Нам поступил интересный вопрос. Регламентирован ли в законах срок, в течение которого после увольнения нельзя разглашать персональные данные? Какие разумные сроки можно прописать в обязательствах о неразглашении? Поэтому решили порассуждать на тему Обязательств о неразглашении и их роли при работе с персональными данными.
Прежде всего отметим следующее. Статья 7 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» закрепляет обязанность соблюдать конфиденциальность. Любые лица, получившие доступ к персональным данным, не должны раскрывать их третьим лицам и распространять их без согласия субъекта. Вместе с тем исключение возможно, если иное предусмотрено федеральным законом.
При этом на практике многие компании включают персональные данные в состав информации, составляющей коммерческую тайну. Таким образом они дополнительно фиксируют режим конфиденциальности.
Положения п. 2 ч. 3 ст. 11 Федерального закона от 29.07.2004 № 98-ФЗ «О коммерческой тайне» устанавливают обязанность работника не разглашать такую информацию. Ее обладателями являются работодатель и его контрагенты. Поэтому без их согласия работник не должен использовать эту информацию в личных целях. Эти требования действуют весь срок режима коммерческой тайны и сохраняются после прекращения трудового договора.
Кроме того, статьей 83 Уголовного кодекса Российской Федерации также установлена ответственность за незаконные получение и разглашение таких сведений. В частности, речь идет о коммерческой, налоговой или банковской тайне. При этом в такие сведения могут входить и персональные данные. Кому грозит новая уголовная статья 272.1 — читайте в нашем блоге.
Вместе с тем компания-работодатель вправе оберегать коммерческую тайну и персональные данные от внимания третьих лиц и сотрудников. Поэтому оператор выстраивает такую защиту через систему внутренних локальных актов.
Например, компания принимает Положение о коммерческой тайне. Составляет Перечень информации конфиденциального характера, включая в него сведения, составляющие коммерческую тайну. Вносит в трудовые договоры условия о неразглашении коммерческой тайны или персональных данных. Подписывает обязательства о неразглашении (далее – Обязательства).
В чем же роль Обязательств?
Лицу, допущенному до обработки персональных данных, нужно подробно разъяснить условия работы с коммерческой тайной и персональными данными. Например, это может быть работник или лицо, выполняющее работы по ГПХ. При этом закон читает не каждый. Поэтому подписание документов в момент трудоустройства, подписания договора – хороший акцент на определенных требованиях. Кроме того, это особенно эффективно, если кадровый сотрудник проговорит ключевые условия устно.
Обязательство о неразглашении обращает внимание конкретного лица на персональную ответственность. Например, это сотрудник или исполнитель работ. При этом документ подчеркивает важность требования об обеспечении конфиденциальности. Также, Обязательство фиксирует, что оператор-работодатель принимает меры по ознакомлению допущенных к обработке персональных данных лиц с требованиями законодательства и внутренними правилами компании.
Таким образом, подписание Обязательства дает письменное подтверждение ознакомления с условиями обработки персональных данных. При этом фиксируется и понимание ответственности работника или исполнителя.
Примеры того, что можно зафиксировать в Обязательстве:
1. Обязанность не разглашать и не передавать третьим лицам сведения, содержащие персональные данные, за исключением случаев, установленных законом.
Такая обязанность может быть определена на период трудовых/договорных отношений и после их завершения. Можно указать конкретный срок, если возможно определить его с учетом специфики отношений. При этом закон не устанавливает такого требования. Поэтому оператор вправе самостоятельно определить срок самостоятельно. Либо ограничиться только положениями о запрете разглашения данных после увольнения. Аналогично, как зафиксировано в законодательстве о коммерческой тайне.
Следует учесть следующее. После увольнения/прекращения договора работник выполняет Обязательство в том объеме, который был установлен в период работы в компании. При этом изменение перечня конфиденциальных данных или условий их использования после увольнения не влияет на объем обязательств уволенного работника.
2. Требование о выполнении принятых в компании приказов, положений и инструкций по обработке персональных данных в части, касающейся конкретного работника.
3. Обязанность информирования ответственного за организацию обработки персональных данных (или непосредственного руководителя) о попытках третьих лиц «выманить» конфиденциальные сведения.
4. Запрет на совершение действий, нарушающих достоверность, целостность или конфиденциальность персональных данных. Например, запрет на использование личной электронной почты в процессе работы.
5. Подтверждение факта доведения разъяснений соответствующих положений по обеспечению сохранности персональных данных при автоматизированной обработке информации и осуществляемой без средств автоматизации, принятых в организации.
6. Возможные меры ответственности. Например, незаконный сбор и разглашение таких сведений могут стать основанием для возмещения причиненного компании ущерба. Кроме того, оператор может ввести дисциплинарную ответственность за нарушение Обязательства. Можно также проинформировать о возможных видах ответственности за нарушения в области обработки персональных данных.
Правила обработки персональных данных, формируемые в сервисе 152DOC, содержат шаблон Обязательства, которым Вы можете пользоваться в готовом виде или доработать его с учетом специфики Вашей организации.
Чего точно нельзя указать в Обязательстве:
- Положения, ограничивающие право граждан на трудоустройство в другие подобные компании (копании с аналогичным видом деятельности, компании-конкуренты).
- Положения о невозможности на новом месте работы заключать договор с любым из контрагентов предыдущего работодателя.
- Включить в Перечень конфиденциальной информации сведения, которые не могут быть отнесены к этой категории, исходя из нормы закона.
- В деле № 22-1079\19, рассмотренном Верховным судом Чувашской республики, прямо отмечено, что банк своими внутренними документами может вводить только дисциплинарную, но никак не уголовную ответственность за ознакомление пользователя с данными лицевых счетов клиентов банка, хоть и относящимися к банковской тайне или к персональным данным. Решение о привлечении к уголовной ответственности постановляется не работодателем, хотя и может быть им инициировано.
В случае указания в Обязательстве подобных дополнительных требований вопрос о законности Обязательств окажется спорным, поскольку они ограничивают правоспособность гражданина и не являются законными. Даже если заставить работника подписать такое Обязательство, то заставить его выполнять даже в судебном порядке невозможно. Кроме того, в случае применения к работнику санкций за нарушение таких положений Обязательства, работник вправе обжаловать привлечение его к любой форме ответственности.
Далее в следующей статье на примерах судебной практики мы рассмотрим нарушения конфиденциальности персональных данных работниками, использующими личные почтовые ящики для пересылки персональных данных. Также отметим, какую роль при рассмотрении таких дел играют Обязательства и иные локальные акты.