Конфиденциальность информации, принцип конфиденциальности

Что означает конфиденциальность

Конфиденциальность означает, что исследователь может идентифицировать или проследить участников, но их личность не раскрывается тем, кто находится за пределами исследования. Следовательно, результаты и информация участников могут быть связаны и отслежены исследователем или теми, кто участвует в конкретном исследовании. Однако эту информацию знает только исследователь. Только результаты результатов будут доступны для посторонних.

Здесь личная информация участников связана с их данными, такими как удостоверение личности, дата рождения, электронные письма и т. Д. Благодаря этому их информация хранится отдельно. Аналогичным образом, конфиденциальность обеспечивается надлежащим образом благодаря надлежащему управлению данными и безопасности данных.

Для обеспечения безопасности данных исследователь должен следовать мерам безопасности данных, таким как защита данных паролем, закрытые файловые шкафы, шифрование при отправке информации через Интернет и т. Д. Исследователь также должен безопасно уничтожить данные после завершения исследования / исследования. Кроме того, строгость конфиденциальности обычно возрастает со степенью чувствительности информации, предоставленной участниками, и со степенью уязвимости субъекта исследования / исследования.

Таким образом, ссылка на информацию об участнике и окончательные результаты исследования известна исследователю, но условия соглашения о конфиденциальности ограничивают третьи стороны, знающие эту связь, или личную информацию участника и результаты. Как качественные, так и количественные исследования используют конфиденциальность при сборе данных.

Какие проблемы могут возникнуть при несоблюдении требований

В российском законодательстве предусмотрена ответственность за нарушение политики обработки и защиты персональных данных, а также за недоведение до пользователя условий использования его персональных данных. Размер штрафа — до 70-100 тыс. рублей за каждое нарушение. За несоблюдение требований GDPR придется выплатить сумму побольше: можно лишиться до 4% оборота компании при регулярных нарушениях.

Другой вид санкций — блокировка приложения. Как правило, это происходит после проверки ПК со стороны маркетплейсов. AppStore и Google Play диктуют собственные требования к политике конфиденциальности в соответствии с международным законодательством, а разработчики приложений из России руководствуются местными законами. 

Как итог приложение блокируется за несоблюдение требований маркетплейса. Появляется конкуренция норм права: по факту приложение используется в России и соответствует всем ее законам, но площадки предъявляют повышенные требования, за несоблюдение которых и наказывают.

В России инициатором блокировки сайта или приложения за неправомерное использование данных часто выступает Роскомнадзор. Он является уполномоченным органом по защите прав субъектов персональных данных, ведет реестры операторов и нарушителей прав субъектов персональных данных.

Помочь выявить нарушителя могут не только специализированные органы. Любой пользователь, заметивший нарушение политики конфиденциальности, вправе написать жалобу на правообладателя и потребовать привлечь его к ответственности. Особо внимательные и жаждущие справедливости пользователи могут писать такие заявления ежедневно — компании это будет стоить десятки тысяч рублей штрафа.

Что еще может пойти не так

Многие крупные международные компании сталкивались со сложностями именно из-за проблем с политикой конфиденциальности.

Facebook: несоблюдение ПК

В 2020 году Южнокорейская комиссия по защите личной информации оштрафовала Facebook на $6,1 млн за нарушение закона о защите персональных данных. Как выяснилось, на протяжении шести лет, с мая 2012 года по июнь 2018 года, соцсеть передавала другим компаниям личную информацию более 3,3 млн человек без их согласия. Личные данные пользователя соцсети и его друзей становились доступны третьим лицам, когда для авторизации в стороннем сервисе использовалась учетная запись Facebook.

Instagram: неверная формулировка

Пользователи решили, что соцсеть будет продавать их фотографии рекламодателям, поэтому стали массово удалять аккаунты. Представителям Instagram пришлось объяснять: они лишь хотели персонализировать рекламные предложения. Они признали, что неправильная формулировка могла запутать пользователей и пообещали исправить текст.

WhatsApp: недовольство пользователей изменением политики конфиденциальности

Согласно обновленной политики конфиденциальности пользователи мессенджера обязаны предоставлять компании Facebook доступ к номерам телефонов, именам и фото профилей, сведениям о транзакциях, диагностическим данным из приложений и IP-адресами.

Facebook также оставляла за собой право делиться данными с другими своими компаниями. На фоне этих событий выросло количество загрузок других мессенджеров: Telegram — на 91% за неделю, Signal на — 4200%. Недовольство и массовый уход пользователей заставили WhatsApp отложить обновление ПК.

Google: недостаточное информирование пользователей

Национальная комиссия по информатике и свободам Франции оштрафовала Google на €50 млн за недостаточное информирование пользователей при получении согласия на обработку и использование их данных. Комиссия утверждает, что пользователям не сообщается следующее: какие сайты имеют доступ к данным, в каком объеме они собираются и как долго хранятся. К тому же информация разбросана по нескольким документам: из-за этого пользователям сложнее понять, что именно происходит с их данными.

Чем отличается политика конфиденциальности от соглашения

Многие задаются вопросом, чем отличается политика конфиденциальности от соглашения о пользовании сайтом. Про то, что значит первое понятие, мы разобрали выше. Это набор инструментов для защиты личных данных пользователей. Стоит упомянуть, что такое HTTPS и что именно эта аббревиатура говорит о том, что на сайте используется шифрование для повышения безопасности.

Пользовательское соглашение представляет собой взаимные обязательства для использования того или иного ресурса. В нём подробно прописывают условия работы с сайтом, его сервисами и информацией, находящейся на нём. Это документ будет защищать владельца от неправомерного использования возможностей ресурса.

Стоит отметить, что составление политики конфиденциальности очень важно. Она защищает пользователей и помогает ресурсу работать без нареканий со стороны законодательства

Рекомендуем при создании сайта не забывать про этот небольшой, но важный пункт.

Следите за случаями компрометации данных

Возможно, вы как следует позаботились о защите онлайн-приватности. То же самое должна сделать и компания, отвечающая за нее по другую сторону экрана. При нарушении безопасности личные данные клиентов утекают или уничтожаются. Как правило, у компаний заготовлен план действий в кризисных ситуациях, который облегчает проведение коммуникационной кампании и выхода из ситуации в случае утечки данных. Однако есть несколько действий, которые помогут вам обезопасить свои данные от компрометации.

Во-первых,

Обращайте внимание на необычные операции. Он могут показаться невинными (например, списание, которое обрабатывалось целый месяц), но это также может говорить о том, что ваш аккаунт был взломан

Сверяйте отчеты по кредитам. Если кто-то украл и использовал ваши личные данные, отчет по кредитам может показать, была ли попытка подать заявку на кредит от вашего имени. Вы ничего не потеряете, если грамотно подойдете к вопросу. Согласно федеральному закону «О кредитных историях» вы можете получить два кредитных отчета в год бесплатно.

Как только вы узнаете о касающейся вас утечке данных, смените пароль в соответствующем аккаунте. Желательно сменить пароли и в других аккаунтах, особенно если в них похожие или одинаковые пароли. Поменяйте ответы на секретные вопросы, даже если вам для этого придется придумать новую девичью фамилию матери и новое имя вашего первого питомца. А лучше воспользуйтесь надежным менеджером паролей, который поможет хранить все пароли в одном безопасном месте.

Статьи на эту тему

Что такое приватность в Сети и почему она так важна?

Вмешательство в вашу личную жизнь в интернете несет реальную опасность. Злоумышленники могут взломать вашу электронную почту, украсть вашу личность, распространить информацию о состоянии вашего здоровья без вашего ведома или передать ваши банковские данные третьим лицам.

Риски намного серьезнее, чем думает большинство людей. Дело в том, что происходит с личной информацией после получения доступа к ней. Использование больших данных предполагает, что вашу историю поиска могут проанализировать и сделать на ее основе нежелательные для вас выводы. Допустим, девушка заказывает добавки с фолиевой кислотой и увлажняющий крем без отдушек. Маркетологи на основе ее покупок или истории поиска могут сделать вывод, что она ждет ребенка, и выслать на ее почтовый ящик рекламные материалы для беременных.

Если девушка живет с родителями или еще не рассказала о беременности партнеру, она вряд ли оценит такое внимание

Что такое конфиденциальность

Lady_perfection

Конфиденциальность — необходимость предотвращения утечки (разглашения) какой-либо информации.
В англо-американской традиции различают два основных вида конфиденциальности: добровольную (privacy) и принудительную (secrecy). (См. Эдвард Шилз — The Torment of Secrecy: The Background & Consequences Of American Security Policies (Chicago: Dee 1956) В первом случае имеются в виду прерогативы личности, во втором случае имеется в виду информация для служебного пользования, доступная ограниченному кругу официальных лиц фирмы, корпорации, государственного органа, общественной или политической организации. Хотя privacy и secrecy схожи по значению, на практике они обычно противоречат друг другу: усиление secrecy ведёт к нарушению и уменьшению privacy. В тоталитарных и авторитарных государствах под конфиденциальностью, как правило, имеется в виду только secrecy.
Определения
Конфиденциальность информации — принцип аудита, заключающийся в том, что аудиторы обязаны обеспечивать сохранность документов, получаемых или составляемых ими в ходе аудиторской деятельности, и не вправе передавать эти документы или их копии каким бы то ни было третьим лицам, либо разглашать устно содержащиеся в них сведения без согласия собственника экономического субъекта, за исключением случаев, предусмотренных законодательными актами.
Конфиденциальность информации — обязательное для выполнения лицом, получившим доступ к определённой информации, требование не передавать такую информацию третьим лицам без согласия её обладателя.
Конфиденциальная информация — информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации и представляет собой коммерческую, служебную или личную тайны, охраняющиеся её владельцем.
Служебная тайна — защищаемая по закону конфиденциальная информация, ставшая известной в государственных органах и органах местного самоуправления только на законных основаниях и в силу исполнения их представителями служебных обязанностей, а также служебная информация о деятельности государственных органов, доступ к которой ограничен федеральным законом или в силу служебной необходимости. Однозначное определение понятия «служебная тайна» в действующем законодательстве РФ отсутствует. Служебная тайна является одним из объектов гражданских прав по гражданскому законодательству РФ. Режим защиты служебной тайны в целом аналогичен режиму защиты коммерческой тайны. В ряде случаев за разглашение служебной тайны закон предусматривает уголовную ответственность (например, за разглашение тайны усыновления, или за разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну, лицом, которому такие сведения стали известны по службе) .
Служебная тайна — информация с ограниченным доступом, за исключением сведений, отнесенных к государственной тайне и персональным данным, содержащаяся в государственных (муниципальных) информационных ресурсах, накопленная за счет государственного (муниципального) бюджета и являющаяся собственностью государства, защита которой осуществляется в интересах государства.
Защита конфиденциальности является одной из трёх задач информационной безопасности (наряду с защитой целостности и доступность информации).

Как работнику защитить свои интересы

Постарайтесь запомнить положения законодательства, о которых идёт речь в статье.

Всегда внимательно читайте условия трудового договора и соглашений о конфиденциальности, если вам предлагают их подписать.

Не подписывайте строку «ознакомлен с локальными актами работодателя о коммерческой тайне», если вдумчиво не прочитали их.

Уточняйте у компетентных служб (юридического отдела и службы информационной безопасности) те положения трудового договора, NDA или локального акта, которые вам непонятны.

В законе есть перечень информации, которая не может быть коммерческой тайной в компании. Если работодатель всё же отнёс к ней что-то из перечисленного, такое условие договора или пункт локального акта будут считаться недействительными. Это же правило касается любого другого противоречия между локальным актом работодателя (трудовым договором, NDA) и действующим законодательством.

В любой непонятной ситуации, которая касается конфиденциальной информации, не ленитесь прояснить дело и задать вопросы своему руководителю, представителю юридического отдела или сотруднику службы информационной безопасности. Как юрист, рекомендую делать запросы в письменной форме.

Ответственность за разглашение конфиденциальной информации

За разглашение конфиденциальной информации законами РФ предусмотрено 3 вида ответственности:

Подпишитесь на рассылку

• дисциплинарная;
• административная;
• уголовная.

Дисциплинарная ответственность

Дисциплинарная ответственность варьируется от устного замечания до увольнения и применяется исключительно по результатам служебной проверки, в ходе которой должна быть установлена причастность работника к утечке сведений, а также его вина в этом.

Административная ответственность 

Административное наказание наступает за разглашение любого вида конфиденциальной информации и, согласно статье 13.14 КоАП РФ, представляет собой штраф в размере от 500 до 1 000 рублей для рядовых граждан и от 4 000 до 5 000 рублей для работников, наделенных организационно-распорядительными полномочиями, то есть должностных лиц.

Уголовная ответственность 

Уголовное законодательство относится к ответственности за нарушение режима конфиденциальности более избирательно – она применяется при условии разглашения коммерческой, банковской или налоговой тайны. При этом сбор таких сведений, согласно статье 183 УК РФ, должен осуществляться заведомо незаконными путями – посредством подкупа, угроз, хищения документов и т. д.

Наказание зависит от обстоятельств преступления и его последствий – от штрафа до 500 000 рублей до 7 лет тюрьмы.

Статья 183 – не единственная норма УК РФ, предусматривающая ответственность за разглашение конфиденциальных сведений. Например, раскрытие информации о фирме, повлекшее падение стоимости ее акций (инсайдерской информации), подпадает под действие статьи 185.6 УК РФ и грозит виновному немалыми штрафами – от 300 000 до 1 000 000 рублей, а также запретом на замещение определенных должностей в течение 4 лет.

Кроме того, параллельно с любым видом наказания может быть рассмотрен вопрос о привлечении лица, допустившего утечку информации с ограниченным доступом, к гражданско-правовой ответственности. Речь идет об обязанности возместить вред, причиненный в результате разглашения сведений, – как материальный, так и моральный. 

*** 

Конфиденциальная информация – это сведения с ограниченным доступом. За их незаконное разглашение предусмотрена ответственность вплоть до уголовной. 

***

Больше полезной информации по теме – в рубрике «Тайна». 

Более полную информацию по теме вы можете найти в КонсультантПлюс.
Пробный бесплатный доступ к системе на 2 дня.

Разглашение конфиденциальной информации

Несмотря на запрет для передачи конфиденциальной информации третьим лицам, в законодательстве предусмотрены и случаи, когда такие данные могут быть переданы третьим лицам, как с согласия их владельца, так и без него.

К таким ситуациям относятся:

• запросы госорганов;
• вред от сокрытия информации выше, чем от ее распространения;
• разрешение владельца данных на передачу ограниченному кругу лиц;
• разглашение сведений пойдет на пользу их владельцу.

Право на безусловное получение большинства конфиденциальных данных имеют контролирующие органы. Более того, субъекты хозяйствования и обычные граждане обязаны предоставлять такую информацию, например, в налоговые органы.

Вместе с тем, может возникнуть необходимость в получении конфиденциальной информации в связи с контрольными мероприятиями или расследованиями. В этом случае, законодательство позволяет формировать запрос на разовое предоставление необходимых данных. При этом владелец сведений может и не быть поставлен в известность о таком интересе к его конфиденциальной информации.

Например, прокуратура оформит запрос в банк о счетах одного из клиентов. Банк предоставит финансовую информацию, но ставить своего клиента о таком интересе к его финансам служащие банковского учреждения не будут.

Должностные лица освобождаются от ответственности за разглашение конфиденциальной информации, в том случае, когда вред от ее сокрытия значительно превышает последствия разглашения. Чаще всего такие ситуации случаются в сфере здравоохранения.

Например, у пациента определено заболевание, которое может привести к массовому заболеванию населения и повышенной смертности. С одной стороны, данные о пациенте относятся к конфиденциальным и без его согласия не могут быть распространены. С другой стороны, необходимо в срочном порядке выявить контактировавших с ним лиц и провести профилактику.

Вред от сокрытия данных о пациенте и его болезни существенно выше, чем от предотвращения массового заболевания, поэтому персонал медучреждения никакой ответственности за такое действие не понесет.

Еще одним случаем разглашения конфиденциальной информации без согласия ее владельца может стать убежденность должностного лица в том, что такая передача сведений третьим лицам будет полезна владельцу данных. Чаще всего эта ситуация встречается во взаимоотношениях между адвокатами и их клиентами, а также в медицине.

Например, в силу состояния пациента, его лечащий врач не может оформить добровольное согласие, но диагноз и угроза здоровью предполагают необходимость приглашения других специалистов для медицинской консультации.

Либо адвокат уверен, что его клиент заведомо оговаривает себя в ходе следственных действий. Ему необходимо передать эту информацию дознавателю, следователю или судье, однако, клиент запрещает своему защитнику распространять оправдывающие его данные.

Наконец, самая распространенная ситуация, когда владелец персональных данных дает свое разрешение на разглашение конфиденциальной информации. Оформляться оно может:

• доверенностью — разовой или генеральной;
• завещательным распоряжением;
• поручением;
• согласием на распространение или обработку информации.

Например, руководитель компании может поручить маркетологам распространить в рекламных целях технические характеристики нового продукта.

Программа Safe Harbor в США и проблемы с регистрацией имен пассажиров

Государственный департамент Соединенных торговли создали Принципы конфиденциальности International Safe Harbor программу сертификации в ответ на 1995 Директиву о защите данных (Директива 95/46 / EC) Европейской Комиссии. И Соединенные Штаты, и Европейский Союз официально заявляют, что они привержены защите конфиденциальности информации отдельных лиц, но первое вызвало трения между ними, не соблюдая стандарты более строгих законов ЕС о личных данных. Переговоры по программе Safe Harbor отчасти были направлены на решение этой давней проблемы. Директива 95/46 / EC заявляет в главе IV статьи 25, что личные данные могут передаваться только из стран Европейской экономической зоны в страны, которые обеспечивают надлежащую защиту конфиденциальности. Исторически установление адекватности требовало создания национальных законов, в целом эквивалентных тем, которые применяются Директивой 95/46 / ЕС. Хотя есть исключения из этого общего запрета — например, когда раскрытие информации стране за пределами ЕЭЗ осуществляется с согласия соответствующего лица (статья 26 (1) (а)), — они ограничены в практическом объеме. В результате статья 25 создала правовой риск для организаций, передающих личные данные из Европы в США.

Программа регулирует обмен информацией о записях имен пассажиров между ЕС и США. Согласно директиве ЕС, личные данные могут быть переданы в третьи страны только в том случае, если эта страна обеспечивает адекватный уровень защиты. Предусмотрены некоторые исключения из этого правила, например, когда сам контролер может гарантировать, что получатель будет соблюдать правила защиты данных.

Европейская комиссия создала «Рабочую группу по защите физических лиц в отношении обработки персональных данных,» широко известная как «Статья 29 Рабочей группа». Рабочая группа дает советы об уровне защиты в Европейском Союзе и третьих странах.

Рабочая группа провела переговоры с представителями США о защите личных данных, результатом которых стали Принципы Safe Harbor . Несмотря на это одобрение, подход Safe Harbor к самооценке остается спорным у ряда европейских регулирующих органов и комментаторов.

Программа Safe Harbor решает эту проблему следующим образом: вместо общего закона, налагаемого на все организации в Соединенных Штатах , Федеральная торговая комиссия применяет добровольную программу . Американские организации, которые регистрируются в этой программе, самостоятельно оценив свое соответствие ряду стандартов, считаются «адекватными» для целей статьи 25. Личная информация может быть отправлена ​​таким организациям из ЕЭЗ без нарушения отправителем Статья 25 или ее национальные эквиваленты в ЕС. Безопасная гавань была одобрена Европейской Комиссией 26 июля 2000 г. как обеспечивающая адекватную защиту личных данных в целях статьи 25 (6).

Согласно «Безопасной гавани», приемным организациям необходимо внимательно изучить соблюдение ими обязательств по дальнейшей передаче , когда личные данные из ЕС передаются в «Безопасную гавань» США, а затем в третью страну. Альтернативный подход к соблюдению « обязательных корпоративных правил », рекомендованный многими регуляторами конфиденциальности ЕС, решает эту проблему. Кроме того, любой спор, возникающий в связи с передачей кадровых данных в Safe Harbor США, должен быть рассмотрен комиссией регулирующих органов ЕС.

В июле 2007 года между США и ЕС было заключено новое противоречивое соглашение о регистрации пассажиров . Вскоре после этого администрация Буша дала исключение для Министерства внутренней безопасности , Системы информации о прибытии и отбытии (ADIS) и Автоматизированной целевой системы из Закона о конфиденциальности 1974 года .

В феврале 2008 года глава Комиссии внутренних дел ЕС Джонатан Фолл пожаловался на двустороннюю политику США в отношении PNR. США подписали в феврале 2008 г. меморандум о взаимопонимании (MOU) с Чешской Республикой в обмен на безвизовый режим, без предварительного согласования с Брюсселем. Напряженность в отношениях между Вашингтоном и Брюсселем в основном вызвана меньшим уровнем защиты данных в США, особенно потому, что иностранцы не пользуются положениями Закона США о конфиденциальности 1974 года . К другим странам, к которым обратились за двусторонним меморандумом о взаимопонимании, относятся Великобритания, Эстония, Германия и Греция.