти данные содержат значительный уровень риска, а их объем огромен».

Данные, являющиеся частью расширения глобального бизнеса, также усложняют задачу. «Для организаций, работающих в разных регионах, особенно актуальна задача определения комплексного подхода к соблюдению конфиденциальности, — сказал Яннополло.

GDPR и Суд ЕС «по существу постановили, что передача данных ЕС в США без существенных гарантий не допускается», — сказал О’Лири. «Потребуется значительная дипломатия, прежде чем передача данных может начаться без строгого вмешательства со стороны корпораций. Эти правила чрезвычайно детализированы, и пока нет четкой заинтересованной стороны. Контролируется ли это службой безопасности? ИТ? Ответ прямо сейчас — да. Все они имеют долю».

«Очистка шкафа данных»

Проблема соблюдения требований заключается не только в объеме правил, но и в отсутствии единообразия в правилах, сказал О’Лири. В результате, по его словам, есть ряд моментов, которые командам по соблюдению требований необходимо учитывать при оценке своих потребностей в соблюдении требований.

Это включает в себя знание того, какие законы применяются к организации, какова ее склонность к риску по сравнению со стоимостью соблюдения требований и как лучше всего разработать комплексную программу соответствия.

«Организации должны идентифицировать данные, подпадающие под действие правил», — сказал Яннополло. «Обнаружение и классификация данных здесь имеют основополагающее значение. Фактически, организации должны знать, какие данные они должны защищать и где они находятся. Это просто сказано, но на практике это сложно сделать. Это важный шаг к созданию надежных программ конфиденциальности». »

Компании также должны создавать многофункциональные команды, включающие в себя юристов, а также специалистов по безопасности и информационным технологиям, сказал Яннополло.

No related posts.

Автор записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *