Обязательство о неразглашении персональных данных

Обязательство о неразглашении персональных данных

Обязательство о неразглашении персональных данных — один из самых популярных локальных нормативных актов на предприятии в последние годы. Для хранения и обработки таких данных граждан необходимо правильно организовать доступ к ним персонала организации. Статья рассказывает, что включить в обязательство, кто его подписывает, какова роль ответственного за организацию обработки конфиденциальных данных.

Кто имеет доступ к личным данным

Такой доступ имеют многие:

  • главный бухгалтер — для начисления зарплаты, удержания НДФЛ;
  • менеджер по работе с клиентами — доступ к информации о клиентах компании;
  • начальник отдела кадров — при оформлении человека на работу;
  • руководитель компании — при ознакомлении с личными делами работающих, с резюме и т. д.

Можно назначить одного или нескольких сотрудников в качестве ответственных за неразглашение персональных данных и организацию их обработки. Число таких сотрудников на уровне закона не оговорено. Но в их обязанности входит:

  • контроль за соблюдением оператором и его работниками Федерального закона от 27.07.2006 № 152-ФЗ и других подзаконных актов;
  • доведение до сведения работающих положения законодательства и локальных актов о персональных данных;
  • организация приема и обработки обращений и запросов субъектов персональных данных.

Бланк и форма обязательства о неразглашении персональных данных работников

Право ответственных лиц получать конфиденциальные данные граждан необходимо оформить документально.

Приказом по предприятию ответственного сотрудника обязывают, например, обеспечивать сохранность информации на бумажных и электронных носителях, а также об осуществлении работниками их трудовых прав. Образец приказа о неразглашении персональных данных можно скачать в конце статьи.

Данный вопрос может регулироваться трудовыми договорами, приказами, должностными инструкциями и внутренними положениями о порядке работы с такими данными. Работодателю необходимо получить от своих сотрудников, работающих с персональными данными, подтверждение согласия на получение доступа к этим данным, на соблюдение правил их обработки и хранения.

Для этого на предприятии разрабатывается образец обязательства о неразглашении персональных данных работников. Его текст составляют на основании п. 6 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного Постановлением Правительства РФ от 15.09.2008 № 687.

Содержание обязательства

В законодательстве отсутствуют единые требования к содержанию обязательства по неразглашению персональной информации сотрудников. Но в отношении ответственных лиц, обрабатывающих личные данные без средств автоматизации, установлены специальные требования. В этом случае они должны быть проинформированы о:

  • факте обработки ими такого типа данных без использования средств автоматизации;
  • категориях данных, подлежащих защите;
  • особенностях и правилах осуществления их обработки, установленных законодательно и локальными правовыми актами организации.

Все эти условия целесообразно включать и в обязательства других работников, которые по роду и характеру деятельности получают доступ к конфиденциальным данным.

Также в обязательстве о неразглашении должен содержаться открытый перечень сведений, к которым сотрудник имеет доступ и которые он не должен разглашать:

  • биографические данные граждан;
  • места их работы и жительства, номера телефонов;
  • адреса электронной почты и т. д.

Далее нужно предусмотреть место для подписи работника, подтверждающей, что он:

  • понимает, что для выполнения должностных обязанностей ему предоставляется доступ к личным данным других работников или иных лиц;
  • ознакомлен с содержанием ст. 90 ТК РФ об ответственности за разглашение данных;
  • знает и применяет в работе локальные документы (инструкции, положения и др.), содержащие требования к хранению и обработке персональных данных (эти локальные документы могут быть разными для различных категорий сотрудников).

Ответственность за разглашение персональных данных

Всем работающим на предприятии необходимо внимательно подходить к сохранности и обработке используемых ими сведений о коллегах. Важно, чтобы сотрудник знал, что ему предоставляется доступ к особо охраняемым данным, и принял на себя обязательство соблюдать требования по обращению с ними, в том числе о неразглашении персональной информации.

Согласно ст. 90 ТК РФ, нарушение норм, регулирующих обработку и защиту персональных данных работника, влечет дисциплинарную, материальную, гражданско-правовую, административную и уголовную ответственность.

Для работника существует опасность увольнения на основании пп. «в» п. 6 ч. 1 ст. 81 ТК РФ за такие нарушения, как разглашение коммерческой тайны, которая стала известна работнику при выполнении им трудовой функции, или разглашение конфиденциальной информации другого сотрудника.

Однако чтобы уволить по этой статье, работодателю придется доказать, что работник разгласил секретные данные (сообщил, переслал, передал, опубликовал и т. д.) либо допустил разглашение охраняемой им информации таким образом, что она стала известна третьим лицам. А также, что разглашенная информация является охраняемой в соответствии с законодательством РФ.

В КоАП введена отдельная статья о неразглашении персональных данных третьим лицам (13.14 КоАП РФ). Она предполагает наказание в виде штрафа для физических лиц — от 500 до 1000 рублей, а для должностных лиц — в размере от 4000 до 5000 рублей.

Проверяет, насколько эффективно организация и ее должностные лица «скрывают» личную информацию от посторонних, Роскомнадзор. Порядок осуществления плановых и внезапных ревизий прописаны в Постановлении Правительства от 13.02.2019 № 146. Объявление о грядущей проверке (копию приказа о назначении проверки) организации должны прислать минимум за 24 часа, если визит незапланированный, и за 3 дня, если проверка включена в план.

При проверках контролеры обращают внимание на наличие документации и ее корректность, выполнение требований в реальной жизни. Так, организации должны учитывать, что запрещено:

  • разглашать сведения о премии и заработной плате работников;
  • передавать личную информацию любым партнерам;
  • терять сведения или оставлять их без присмотра;
  • отказываться выдавать справки, связанные с трудовой деятельностью сотрудников.

Когда применяется обязательство о неразглашении личных данных

В силу ст. 2, 7 закона от 27.07.2006 № 152-ФЗ (далее — закон № 152) любой оператор персональных данных обязан защищать обрабатываемую им информацию от незаконного распространения.

Пример обработки личных сведений: работодатель в лице специалиста кадровой службы заполняет трудовую книжку, личную карточку и т. п. на своего работника. Оператором тут будет организация, субъектом — специалист, на которого заполняются документы, а лицом, осуществляющим обработку, — кадровик.

Для того чтобы произвести обработку (сбор, хранение и т. д.) персональных данных работника, организации необходимо получить на это согласие от этого специалиста. Подробнее о согласии вы узнаете из материала «Согласие на обработку персональных данных — образец».

В силу п. 6.6 Положения об особенностях обработки персональных данных, утв. постановлением Правительства РФ от 15.09.2008 № 687 (далее — Положение), оператор обязан заранее предупредить сотрудника, которому будет поручено фактическое осуществление обработки:

  • о самом факте его работы с информацией в рамках закона № 152;
  • всех установленных законом и локальными актами правилах, связанных с выполнением порученных ему действий.

Такое предупреждение обычно оформляется в виде обязательства о неразглашении персональных данных работников.

В какой форме заключается документ

Обязательство о неразглашении данных составляется в письменной форме. Чаще всего его текст набирается на компьютере, распечатывается и передается лицу, которое будет заниматься обработкой, для ознакомления и подписания (под текстом проставляется дата, подпись и ее расшифровка).

Более полную информацию по теме вы можете найти в КонсультантПлюс.
Полный и бесплатный доступ к системе на 2 дня.

Важно! В законе нет положений, предусматривающих составление обязательства о неразглашении в письменной форме.

Однако именно такое оформление, прочно укрепившееся в обычаях делового оборота, легко позволяет доказать факт соблюдения оператором требований, установленных п. 6.6 Положения.

Важно! Вместо обязательства о неразглашении личной информации может быть оформлено такое же соглашение.

Разница между этими документами будет только в том, что первое является некой распиской конкретного лица, а второе отражает договоренность двух сторон (например, работодателя и сотрудника).

Образец составления обязательства

Что должно быть указано в тексте обязательства, установлено в п. 6.6 Положения.

Важно! Установленного законом бланка в данном случае не существует.

Обычно в тексте расписки подписант подтверждает следующее (см. приговор Заднепровского районного суда г. Смоленска от 06.02.2018 по делу № 1-173/2017):

  • ему известно о получении им доступа к личным сведениям физических лиц в связи с исполнением трудовых обязанностей;
  • он не имеет права разглашать защищаемую информацию и передавать ее третьим лицам;
  • он незамедлительно уведомит руководителя, если ему станет известно о попытке получения или получении незаконным образом конфиденциальных сведений о сотрудниках.

Обратите внимание! Условия обязательства должны соответствовать правилам положения о персональных данных, утвержденного в организации.

Подробнее об этом документе — в материале «Составляем положение о персональных данных работников — образец 2019».

Скачать максимально универсальный образец обязательства о неразглашении персональных данных работников можно у нас: Обязательство о неразглашении персональных данных работников — 2019.

Ответственность за нарушение правил обработки личных сведений

Основной статьей о неразглашении персональных данных, обобщающей существующие наказания за незаконную обработку, является ст. 90 Трудового кодекса РФ. В ней указаны все виды ответственности для виновных лиц:

  1. Дисциплинарная. В силу ст. 90 ТК РФ к работнику, нарушившему правила обработки, может быть применено дисциплинарное взыскание. Допустимо даже увольнение по этому основанию (подп. «в» п. 6 ст. 81 ТК РФ).
  2. Материальная. В обязательстве можно установить конкретные размеры штрафов за несоблюдение требований по обработке (раздел XI ТК РФ).
  3. Гражданская. В ст. 15, 151 ГК РФ установлены общие правила возмещения убытков и компенсации морального вреда лицом, причинившим вред.
  4. Административная (ст. 13.11 КоАП РФ).
  5. Уголовная. Подробнее — в материале «Какая ответственность предусмотрена за разглашение персональных данных по 137 УК РФ?».

Обратите внимание! Для того чтобы наказать работника за незаконное распространение персональных данных, недостаточно иметь только подписанное им обязательство.

Так, сотруднику колледжа удалось отменить вынесенный директором выговор за копирование приказа о премировании, содержащий сведения о других работниках организации. В обоснование своей позиции суд указал, что само по себе копирование не является распространением и в данном случае никакие права субъектов, поименованных в приказе, нарушены не были. Подробнее — в решении Кудымкарского городского суда Пермского края от 04.03.2019 по делу № 2-240/2019.

***

Лицо, осуществляющее сбор, хранение и т. п. личных сведений физических лиц, обязано обеспечивать их неразглашение. В целях исполнения данного требования организации просят своих работников, в чьи должностные обязанности входит обработка подобной информации, подписывать соответствующие документы в целях неразглашения персональных данных. В этом документе предусматривается в т. ч. ответственность за нарушение принятых сотрудником условий.

Обязательство о неразглашении персональных данных – документ, составление которого необходимо от тех работников, которые имеют доступ к персональным данным работников предприятия. Как правило, это главный бухгалтер, бухгалтер по заработной плате, юрист, инспектор по кадрам. В зависимости от численности работников конкретного предприятия число уполномоченным лиц может изменяться.

Федеральным законом № 152-ФЗ «О персональных данных» обеспечивается защита прав и свобод работника при обработке его персональных данных, а так же защищаются права на неприкосновенность его личной жизни и семейной тайны. Именно с целью защиты персональных данных работников руководителем предприятия разрабатывается Приказ об утверждении списка лиц, имеющих доступ к персональным данным работников. С перечисленных должностных лиц берется письменное обязательство о неразглашении персональных данных работников, в котором фиксируется следующая информация:

  • не передавать и не раскрывать третьим лицам полученные конфиденциальные сведения;
  • сообщать руководителю предприятия о попытках получить конфиденциальную информацию третьими лицами;
  • не использовать персональные данные работников с целью получения какой-либо выгоды;
  • при работе с персональными данными работников соответствовать нормативным правовым актам, которые регламентируют вопросы защиты таких сведений.

Работники, составившие обязательство о неразглашении персональных данных не должны в течение года после прекращения права на использование конфиденциальной информации передавать третьим лицам полученные данные. В противном случае такие работники могут быть привлечены к ответственности в строгом соответствии с законодательством Российской Федерации.

Когда дается обязательство о неразглашении персональных данных

Персональные данные (далее — ПД) работника должны быть надежно защищены от доступа третьих лиц. За нарушение правил работы с личной информацией предусмотрена различного рода ответственность.

В соответствии со ст. 88 ТК РФ разрешение на доступ к ПД сотрудникам организации предоставляет работодатель. При этом, в соответствии с п. 7 ч. 1 ст. 86 ТК РФ, именно работодатель обязан обеспечить сохранность ПД от доступа третьих лиц. Для этого принимаются различные меры, которые не позволят посторонним получить доступ к личным данным сотрудников.

В числе мер, которые могут быть использованы для обеспечения конфиденциальности, — оформление обязательства о неразглашении персональных данных.

В какой форме оформляется обязательство о неразглашении личных данных. Образец документа

Пленум Верховного суда РФ в п. 43 постановления «О применении…» от 17.03.2004 № 2 указывает на то, что бремя доказывания факта получения обязательства по неразглашению персональных данных работника ложится на работодателя. Такая необходимость появляется при возникновении спорных ситуаций (например, при увольнении работника по подп. «в» п. 6 ч. 1 ст. 81 ТК РФ).

Именно поэтому обязательство о неразглашении персональных данных работников стоит оформлять в письменном виде. Этот документ станет неоспоримым доказательством того, что ответственный сотрудник действительно знал о необходимости сохранения конфиденциальности полученных им сведений. Кроме того, оформление документа позволит работодателю избежать ответственности, о которой расскажем ниже.

Ответственность за нарушение

Статьи о неразглашении персональных данных, по которым нарушители могут привлекаться к ответственности, предусмотрены в различных федеральных законах. Подробнее об этом в таблице:

Виды ответственности за нарушение законодательства о персональных данных

№ п/п

Вид ответственности

Условия применения и/или санкция

Дисциплинарная (ст. 192 ТК РФ)

Работодатель вправе применить следующие виды взысканий:

· замечание;

· выговор;

· увольнение

Материальная (ст. 232, 233 ТК РФ)

Наступает, если в результате разглашения работником персональных данных работодателю причинен материальный ущерб, при условии что соглашением, заключенным между работником и работодателем, предусмотрено привлечение к такому виду ответственности

Гражданско-правовая (п. 2 ст. 24 закона «О персональных…» от 27.07.2006 № 152-ФЗ, ст. 151 ГК РФ)

Возмещение морального вреда, причиненного потерпевшему лицу

Административная (ст. 13.14 КоАП РФ)

Наложение административного штрафа в размере:

· от 500 руб. до 1 тыс. руб. — на граждан;

· 4–5 тыс. руб. — на должностных лиц

Уголовная (ст. 137 УК РФ)

Возникает, если лицо, получившее доступ к персональным данным, распространило их в СМИ или в публичном информационном пространстве. Предусмотрены различные виды наказаний — от штрафа до реального лишения свободы

Итоги

Итак, сотрудник организации, в ходе своей деятельности обрабатывающий ПД других работников, должен быть уведомлен о необходимости сохранения конфиденциальности получаемой им информации. Более того, он должен дать письменное обязательство о неразглашении ПД — этот документ подтвердит, что работник знал об ответственности, которую понесет в случае нарушения закона.

Более полную информацию по теме вы можете найти в КонсультантПлюс.
Полный и бесплатный доступ к системе на 2 дня.

В бумаге перечисляются виды ответственности работника, касающиеся:

  • знания и соблюдения требований, предусмотренных законом по получению, хранению, передаче и обработке информации, которая содержит личные данные;
  • сохранения в тайне полученных сведений;
  • соблюдения нормативных и правовых актов;
  • в ситуации исчезновения либо потери персональных данных о сотруднике организации нужно незамедлительно сообщить об этом руководителю для принятия соответствующих мер.

Ответственный сотрудник заверяет подписью бумагу, тем самым соглашаясь с названными пунктами. Оригинал документа оставляют на руках у директора предприятия, а копию передают лицу, подписавшему договор.

Обязательство о неразглашении конфиденциальной информации(персональных данных), не содержащих сведений,составляющих государственную тайну.

о неразглашении конфиденциальной информации

(персональных данных), не содержащих сведений,

составляющих государственную тайну.

(ФИО государственного гражданского служащего)

исполняющий(ая) должностные обязанности по занимаемой должности

(должность, наименование структурного подразделения Россвязькомнадзора)

предупрежден(а), что на период исполнения должностных обязанностей в соответствии с должностным регламентом, мне будет предоставлен допуск к конфиденциальной информации (персональным данным), не содержащим сведений, составляющих государственную тайну. Настоящим добровольно принимаю на себя обязательства:

1. Не разглашать третьим лицам конфиденциальные сведения, которые мне доверены (будут доверены) или станут известными в связи с выполнением должностных обязанностей.

2. Не передавать и не раскрывать третьим лицам конфиденциальные сведения, которые мне доверены (будут доверены) или станут известными в связи с выполнением должностных обязанностей.

З. В случае попытки третьих лиц получить от меня конфиденциальные сведения, сообщать непосредственному руководителю.

4. Не использовать конфиденциальные сведения с целью получения выгоды.

5. Выполнять требования нормативных правовых актов, регламентирующих вопросы защиты конфиденциальных сведений.

6. В течение года после прекращения права на допуск к конфиденциальным сведениям не разглашать и не передавать третьим лицам известные мне конфиденциальные сведения.

Я предупрежден (а), что в случае нарушения данного обязательства буду привлечен (а) к дисциплинарной ответственности и/или иной ответственности в соответствии с законодательством Российской Федерации.

(фамилия, инициалы) (подпись)

Время публикации: 19.11.2009 13:22
Последнее изменение: 19.11.2009 13:22

Персональные сведения о сотруднике защищаются законом и в то же время необходимы для ведения документооборота. Узнайте о том, как оформить обязательство о неразглашении персональных данных, скачайте образец

Читайте в нашей статье:

Как оформить обязательство о неразглашении персональных данных

Новая ответственность за нарушения в персданных. За что и на сколько теперь будут штрафовать>>>

Персональные сведения, то есть личная информация, защищаются законом и в то же время необходимы для ведения документооборота на предприятии. Передавая информацию о себе, человек рассчитывает, что она не будет никем использована в корыстных целях. Сотрудники организации, работающие с чужими личными данными, должны понимать всю ответственность, которая лежит на них. Для этого оформляется обязательство о неразглашении персональных данных.

Скачать документы из статьи:

Поскольку закон оставляет создание бланка обязательства на усмотрение работодателя, каждая организация вправе принять у себя отдельную форму, ориентируясь на ст. 86 ТК РФ и ч. 1 ст. 18.1 ФЗ № 152. Что необходимо учесть при ее составлении?

  • Обязательство пишется от первого лица, то есть от имени сотрудника. Оно подтверждает, что в силу трудового договора и должностной инструкции сотрудник получает доступ к персональным сведениям.
  • Указываются реквизиты предприятия, ФИО, должность и паспортные данные сотрудника, перечисляются сведения о персонале, которые поступают в распоряжение.
  • Вносятся ссылки на законодательные акты, регламентирующие порядок работы с персональными данными. Это в первую очередь Федеральный закон №152-ФЗ, Постановление Правительства №627 и т.д.
  • Принятая ответственность касается всех сторон работы с личной информацией, включая административные штрафы за нарушение. Обязательство фиксирует понимание сути документа сотрудником и если будет выявлено нарушение, послужит подтверждением его вины.
  • Документ составляется и подписывается в двух экземплярах. Один остается на предприятии, другой передается сотруднику.

Обязательство не может существовать «оторванно» от приказа по организации, которым руководитель назначает лиц, ответственных за работу с персональными данными, и локальных нормативных актов, регламентирующих порядок их обработки.

В некоторых случаях работодателю удобнее не формировать отдельный документ, а создать специальный журнал, либо оформить приложение к трудовому контракту.

В каких случаях требуется

Обязательство необходимо оформлять при приеме на работу нового сотрудника, который будет на своей должности связан с чужими персональными данными. Например, при найме нового «кадровика» или бухгалтера.

Перечень лиц, подписывающих обязательство, зависит от структуры, сферы деятельности и численности организации. Этот вопрос очень индивидуален, но на каждом предприятии найдется человек, работающий с персональными данными – как работников самой организации, так и поставщиков и клиентов. А это означает, что обязательство входит в стандартный «пакет» кадровой документации. Удобнее всего его подписывать непосредственно при найме сотрудника.

Кто определяет список персонала, оформляющего обязательство? Сам работодатель. На него законом возложена обязанность назначить ответственных лиц. Они, в свою очередь, должны быть проинформированы о порядке работы с личными данными и ответственности за разглашение.

Такие требования следуют из постановления Правительства от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» (п. 6) и Федерального закона от 27.06.2006 № 152-ФЗ.

Иными словами, обязательство должны оформить все лица в организации, непосредственно занятые в своей трудовой деятельности с чужими личными данными. Тем самым они подтверждают, что:

  • не будут передавать сведения третьим лицам (кроме случаев, установленных законодательством),
  • не будут пытаться получить из доверенной им информации выгоду ,
  • будут информировать руководство о сторонних попытках получить персональные данные.

Для самой организации, юридического лица существование обязательства означает исполнение закона в части назначения ответственного лица и возможность наказать виновного, если «утечка» все же произойдет.

Также читайте о том, когда суд не позволит уволить за прогул, как задержать работника, который хочет уволиться и как вернуть деньги, которые потратили на квартиру.

Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» регламентирует порядок работы с личными данными. В том числе он устанавливает ответственность за нарушения (24 ст.). А Кодекс административных правонарушений конкретизирует (ст. 13.11) суммы штрафов, которые будут наложены на виновных в разглашении личных сведений. При этом совсем недавно, зимой 2018 года, они были увеличены и в настоящий момент составляют, например, при нарушении порядка сбора информации:

  • Для юридических лиц – от 30 000 до 50 000 р.
  • Должностным лицам – от 5 000 до 10 000 р.
  • Гражданам – от 1000 до 3000 рублей.

Суммы штрафов напрямую зависят от самого нарушения и его последствий, максимальный штраф для организации может составить 75 000 р. В некоторых случаях нарушения при работе с личными данными могут повлечь и уголовную ответственность.

Информацию об ответственности необходимо внести в обязательство.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *