Составление обязательства о неразглашении персональных данных работников

Оформляем образец обязательства о неразглашении персональных данных работников

На уровне документов взаимоотношения субъекта и оператора выглядят так: субъект дает согласие на обработку персональных данных, а оператор принимает на себя обязательство о неразглашении. Данная схема распространяется и на трудовые отношения, в которых субъектом выступает работник, а оператором — работодатель.

Для чего нужен и когда пишется

Документ предназначен для того, чтобы работодатель мог обозначить ответственность и при выявлении нарушений привлечь к ней работников, которые имеют доступ к личным сведениям коллег. Количество людей, в чьи обязанности входит обработка и неразглашение персональных данных, может различаться. Если в малых организациях все ограничивается лишь главным бухгалтером, то в средних и крупных компаниях сотрудники, работающие с личной информацией, числятся в структурных подразделениях:

  • бухгалтерия;
  • отдел персонала;
  • отдел информационных технологий;
  • отдел продаж или отдел обслуживания (если речь идет об информации о клиентах).

Список может быть расширен в зависимости от специфики и структуры организации. Таким образом, в пакет типовых кадровых документов работодателя должна входить форма обязательства о неразглашении персональных данных. Оптимальный срок для подписания этого документа ответственными лицами — в момент приема на работу.

Что по этому поводу говорит закон

Статья о неразглашении персональных данных третьим лицам (ст. 7) содержится в Федеральном законе от 27.06.2006 № 152-ФЗ. Однако просто существование закона «О защите персональных данных» еще не дает права работодателю по умолчанию накладывать ответственность на сотрудников, имеющих доступ к личным сведениям. Необходимость оформления обязательства о неразглашении информации продиктована Постановлением Правительства от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». В соответствии с пунктом 6 Постановления, «лица, осуществляющие обработку … данных … должны быть проинформированы о факте обработки ими персональных данных, … а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами…». Кроме того, обязательной к исполнению мерой по защите личной информации является назначение приказом лиц, ответственных за обработку (ч. 1 ст. 22.1 закона № 152-ФЗ).

Образец обязательства о неразглашении персональных данных работников

Образец приказа о неразглашении персональных данных

Соглашение о неразглашении персональных данных (образец 2020 года)

Кроме обязательства о неразглашении, работодатель, в соответствии со статьей 8 ТК РФ , может заключать с профильным персоналом соглашение о неразглашении персональных данных работников, образец которого отличается от простого обязательства тем, что в нем указаны обе стороны процесса — как работодатель, так и сотрудник.

Образец соглашения о нераспространении персональных данных

Необходимость такого соглашения обусловлена требованиями, изложенными в пункте 7 статьи 86 ТК РФ , — на администрацию возложена обязанность по защите личных данных сотрудников от незаконного использования, утраты или доступа к ним третьих лиц. Следовательно, сотрудники, которые имеют доступ к банку данных других работников, обязаны хранить эти сведения в секрете. А поскольку эта информация известна в связи с выполнением ими трудовых обязанностей, то работодатель, в соответствии со статьей 8 ТК РФ , имеет право заключить с такими работниками соглашение о неразглашении.

При этом привлечь к ответственности работников, которые разгласили такую информацию, можно, только если она стала известна им в связи с их работой и они обязались не разглашать такие сведения (пункт 43 Постановления Пленума Верховного Суда РФ от 17.03.2004 № 2). Именно поэтому работодатель должен оформить с работниками, которые в силу своих должностных обязанностей имеют доступ к личным данным других работников, соответствующий юридически значимый документ.

Ответственность за нарушение

Ст. 24 Федерального закона № 152-ФЗ гласит, что нарушение правил обращения с личной информацией влечет за собой ответственность, установленную законодательством Российской Федерации. Характер ответственности конкретизируется несколькими статьями КоАП РФ. Например, в статье 13.11 КоАП РФ за обработку личных данных, несовместимую с целями сбора, зафиксировано наказание в виде штрафов от 1000 до 3000 рублей — для граждан, от 5000 до 10 000 рублей — для должностных лиц и от 30 000 до 50 000 рублей — для юридических лиц. А за разглашение персональных данных, в соответствии со статьей 13.14 КоАП РФ, налагаются штрафы на виновных граждан в размере от 500 до 1000 рублей, на должностных лиц — от 4000 до 5000 рублей.

Составляем обязательство о неразглашении персональных данных

Обязательство о неразглашении персональных данных

Персонал бюджетной организации, имеющий доступ к информации о сотрудниках, обязан подписать документ, который предусматривает неразглашение персональных данных. Это понятие включает в себя:

  1. Свободу и защиту прав работников, что контролируется федеральным законодательством. Семейные тайны и личная жизнь сотрудников являются тайной и не должны разглашаться третьим лицам.
  2. Бумажное закрепление в виде приказа данных прав, в котором прописывают число работников, имеющих право доступа к сведениям о сотрудниках предприятия.

В оформленном документе работники предоставляются и снимают с себя право:

  • передавать такую информацию персонала третьим лицам;
  • использовать контактные данные и любые сведения о работниках с целью извлечения выгоды;
  • скрывать информацию о том, что кто-то пытается получить данные о персонале.

Для чего нужно и когда пишется

Обязательство о неразглашении личных данных нужно для того, чтобы директор бюджетной организации смог обозначить ответственность, а при выявлении нарушений — привлечь к ней сотрудников, имеющих доступ к таким данным. Число ответственных лиц может варьироваться в зависимости от размеров организации. На малых предприятиях это может быть один человек (например, главный бухгалтер), на крупных — несколько сотрудников из следующих структурных отделов:

  • бухгалтерии;
  • отдела кадров;
  • отдела продаж и других.

В зависимости от особенностей деятельности бюджетной организации и ее оргструктуры, этот список может быть увеличен.

В перечень типовой документации отдела кадров бюджетной организации должна входить форма обязательства о неразглашении персональных данных. Обычно бумага подписывается ответственными лицами в момент приема нового сотрудника на работу.

Что по этому поводу говорит закон

Статья о неразглашении персональных данных третьим лицам содержится в ФЗ № 152 от 27.06.2006 (ст. 7). Но факт существования этой статьи не предоставляет право директору бюджетной организации по умолчанию возлагать ответственность на работников, которые имеют доступ к личным данным.

Руководитель обязан оформлять обязательства о неразглашении сведений о работниках в соответствии с Постановлением Правительства от 15.09.2008 № 687. В пункте 6 Постановления говорится, что сотрудники, которые обрабатывают данные, должны быть проинформированы, что обрабатывают именно личные данные, а также об особенностях и правилах такой работы. Последние должны быть установлены нормативными правовыми актами.

Помимо этого, для защиты личной информации работников директор бюджетной организации обязательно издает приказ, которым назначаются лица, ответственные за обработку (ч. 1 ст. 22.1 Закона № 152-ФЗ).

Что писать в обязательстве о неразглашении персональных данных

В бумаге перечисляются виды ответственности работника, касающиеся:

  • знания и соблюдения требований, предусмотренных законом по получению, хранению, передаче и обработке информации, которая содержит личные данные;
  • сохранения в тайне полученных сведений;
  • соблюдения нормативных и правовых актов;
  • в ситуации исчезновения либо потери персональных данных о сотруднике организации нужно незамедлительно сообщить об этом руководителю для принятия соответствующих мер.

Ответственный сотрудник заверяет подписью бумагу, тем самым соглашаясь с названными пунктами. Оригинал документа оставляют на руках у директора предприятия, а копию передают лицу, подписавшему договор.

Если работник отказался подписать обязательство о соблюдении конфиденциальности персональных данных

В целях соблюдения Федерального закона от 27.07.2006 N 152-ФЗ “О персональных данных” работодателем (медицинское учреждение) работнику, который имеет доступ к персональным данным граждан (пациентов), было предложено подписать обязательство (соглашение) о соблюдении конфиденциальности персональных данных. Работник отказался подписать данное обязательство. Какие меры воздействия может применить работодатель, учитывая то, что работника невозможно перевести на другую работу, исключающую доступ к персональным данным?

Отношения, связанные с обработкой персональных данных, регулируются Федеральным законом от 27.07.2006 N 152-ФЗ “О персональных данных” (далее – Закон о персональных данных) и принятыми на его основании нормативными правовыми актами.

В соответствии с ч. 1 ст. 7 Закона о персональных данных операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением предусмотренных законодательством случаев. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий (ч. 1 ст. 19 Закона о персональных данных).

Принятыми на основании Закона о персональных данных нормативными правовыми актами предусмотрены определенные требования, направленные на защиту персональных данных, в рамках отношений между оператором персональных данных и его работниками.

Согласно п. 14 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденного постановлением Правительства РФ от 17.11.2007 N 781, лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного оператором или уполномоченным лицом. Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов РФ, а также локальными правовыми актами организации (при их наличии) (п. 6 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства РФ от 15.09.2008 N 687).

Как видим, законодательство о персональных данных не предусматривает необходимости подписания работниками оператора персональных данных какого-либо документа (соглашения, обязательства) об обеспечении конфиденциальности таких данных и, соответственно, не устанавливает санкций на случай уклонения работника от подписания подобного документа.

Часть третья ст. 57 ТК РФ допускает возможность включения в трудовой договор условия о неразглашении охраняемой законом тайны (государственной, служебной, коммерческой и иной). Однако, как и любое иное условие трудового договора, оно включается в договор по соглашению между работником и работодателем (ст. 56 ТК РФ). Следовательно, работник не может быть понужден к принятию такого условия.

Вместе с тем следует иметь в виду, что в соответствии с ч. 5 ст. 9 Федерального закона от 27.07.2006 N 149-ФЗ “Об информации, информационных технологиях и о защите информации” информация, полученная гражданами (физическими лицами) при исполнении ими профессиональных обязанностей или организациями при осуществлении ими определенных видов деятельности (профессиональная тайна), подлежит защите в случаях, если на эти лица федеральными законами возложены обязанности по соблюдению конфиденциальности такой информации. Статьей 61 Основ законодательства Российской Федерации об охране здоровья граждан от 22.07.1993 N 5487-I предусмотрена обязанность по обеспечению конфиденциальности сведений, составляющих врачебную тайну, лицами, которым соответствующие сведения стали известны при обучении, исполнении профессиональных, служебных и иных обязанностей. К врачебной тайне относятся любые сведения, полученные при обследовании и лечении гражданина, в том числе и персональные данные пациента (смотрите п. 1 ст. 3 Закона о персональных данных).

Таким образом, медицинские работники в силу указания закона, независимо от принятия ими какого-либо самостоятельного обязательства, должны соблюдать врачебную тайну и несут предусмотренную законодательством ответственность за нарушение этой обязанности.

В частности, разглашение охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, является основанием применения к работнику дисциплинарного взыскания, в том числе увольнения по инициативе работодателя (ст. 192, пп. “в” п. 6 части первой ст. 81 ТК РФ).

Судебная практика исходит из того, что увольнение работника по пп. “в” п. 6 части первой ст. 81 ТК РФ возможно при условии, что работник принял обязательство не разглашать сведения, составляющие охраняемую законом тайну (п. 43 постановления Пленума Верховного Суда РФ от 17.03.2004 N 2 “О применении судами Российской Федерации Трудового кодекса Российской Федерации”). Полагаем, что работник может считаться принявшим на себя такое обязательство не только если он подписал самостоятельный документ (обязательство, соглашение об обеспечении конфиденциальности соответствующей информации), но и в том случае, когда условие о неразглашении конфиденциальной информации содержится в трудовом договоре либо должностной инструкции, ссылка на которую имеется в трудовом договоре и с которой работник ознакомлен под роспись. В целях формирования доказательственной базы на случай возникновения судебного спора работодатель может составить акт произвольной формы, отразив в нем факт ознакомления работника с его обязанностями, касающимися обеспечения конфиденциальности информации, а также факт отказа работника от подписания соответствующего документа (обязательства, соглашения).

В случае нарушения конфиденциальности информации работник может быть привлечен также к публично-правовой ответственности – административной (ст. 13.11, 13.14 КоАП РФ), а в определенных случаях и уголовной (ст. 137 УК РФ).

Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
кандидат юридических наук Акимочкин Дмитрий

Контроль качества ответа:
Рецензент службы Правового консалтинга ГАРАНТ
Барсегян Артем

Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг.

Обязательство о неразглашении персональных данных работников: образец 2020

Статьи по теме

Персональные сведения о сотруднике защищаются законом и в то же время необходимы для ведения документооборота. Узнайте о том, как оформить обязательство о неразглашении персональных данных, скачайте образец

Читайте в нашей статье:

Как оформить обязательство о неразглашении персональных данных

Новая ответственность за нарушения в персданных. За что и на сколько теперь будут штрафовать>>>

Персональные сведения, то есть личная информация, защищаются законом и в то же время необходимы для ведения документооборота на предприятии. Передавая информацию о себе, человек рассчитывает, что она не будет никем использована в корыстных целях. Сотрудники организации, работающие с чужими личными данными, должны понимать всю ответственность, которая лежит на них. Для этого оформляется обязательство о неразглашении персональных данных.

Скачать документы из статьи:

Поскольку закон оставляет создание бланка обязательства на усмотрение работодателя, каждая организация вправе принять у себя отдельную форму, ориентируясь на ст. 86 ТК РФ и ч. 1 ст. 18.1 ФЗ № 152. Что необходимо учесть при ее составлении?

  • Обязательство пишется от первого лица, то есть от имени сотрудника. Оно подтверждает, что в силу трудового договора и должностной инструкции сотрудник получает доступ к персональным сведениям.
  • Указываются реквизиты предприятия, ФИО, должность и паспортные данные сотрудника, перечисляются сведения о персонале, которые поступают в распоряжение.
  • Вносятся ссылки на законодательные акты, регламентирующие порядок работы с персональными данными. Это в первую очередь Федеральный закон №152-ФЗ, Постановление Правительства №627 и т.д.
  • Принятая ответственность касается всех сторон работы с личной информацией, включая административные штрафы за нарушение. Обязательство фиксирует понимание сути документа сотрудником и если будет выявлено нарушение, послужит подтверждением его вины.
  • Документ составляется и подписывается в двух экземплярах. Один остается на предприятии, другой передается сотруднику.

Обязательство не может существовать «оторванно» от приказа по организации, которым руководитель назначает лиц, ответственных за работу с персональными данными, и локальных нормативных актов, регламентирующих порядок их обработки.

В некоторых случаях работодателю удобнее не формировать отдельный документ, а создать специальный журнал, либо оформить приложение к трудовому контракту.

В каких случаях требуется

Обязательство необходимо оформлять при приеме на работу нового сотрудника, который будет на своей должности связан с чужими персональными данными. Например, при найме нового «кадровика» или бухгалтера.

Перечень лиц, подписывающих обязательство, зависит от структуры, сферы деятельности и численности организации. Этот вопрос очень индивидуален, но на каждом предприятии найдется человек, работающий с персональными данными – как работников самой организации, так и поставщиков и клиентов. А это означает, что обязательство входит в стандартный «пакет» кадровой документации. Удобнее всего его подписывать непосредственно при найме сотрудника.

Кто определяет список персонала, оформляющего обязательство? Сам работодатель. На него законом возложена обязанность назначить ответственных лиц. Они, в свою очередь, должны быть проинформированы о порядке работы с личными данными и ответственности за разглашение.

Такие требования следуют из постановления Правительства от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» (п. 6) и Федерального закона от 27.06.2006 № 152-ФЗ.

Иными словами, обязательство должны оформить все лица в организации, непосредственно занятые в своей трудовой деятельности с чужими личными данными. Тем самым они подтверждают, что:

  • не будут передавать сведения третьим лицам (кроме случаев, установленных законодательством),
  • не будут пытаться получить из доверенной им информации выгоду ,
  • будут информировать руководство о сторонних попытках получить персональные данные.

Для самой организации, юридического лица существование обязательства означает исполнение закона в части назначения ответственного лица и возможность наказать виновного, если «утечка» все же произойдет.

Также читайте о том, когда суд не позволит уволить за прогул, как задержать работника, который хочет уволиться и как вернуть деньги, которые потратили на квартиру.

Ответственность за нарушение

Федеральный закон от 27.07.2006 N 152-ФЗ “О персональных данных” регламентирует порядок работы с личными данными. В том числе он устанавливает ответственность за нарушения (24 ст.). А Кодекс административных правонарушений конкретизирует (ст. 13.11) суммы штрафов, которые будут наложены на виновных в разглашении личных сведений. При этом совсем недавно, зимой 2018 года, они были увеличены и в настоящий момент составляют, например, при нарушении порядка сбора информации:

  • Для юридических лиц – от 30 000 до 50 000 р.
  • Должностным лицам – от 5 000 до 10 000 р.
  • Гражданам – от 1000 до 3000 рублей.

Суммы штрафов напрямую зависят от самого нарушения и его последствий, максимальный штраф для организации может составить 75 000 р. В некоторых случаях нарушения при работе с личными данными могут повлечь и уголовную ответственность.

Информацию об ответственности необходимо внести в обязательство.

Источники:
http://gosuchetnik.ru/shablony-i-formy/sostavlyaem-obyazatelstvo-o-nerazglashenii-personalnykh-dannykh
http://www.audit-it.ru/articles/personnel/a110/345050.html
http://www.pro-personal.ru/article/1097905-18-m4-obyazatelstvo-o-nerazglashenii-personalnyh-dannyh
http://urlaw03.ru/trudovye/article/kak-rabotniku-obzhalovat-disciplinarnoe-vzyskanie

Ссылка на основную публикацию