Нам поступил интересный вопрос: регламентирован ли в законах срок, в течение которого после увольнения нельзя разглашать персональные данные, и какие разумные сроки можно прописать в Обязательстве о неразглашении? В связи с этим, решили порассуждать на тему Обязательств о неразглашении и их роли при работе с персональными данными.
Прежде всего отметим, что положениями ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» установлена обязанность любых лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
На практике многие компании включают персональные данные в состав информации, составляющей коммерческую тайну.
Положениями п. 2 ч. 3 ст. 11 Федерального закона от 29.07.2004 № 98-ФЗ «О коммерческой тайне» установлена обязанность работника не разглашать эту информацию, обладателями которой являются работодатель и его контрагенты, и без их согласия не использовать эту информацию в личных целях в течение всего срока действия режима коммерческой тайны, в том числе после прекращения действия трудового договора.
Статьей 83 Уголовного кодекса Российской Федерации также установлена ответственность за незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну (в которую могут входить и персональные данные).
Компания-работодатель вправе оберегать коммерческую тайну и персональные данные от внимания третьих лиц и сотрудников. И делать это оператор может через систему внутренних локальных актов.
Например, принимает Положение о коммерческой тайне; составляет Перечень информации конфиденциального характера, включая в него сведения, составляющие коммерческую тайну; вносит в трудовые договоры условия о неразглашении коммерческой тайны или персональных данных; подписывает Обязательства о неразглашении (далее – Обязательства).
В чем же роль Обязательств?
Лицу, допущенному до обработки персональных данных (например, работнику или лицу, выполняющему работы по ГПХ) нужно подробно разъяснить условия работы с коммерческой тайной и персональными данными. Закон читает не каждый, а вот подписание документов в момент трудоустройства, подписания договора – хороший акцент на определенных требованиях, особенно если кадровый сотрудник еще и устно проговорит об этом.
Обязательство о неразглашении обращает внимание конкретного лица (сотрудника, исполнителя работ) на персональную ответственность, подчеркивает важность требования об обеспечении конфиденциальности, а также является одним из документов, подчеркивающих, что оператором-работодателем принимаются меры по ознакомлению допущенных до обработки персональных данных лиц с требованиями законодательства и внутренними правилами компании.
Таким образом, подписание Обязательства позволяет получить письменное подтверждение того, что работник/исполнитель не только ознакомлен с условиями обработки персональных данных, но и полностью понял свою ответственность.
Примеры того, что можно зафиксировать в Обязательстве:
1. Обязанность не разглашать и не передавать третьим лицам сведения, содержащие персональные данные, за исключением случаев, установленных законом.
Такая обязанность может быть определена на период трудовых/договорных отношений и после их завершения: можно указать конкретный срок, если можете определить его с учетом специфики отношений (закон не устанавливает этого требования, оператор вправе самостоятельно определить срок, если захочет), или ограничиться только положениями о запрете разглашения данных после увольнения (аналогично, как зафиксировано в законодательстве о коммерческой тайне).
Следует учесть, что после увольнения/прекращения договора работник выполняет Обязательство в том объеме, в котором они были на него возложены в период работы в компании. Изменение перечня конфиденциальных данных или условий их использования после увольнения не повлияет на объем обязательств уволенного работника.
2. Требование о выполнении принятых в компании приказов, положений и инструкций по обработке персональных данных в части, касающейся конкретного работника.
3. Обязанность информирования ответственного за организацию обработки персональных данных (или непосредственного руководителя) о попытках третьих лиц «выманить» конфиденциальные сведения.
4. Запрет на совершение действий, нарушающих достоверность, целостность или конфиденциальность персональных данных. Например, запрет на использование личной электронной почты в процессе работы.
5. Подтверждение факта доведения разъяснений соответствующих положений по обеспечению сохранности персональных данных при автоматизированной обработке информации и осуществляемой без средств автоматизации, принятых в организации.
6. Возможные меры ответственности. Например, незаконный сбор и разглашение данных сведений могут стать основанием для возмещения нарушителем причиненного компании ущерба, оператор может ввести дисциплинарную ответственность за нарушение Обязательства. Можно также проинформировать о возможных видах ответственности за нарушения в области обработки персональных данных.
Правила обработки персональных данных, формируемые в сервисе 152DOC, содержат шаблон Обязательства, которым Вы можете пользоваться в готовом виде или доработать его с учетом специфики Вашей организации.
Чего точно нельзя указать в Обязательстве:
1. Положения, ограничивающие право граждан на трудоустройство в другие подобные компании (копании с аналогичным видом деятельности, компании-конкуренты).
2. Положения о невозможности на новом месте работы заключать договор с любым из контрагентов предыдущего работодателя.
3. Включить в Перечень конфиденциальной информации сведения, которые не могут быть отнесены к этой категории, исходя из нормы закона.
4. В деле № 22-1079\19, рассмотренном Верховным судом Чувашской республики, прямо отмечено, что банк своими внутренними документами может вводить только дисциплинарную, но никак не уголовную ответственность за ознакомление пользователя с данными лицевых счетов клиентов банка, хоть и относящимися к банковской тайне или к персональным данным. Решение о привлечении к уголовной ответственности постановляется не работодателем, хотя и может быть им инициировано.
В случае указания в Обязательстве подобных дополнительных требований вопрос о законности Обязательств окажется спорным, поскольку они ограничивают правоспособность гражданина и не являются законными. Даже если заставить работника подписать такое Обязательство, то заставить его выполнять даже в судебном порядке невозможно. Кроме того, в случае применения к работнику санкций за нарушение таких положений Обязательства, работник вправе обжаловать привлечение его к любой форме ответственности.
В следующей статье на примерах судебной практики мы рассмотрим нарушения конфиденциальности персональных данных работниками, использующими личные почтовые ящики для пересылки персональных данных, и отметим, какую роль при рассмотрении таких дел играют Обязательства и иные локальные акты.