обязательство о неразглашении персональных данныхработников
Обязательство о неразглашении персональных данных работников
Обязательство о неразглашении персональных данных — один из самых популярных локальных актов на предприятии в последние годы. Для организации хранения и обработки таких данных граждан необходимо правильно организовать доступ к ним сотрудников организации. Эта статья рассказывает, что включить в обязательство, кто его подписывает, какова роль ответственного за организацию обработки конфиденциальных данных.
Кто имеет доступ к персональным данным
Можно назначить одного или нескольких сотрудников в качестве ответственных за неразглашение персональных данных и организацию их обработки.
Они обязаны контролировать соблюдение оператором и его работниками закона от 27.07.2006 N 152-ФЗ и других подзаконных актов, доводить до сведения работающих положения законодательства и локальных актов о персональных данных, организовывать прием и обработку обращений и запросов субъектов персональных данных.
Форма обязательства о неразглашении персональных данных работников
Право ответственных лиц получать конфиденциальные данные граждан необходимо оформить документально. Приказом по предприятию ответственного сотрудника обязывают, например, обеспечивать сохранность информации на бумажных и электронных носителях, а также осуществление работниками их трудовых прав.
Вопрос о защите персональных данных может регулироваться трудовыми договорами, приказами, должностными инструкциями и внутренними положениями о порядке работы с такими данными. Работодателю необходимо получить от своих сотрудников, работающих с персональными данными, подтверждение согласия на получение доступа к этим данным, на соблюдение правил их обработки и хранения.
Для этого на предприятии разрабатывается образец обязательства о неразглашении персональных данных. Его составляют на основании п. 6 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного Постановлением Правительства РФ от 15.09.2008 № 687.
Содержание обязательства о персональных данных
В законодательстве отсутствуют единые требования к содержанию такого обязательства. Но в отношении ответственных сотрудников, обрабатывающих личные данные без средств автоматизации, установлено специальное требование. Они должны быть проинформированы:
- о факте обработки ими такого типа данных без использования средств автоматизации;
- категориях данных, подлежащих защите;
- об особенностях и правилах осуществления их обработки, установленных законодательно, а также локальными правовыми актами организации.
Все перечисленные выше условия целесообразно включать и в обязательства других работников, которые по роду деятельности получают доступ к конфиденциальным данным с целью защитить персональные данные сотрудников компании.
Также в обязательстве о неразглашении должен содержаться открытый перечень сведений, к которым сотрудник имеет доступ и которые он не должен разглашать:
- биографические данные граждан;
- места их работы и жительства, номера телефонов;
- адреса электронной почты и т.д.
Далее нужно предусмотреть место для подписи работника, подтверждающей, что он:
- понимает, что для выполнения должностных обязанностей ему предоставляется доступ к личным данным других работников или иных лиц;
- ознакомлен с содержанием ст. 90 ТК РФ об ответственности за разглашение данных;
- знает и применяет в работе локальные документы (инструкции, положения и др.), содержащие требования к хранению и обработке персональных данных (эти локальные документы могут быть разными для различных категорий сотрудников).
Ответственность работника за разглашение персональных данных
Всем работающим на предприятии необходимо внимательно подходить к сохранности и обработке используемых ими сведений о коллегах. Важно, чтобы сотрудник знал, что ему предоставляется доступ к особо охраняемым данным, и принял на себя обязательство соблюдать требования по обращению с ними.
Согласно ст. 90 ТК РФ, нарушение норм, регулирующих обработку и защиту персональных данных работника, может повлечь дисциплинарную, материальную, гражданско-правовую, административную и уголовную ответственность.
Для работника существует опасность увольнения на основании пп. «в» п. 6 ч. 1 ст. 81 ТК РФ за такие нарушения, как, например, разглашение коммерческой тайны, которая стала известна работнику при выполнении им трудовой функции, или разглашение конфиденциальной информации другого сотрудника.
Однако чтобы уволить по этой статьей, работодателю придется доказать, разгласил ли работник секретные данные (сообщил, переслал, передал, опубликовал и т.д.), либо допустил разглашение охраняемой им информации таким образом, что она стала известна третьим лицам, и является ли разглашенная информация охраняемой в соответствии с законодательством РФ.
В КоАП статья о неразглашении персональных данных третьим лицам (13.14 КоАП РФ) предполагает наказание в виде штрафа для физических лиц — от 500 до 1000 рублей, а для должностных лиц — от 4000 до 5000 рублей.
Что такое обязательство о неразглашении персональных данных работника?
Обязательство о неразглашении персональных данных работника – это официальный документ, письменная договоренность между руководством и подчиненным, в которой сотрудник организации берет на себя ответственность работать со сведениями о штате своего предприятия согласно законодательству РФ, и обязуется не передавать их третьим лицам.
Ответственный за получение, хранение и использование сведений о членах штата берет на себя ответственность уведомлять руководство обо всех попытках кого-либо получить приватную информацию о персональных данных. Документ разрабатывается и составляется руководством предприятия и подписывается всеми служащими, деятельность которых связана с приватными сведениями.
Содержание обязательства
В законодательстве отсутствуют единые требования к содержанию обязательства по неразглашению персональной информации сотрудников. Но в отношении ответственных лиц, обрабатывающих личные данные без средств автоматизации, установлены специальные требования. В этом случае они должны быть проинформированы о:
- факте обработки ими такого типа данных без использования средств автоматизации;
- категориях данных, подлежащих защите;
- особенностях и правилах осуществления их обработки, установленных законодательно и локальными правовыми актами организации.
Все эти условия целесообразно включать и в обязательства других работников, которые по роду и характеру деятельности получают доступ к конфиденциальным данным.
Также в обязательстве о неразглашении должен содержаться открытый перечень сведений, к которым сотрудник имеет доступ и которые он не должен разглашать:
- биографические данные граждан;
- места их работы и жительства, номера телефонов;
- адреса электронной почты и т. д.
Далее нужно предусмотреть место для подписи работника, подтверждающей, что он:
- понимает, что для выполнения должностных обязанностей ему предоставляется доступ к личным данным других работников или иных лиц;
- ознакомлен с содержанием ст. 90 ТК РФ об ответственности за разглашение данных;
- знает и применяет в работе локальные документы (инструкции, положения и др.), содержащие требования к хранению и обработке персональных данных (эти локальные документы могут быть разными для различных категорий сотрудников).
В какой форме заключается документ
Обязательство о неразглашении данных составляется в письменной форме. Чаще всего его текст набирается на компьютере, распечатывается и передается лицу, которое будет заниматься обработкой, для ознакомления и подписания (под текстом проставляется дата, подпись и ее расшифровка).
Важно! В законе нет положений, предусматривающих составление обязательства о неразглашении в письменной форме.
Важно! Вместо обязательства о неразглашении личной информации может быть оформлено такое же соглашение.
Разница между этими документами будет только в том, что первое является некой распиской конкретного лица, а второе отражает договоренность двух сторон (например, работодателя и сотрудника).
Ответственность за нарушение правил обработки личных сведений
Основной статьей о неразглашении персональных данных, обобщающей существующие наказания за незаконную обработку, является ст. 90 Трудового кодекса РФ. В ней указаны все виды ответственности для виновных лиц:
- Дисциплинарная. В силу ст. 90 ТК РФ к работнику, нарушившему правила обработки, может быть применено дисциплинарное взыскание. Допустимо даже увольнение по этому основанию (подп. «в» п. 6 ст. 81 ТК РФ).
- Материальная. В обязательстве можно установить конкретные размеры штрафов за несоблюдение требований по обработке (раздел XI ТК РФ).
- Гражданская. В ст. 15, 151 ГК РФ установлены общие правила возмещения убытков и компенсации морального вреда лицом, причинившим вред.
- Административная (ст. 13.11 КоАП РФ).
- Уголовная. Подробнее — в материале «Какая ответственность предусмотрена за разглашение персональных данных по 137 УК РФ?».
Для того чтобы наказать работника за незаконное распространение персональных данных, недостаточно иметь только подписанное им обязательство. Необходимо, чтобы действия сотрудника являлись нарушением в смысле закона о персональных данных.
Так, сотруднику колледжа удалось отменить вынесенный директором выговор за копирование приказа о премировании, содержащий сведения о других работниках организации. В обоснование своей позиции суд указал, что само по себе копирование не является распространением и в данном случае никакие права субъектов, поименованных в приказе, нарушены не были. Подробнее — в решении Кудымкарского городского суда Пермского края от 04.03.2019 по делу № 2-240/2019.
Рассмотрим другой пример. сотрудник hr-службы в качестве образца анкеты отправил своему знакомому по электронной почте уже заполненную анкету одного из кандидатов на вакансию . Разумеется анкета содержала персональные данные. Этот факт был признан распространением персональных данных, причем целям обработки, которые преследовал оператор персональных данных (работодатель) такое распространение не соответствовало. Увольнение hr-специалиста было признано судом законным.(решение Таганского районного суда от 1 апреля 2015 г. по делу № 2-1464/2015)
Лицо, осуществляющее сбор, хранение и т. п. личных сведений физических лиц, обязано обеспечивать их неразглашение. В целях исполнения данного требования организации просят своих работников, в чьи должностные обязанности входит обработка подобной информации, подписывать соответствующие документы в целях неразглашения персональных данных. В этом документе предусматривается в т. ч. ответственность за нарушение принятых сотрудником условий.