Открыть сервис

Правило конфиденциальности

Правило конфиденциальности (англ. Privacy Rule) — совокупность правовых норм и организационно-технических мер, регулирующих сбор, обработку, хранение, использование и распространение информации, относящейся к частной жизни лица, его персональным данным, семейной и личной тайне. В широком смысле термин охватывает как законодательные акты (например, федеральные законы, регламенты), так и внутренние политики организаций, направленные на защиту конфиденциальной информации от несанкционированного доступа, разглашения, изменения или уничтожения. Конкретное содержание правила зависит от юрисдикции, отрасли и типа обрабатываемых данных.

История развития

Идея защиты конфиденциальности частной информации восходит к правовым доктринам XIX века, в частности к статье Сэмюэля Уоррена и Луиса Брандейса «Право на частную жизнь» (1890 год), в которой обосновывалось право человека на неприкосновенность личной сферы. В XX веке с развитием информационных технологий и массового сбора данных возникла необходимость в формализованных правилах.

Первые значимые законодательные акты появились в 1970-х годах: в 1970 году в ФРГ принят закон о защите персональных данных земли Гессен, а в 1974 году в США — Закон о конфиденциальности (Privacy Act). В 1980 году Организация экономического сотрудничества и развития (ОЭСР) опубликовала «Руководящие принципы защиты конфиденциальности и трансграничных потоков персональных данных», заложившие основу для современных стандартов.

В России правовое регулирование в этой сфере активно развивается с 1990-х годов. Ключевым актом является Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных», который устанавливает правила обработки персональных данных граждан. В 2015 году вступили в силу поправки, требующие локализации баз данных российских пользователей на территории РФ.

Основные принципы

Независимо от конкретной юрисдикции, большинство правил конфиденциальности базируются на следующих принципах:

Классификация правил конфиденциальности

Правила конфиденциальности можно классифицировать по нескольким основаниям:

По сфере действия

По субъекту регулирования

Регулирование в России

В Российской Федерации основу правового регулирования составляют:

  1. Конституция РФ: статья 23 гарантирует право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени; статья 24 запрещает сбор, хранение, использование и распространение информации о частной жизни лица без его согласия.
  2. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»: определяет принципы и условия обработки персональных данных, права субъектов, обязанности операторов, меры по обеспечению безопасности, порядок трансграничной передачи.
  3. Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»: устанавливает общие правовые основы в сфере информации.
  4. Трудовой кодекс РФ: содержит положения о защите персональных данных работника (глава 14).
  5. Кодекс РФ об административных правонарушениях (КоАП РФ) и Уголовный кодекс РФ (УК РФ): предусматривают ответственность за нарушение правил конфиденциальности (ст. 13.11 КоАП РФ, ст. 137 УК РФ).

Контроль за соблюдением законодательства в этой сфере осуществляет Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

Международные стандарты и регламенты

Наиболее влиятельным международным актом является Общий регламент по защите данных (GDPR) Европейского союза, вступивший в силу 25 мая 2018 года. GDPR устанавливает строгие требования к обработке персональных данных граждан ЕС, включая право на забвение, право на переносимость данных, обязательное уведомление об утечках, высокие штрафы (до 4% годового оборота компании или 20 млн евро). GDPR оказал существенное влияние на законодательство многих стран, включая Россию, где отдельные его принципы были имплементированы в 152-ФЗ.

Другие значимые международные акты: Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (Конвенция 108), Азиатско-Тихоокеанские рамки конфиденциальности (APEC Privacy Framework), Закон Калифорнии о защите конфиденциальности потребителей (CCPA) в США.

Применение в различных сферах

Медицина

В медицинской сфере правило конфиденциальности защищает врачебную тайну — информацию о факте обращения за медицинской помощью, состоянии здоровья, диагнозе и иные сведения, полученные при обследовании и лечении. В России это регулируется статьей 13 Федерального закона № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации». Разглашение врачебной тайны допускается только с согласия пациента или по основаниям, предусмотренным законом (например, при угрозе распространения инфекционных заболеваний, по запросу суда).

Финансовый сектор

Банки, страховые компании и другие финансовые организации обязаны соблюдать банковскую тайну (ст. 857 ГК РФ, ст. 26 Федерального закона «О банках и банковской деятельности»). Она включает сведения о счетах, вкладах, операциях и клиентах. Разглашение возможно только в случаях, прямо предусмотренных законом (например, по запросам налоговых органов, судов, Росфинмониторинга).

Интернет и телекоммуникации

Операторы связи и интернет-компании обязаны соблюдать тайну связи (ст. 63 Федерального закона «О связи») — конфиденциальность переписки, телефонных переговоров, почтовых отправлений и иных сообщений. Ограничение допускается только на основании судебного решения. Кроме того, действуют правила обработки персональных данных пользователей, включая требования о локализации баз данных.

Ответственность за нарушение

Нарушение правил конфиденциальности влечет различные виды ответственности:

Критика и вызовы

Правила конфиденциальности часто подвергаются критике по нескольким направлениям:

Источники

  1. Конституция Российской Федерации (ст. 23, 24).
  2. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
  3. Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» (ст. 13).
  4. Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
  5. Кодекс Российской Федерации об административных правонарушениях (ст. 13.11).
  6. Уголовный кодекс Российской Федерации (ст. 137).
  7. Регламент Европейского парламента и Совета Европейского союза 2016/679 (GDPR).
  8. Warren, S. D., & Brandeis, L. D. (1890). The Right to Privacy. Harvard Law Review, 4(5), 193–220.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →