Обязательство о неразглашении персональных данных

Направление:Архив новостей

Июль

27

Практически каждая организация сталкивается с необходимостью организовать хранение и обработку персональных данных граждан. Это могут быть как работники самой организации, так и иные лица, сведения о которых организация собирает для осуществления своей деятельности. Доступ сотрудников работодателя-организации к таким сведениям необходимо правильно оформить. Один из документов, который нужно для этого составить – обязательство о неразглашении персональных данных.

С проблемой оформления доступа своих сотрудников к персональным данным граждан сталкивается практически каждый работодатель. Ведь к таким данным относятся не только сведения о клиентах и контрагентах, но и данные, необходимые для ведения кадрового документооборота (информация об именах и фамилиях работников, местах жительства, гражданстве и т.п.). Таким образом, согласно п. 2 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», работодатель подпадает под определение оператора, осуществляющего обработку персональных данных. В организации доступ к персональным данным, как правило, имеют несколько сотрудников. Так, главный бухгалтер имеет доступ к персональным данным работников для начисления зарплаты, удержания НДФЛ, менеджер по работе с клиентами – доступ к персональным данным клиентов компании и т.п. Эти сотрудники вправе получать только те персональные данные работников, которые необходимы для выполнения конкретных функций (ст. 88 ТК РФ). Они не могут, например, получать сведения о национальности работников, их религиозных убеждениях и т.п. (п. 4 ст. 86 ТК РФ). Кроме того, оператор, который является юридическим лицом, должен назначить сотрудника, ответственного за организацию обработки персональных данных (далее – ответственный сотрудник). Данное требование следует из п. 1 ст. 22.1 Закона о персональных данных. Этот ответственный сотрудник «получает указания непосредственно от исполнительного органа организации, являющейся оператором» (то есть от руководителя организации-работодателя) и подотчетен ему.

Ответственный за организацию обработки персональных данных сотрудник обязан контролировать соблюдение оператором и его работниками законодательства о персональных данных, доводить до сведения работников положения законодательства и локальных актов о персональных данных, организовывать прием и обработку обращений и запросов субъектов персональных данных. Это не исчерпывающий перечень обязанностей. Локальными актами работодателя ответственного сотрудника можно обязать, например, обеспечивать сохранность информации на бумажных и электронных носителях, а также обеспечивать осуществление работниками прав, предусмотренных ст. 89 ТК РФ (получение доступа к своим персональным данным, исправление неверных сведений и пр.).
Ответственных сотрудников может быть и несколько. Например, менеджер по развитию персонала может отвечать за организацию обработки персональных данных на бумажных носителях, а специалист IT-отдела – на электронных. Право перечисленных лиц получать персональные данные граждан необходимо оформить документально. Трудовое законодательство прямо не регламентирует порядок такого оформления. На практике этот вопрос может регулироваться трудовыми договорами, приказами, должностными инструкциями и внутренними положениями о порядке работы с персональными данными. Но помимо трудового договора и перечисленных локальных актов работодателю нужно получить от своих сотрудников, работающих с персональными данными, подтверждение их согласия на получение доступа к этим данным и на соблюдение правил их обработки и хранения. Такое согласие может быть оформлено обязательством о неразглашении персональных данных. Такой документ может быть составлен на основании п. 6 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утв. Постановлением Правительства РФ от 15.09.2008 № 687. С другими категориями сотрудников (менеджерами по персоналу, бухгалтерами и др.) также целесообразно оформлять это обязательство при их приеме на работу. В противном случае могут возникнуть сложности с привлечением их к ответственности за нарушение норм о персональных данных работника. Согласно ст. 90 ТК РФ, нарушение данных норм, регулирующих обработку и защиту персональных данных работника, может повлечь дисциплинарную, материальную, гражданско-правовую, административную и уголовную ответственность. Но для привлечения сотрудника к ответственности необходимо доказать его вину. А для этого, в свою очередь, желательно документально подтвердить, что привлекаемый к ответственности сотрудник знал, что ему предоставляется доступ к персональным данным, и принял на себя обязательство соблюдать требования по обращению с ними

В законодательстве отсутствуют единые требования к содержанию обязательства о неразглашении персональных данных. Но в отношении ответственных сотрудников, обрабатывающих персональные данные без средств автоматизации (менеджеры по кадрам, по персоналу и т.п.), установлено специальное требование. Они должны быть проинформированы о факте обработки ими персональных данных без использования средств автоматизации, категориях таких данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами государственных органов, а также локальными правовыми актами организации при их наличии (см. в п. 6 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации).

Сведения о факте доступа к персональным данным, перечень таких данных и обязанность по их сохранению в тайне целесообразно включать и в обязательства других работников, которые по роду деятельности получают доступ к персональным данным. В противном случае привлечь их к дисциплинарной ответственности за разглашение таких данных будет крайне сложно. Так, согласно п. 43 Постановления Пленума Верховного Суда РФ от 17.03.2004 № 2 «О применении судами Российской Федерации Трудового кодекса Российской Федерации», в случае оспаривания работником увольнения по подпункту «в» п. 6 ч. первой статьи 81 ТК РФ, работодатель обязан представить доказательства, свидетельствующие о том, что сведения, которые работник разгласил, в соответствии с действующим законодательством относятся к персональным данным другого работника, эти сведения стали известны работнику в связи с исполнением им трудовых обязанностей и он обязывался не разглашать такие сведения. Таким образом, в обязательство о неразглашении персональных данных имеет смысл включить положения о том, что подписавший его сотрудник понимает, что для выполнения должностных обязанностей ему предоставляется доступ к персональным данным других работников или иных лиц. Здесь же следует дать открытый перечень сведений, к которым сотрудник имеет доступ и которые он не должен разглашать (биографические данные граждан, места их работы и жительства, номера телефонов и др.). Также нужно указать, что сотрудник ознакомлен с содержанием локальных документов (инструкций, положений и др.), содержащих требования к хранению и обработке персональных данных (эти локальные документы могут быть разными для различных категорий сотрудников). Кроме того, следует указать, что сотрудник ознакомлен с содержанием ст. 90 ТК РФ об ответственности за нарушение норм о персональных данных.

Мероприятия по данной теме:
Оплата труда: правовые, бухгалтерские и налоговые аспекты
Трудовые отношения: новые аспекты трудового, гражданского и пенсионного законодательства
Секреты успешного руководителя: Август управленца