Соглашение о неразглашении персональных данных
Практически каждая организация сталкивается с необходимостью организовать хранение и обработку персональных данных граждан. Это могут быть как работники самой организации, так и иные лица, сведения о которых организация собирает для осуществления своей деятельности. Доступ сотрудников работодателя-организации к таким сведениям необходимо правильно оформить. Один из документов, который нужно для этого составить – обязательство о неразглашении персональных данных.
Из этой статьи вы узнаете:
- кто подписывает обязательство о неразглашении персональных данных;
- что включить в обязательство о неразглашении персональных данных;
- зачем назначать ответственного за организацию обработки персональных данных.
Работники, имеющие доступ к персональным данным
С проблемой оформления доступа своих сотрудников к персональным данным граждан сталкивается практически каждый работодатель. Ведь к таким данным относятся не только сведения о клиентах и контрагентах, но и данные, необходимые для ведения кадрового документооборота (информация об именах и фамилиях работников, местах жительства, гражданстве и т.п.). Таким образом, согласно п. 2 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», работодатель подпадает под определение оператора, осуществляющего обработку персональных данных.
В организации доступ к персональным данным, как правило, имеют несколько сотрудников. Так, главный бухгалтер имеет доступ к персональным данным работников для начисления зарплаты, удержания НДФЛ, менеджер по работе с клиентами - доступ к персональным данным клиентов компании и т.п. Эти сотрудники вправе получать только те персональные данные работников, которые необходимы для выполнения конкретных функций (ст. 88 ТК РФ). Они не могут, например, получать сведения о национальности работников, их религиозных убеждениях и т.п. (п. 4 ст. 86 ТК РФ).
Кроме того, оператор, который является юридическим лицом, должен назначить сотрудника, ответственного за организацию обработки персональных данных (далее - ответственный сотрудник). Данное требование следует из п. 1 ст. 22.1 Закона о персональных данных. Этот ответственный сотрудник «получает указания непосредственно от исполнительного органа организации, являющейся оператором» (то есть от руководителя организации-работодателя) и подотчетен ему.
Ответственный за организацию обработки персональных данных сотрудник обязан контролировать соблюдение оператором и его работниками законодательства о персональных данных, доводить до сведения работников положения законодательства и локальных актов о персональных данных, организовывать прием и обработку обращений и запросов субъектов персональных данных. Это не исчерпывающий перечень обязанностей. Локальными актами работодателя ответственного сотрудника можно обязать, например, обеспечивать сохранность информации на бумажных и электронных носителях, а также обеспечивать осуществление работниками прав, предусмотренных ст. 89 ТК РФ (получение доступа к своим персональным данным, исправление неверных сведений и пр.).
С другими категориями сотрудников (менеджерами по персоналу, бухгалтерами и др.) также целесообразно оформлять это обязательство при их приеме на работу . В противном случае могут возникнуть сложности с привлечением их к ответственности за нарушение норм о персональных данных работника.
Согласно ст. 90 ТК РФ, нарушение данных норм, регулирующих обработку и защиту персональных данных работника, может повлечь дисциплинарную, материальную, гражданско-правовую, административную и уголовную ответственность. Но для привлечения сотрудника к ответственности необходимо доказать его вину. А для этого, в свою очередь, желательно документально подтвердить, что привлекаемый к ответственности сотрудник знал, что ему предоставляется доступ к персональным данным, и принял на себя обязательство соблюдать требования по обращению с ними.
Содержание обязательства о неразглашении персональных данных
В законодательстве отсутствуют единые требования к содержанию обязательства о неразглашении персональных данных. Но в отношении ответственных сотрудников, обрабатывающих персональные данные без средств автоматизации (менеджеры по кадрам, по персоналу и т.п.), установлено специальное требование. Они должны быть проинформированы о факте обработки ими персональных данных без использования средств автоматизации, категориях таких данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами государственных органов, а также локальными правовыми актами организации при их наличии (см. в п. 6 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации).
Читайте статью в электронном журнале.
Сведения о факте доступа к персональным данным, перечень таких данных и обязанность по их сохранению в тайне целесообразно включать и в обязательства других работников, которые по роду деятельности получают доступ к персональным данным. В противном случае привлечь их к дисциплинарной ответственности за разглашение таких данных будет крайне сложно. Так, согласно п. 43 Постановления Пленума Верховного Суда РФ от 17.03.2004 № 2 «О применении судами Российской Федерации Трудового кодекса Российской Федерации», в случае оспаривания работником увольнения по подпункту «в» п. 6 ч. первой статьи 81 ТК РФ, работодатель обязан представить доказательства, свидетельствующие о том, что сведения, которые работник разгласил, в соответствии с действующим законодательством относятся к персональным данным другого работника, эти сведения стали известны работнику в связи с исполнением им трудовых обязанностей и он обязывался не разглашать такие сведения.
Таким образом, в обязательство о неразглашении персональных данных имеет смысл включить положения о том, что подписавший его сотрудник понимает, что для выполнения должностных обязанностей ему предоставляется доступ к персональным данным других работников или иных лиц. Здесь же следует дать открытый перечень сведений, к которым сотрудник имеет доступ и которые он не должен разглашать (биографические данные граждан, места их работы и жительства, номера телефонов и др.). Также нужно указать, что сотрудник ознакомлен с содержанием локальных документов (инструкций, положений и др.), содержащих требования к хранению и обработке персональных данных (эти локальные документы могут быть разными для различных категорий сотрудников). Кроме того, следует указать, что сотрудник ознакомлен с содержанием ст. 90 ТК РФ об ответственности за нарушение норм о персональных данных.
СОГЛАШЕНИЕ №______
О НЕРАЗГЛАШЕНИИ ПЕРСОНАЛЬНЫХ ДАННЫХ
«_____»_____________________
В лице __________________________________________________________________, действующего на основании ________________, именуемое в дальнейшем «Передающая сторона», и в лице директора Александровой Галины Георгиевны, действующей на основании Устава, именуемое в дальнейшем «Принимающая сторона», вместе именуемые «Стороны», заключили настоящее Соглашение о неразглашении персональных данных (далее – Соглашение) о нижеследующем:
СТАТЬЯ 1.
1.1. В настоящем Соглашении под «Персональными данными» понимается информация, представленная Передающей стороной Принимающей стороне в письменном, электронном или любом другом виде и относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
1.2. Лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных и безопасность таких данных при их обработке, за исключением общедоступных и обезличенных персональных данных.
СТАТЬЯ 2.
2.3. Принимающая сторона обязуется при обработке персональных данных соблюдать нормы действующего федерального законодательства и требования регуляторов по вопросам безопасности персональных данных.
2.4. Принимающая сторона обязуется обрабатывать персональные данные, полученные от Передающей стороны, исключительно в целях исполнения Договора №_____ от «___»_______ 20____г. (далее – Договор).
2.5. Принимающая сторона обязуется принимать все необходимые организационные и технические меры по обеспечению конфиденциальности и безопасности персональных данных, по защите их от несанкционированного, в том числе, случайного доступа, уничтожения, изменения, блокирования, копирования, распространения и иных неправомерных действий.
2.6. Принимающая сторона обеспечивает доступ к Персональным данным только лиц, которым она необходима для выполнения обязательств Принимающей стороны перед Передающей стороной, и только в том случае, если ими приняты обязательства обеспечивать сохранность ставшими им известными Персональные данные на условиях настоящего Соглашения.
2.7. Принимающая сторона обязуется по требованию Передающей стороны предоставлять информацию о состоянии дел по защите персональных данных.
2.8. Принимающая сторона обязуется предоставить по запросу Передающей стороне список своих сотрудников, допущенных к работе с персональными данными.
2.9. Принимающая сторона обязуется не привлекать третьих лиц к обработке персональных данных.
2.10. Принимающая сторона обязуется не распространять и не предоставлять персональные данные третьим лицам, включая своих сотрудников и сотрудников Передающей стороны, не допущенных к работе с персональными данными, без письменного разрешения Передающей стороны, за исключением случаев, предусмотренных действующим законодательством.
2.11. Принимающая сторона обязуется не осуществлять без письменного разрешения Передающей стороны копирование базы персональных данных или ее части, перенос персональных данных на какие-либо материальные носители, а также копирование и тиражирование материальных носителей персональных данных за исключением случаев, предусмотренных целями обработки персональных данных, либо условиями Договора.
2.12. Принимающая сторона обязуется не совершать никаких действий по модификации персональных данных без письменного разрешения Передающей стороны за исключением случаев, когда это предполагается целью обработки персональных данных.
2.13. Принимающая сторона обязуется не производить объединение созданных для несовместимых между собой целей баз данных информационных систем персональных данных.
2.14. Принимающая сторона обязуется по запросу субъекта персональных данных или его законного представителя безвозмездно предоставлять информацию о факте и способах обработки его персональных данных и иную информацию, относящуюся к данному субъекту персональных данных в соответствии с Федеральным Законом от 01.01.2001 г. «О персональных данных».
2.15. Принимающая сторона обязуется совершать по согласованию с Передающей стороной все необходимые корректирующие мероприятия в отношении персональных данных при выявлении недостоверных персональных данных или неправомерных действий с ними.
2.16. Принимающая сторона обязуется незамедлительно сообщить Передающей стороне о допущенном Принимающей стороной, ее Представителями, либо ставшем известным Получающей Стороне факте разглашения или угрозы разглашения, незаконном получении или незаконном использовании переданных персональных данных.
СТАТЬЯ 3.
3.1. Принимающая сторона несет ответственность за действия своих сотрудников, приведшие к раскрытию Персональных данных любым третьим лицам.
3.2. Обязанность по доказыванию факта разглашения Персональных данных, по сбору доказательств, подтверждающих факт разглашения Персональных данных, возлагается на Передающую сторону.
3.3. Любой ущерб, причиненный Передающей стороне, вследствие раскрытия Персональных данных, определяется и возмещается в соответствии с действующим законодательством Российской Федерации .
3.4. Стороны обязуются мирным путем разрешать все споры, противоречия или разногласия, которые могут возникнуть между ними в отношении или в связи с настоящим Соглашением, или исполнением, нарушением, прекращением или недействительностью настоящего Соглашения, однако, если Стороны окажутся не в состоянии достичь согласия, то все споры, противоречия и разногласия подлежат урегулированию в Арбитражном суде в соответствии с действующим законодательством Российской Федерации.
СТАТЬЯ 4
4.1. Передающая сторона передает персональные данные Принимающей стороне согласно Перечню персональных данных (Приложение 1 к Соглашению).
4.2. Персональные данные передаются Принимающей стороне:
На материальном носителе по акту приема-передачи материальных носителей, в котором должны быть зафиксированы вид материального носителя;
С помощью информационной системы общего пользования.
4.3. Настоящее Соглашение о неразглашении Персональных данных не предусматривает какое-либо предоставление права на последующее коммерческое использование Персональных данных.
СТАТЬЯ 5
5.1. Настоящее Соглашение вступает в силу с момента его подписания обеими Сторонами и действует до момента, пока Стороны не заявят о его расторжении. Сторона, расторгающая настоящее Соглашение, обязана уведомить другую Сторону за 30 (тридцать) дней до даты его расторжения. Прекращение срока действия настоящего Соглашения не освобождает Принимающую сторону от обязанности по обеспечению конфиденциальности персональных данных, переданных в рамках настоящего Соглашения.
5.2. Передающая Сторона вправе потребовать от Принимающей стороны вернуть ей переданные персональные данные в любое время, направив Принимающей стороне уведомление в письменной форме. В течение 15 дней после получения такого уведомления Принимающая сторона должна уничтожить по акту переданные ей для осуществления договорной деятельности персональные данные и вернуть все материальные носители с персональными данными, их копии и экземпляры.
5.3. Права и обязанности Сторон по настоящему Соглашению в случае реорганизации какой-либо из Сторон переходят к соответствующему правопреемнику (правопреемникам). В случае ликвидации какой-либо Стороны или по прекращению действия настоящего Соглашения Принимающая сторона должна до завершения ликвидации (до прекращения действия настоящего соглашения) уничтожить по акту переданные ей для осуществления договорной деятельности персональные данные и вернуть все материальные носители с персональными данными, их копии и экземпляры.
5.4. Если Принимающая сторона будет обязана по закону предоставить персональные данные органам государственной власти РФ или органам государственной власти субъектов РФ, либо органам государственной власти иностранных государств, а также иным органам, уполномоченным законодательством требовать предоставления персональных данных, Принимающая Сторона обязана немедленно письменно уведомить об этом факте Передающую Сторону. При этом, Принимающая Сторона обязуется сделать все от нее зависящее для того, чтобы обеспечить конфиденциальность предоставленных персональных данных.
5.5. Дополнения и изменения в настоящее Соглашение могут быть внесены только на основании письменного соглашения, подписанного должным образом уполномоченными представителями Сторон.
5.6. . Настоящим Стороны обязуется не переуступать и не передавать каким-либо иным образом свои права и обязанности, вытекающие из настоящего Соглашения без предварительного письменного согласия другой Стороны.
5.7. Если какое-либо из положений настоящего Соглашения будет признано недействительным, то такая недействительность не будет распространяться на действие остальных положений настоящего Соглашения, либо на всё Соглашение в целом.
5.8. В ПОДТВЕРЖДЕНИЕ ИЗЛОЖЕННОГО ВЫШЕ, Стороны подписали настоящее Соглашение в 2 (двух) экземплярах, имеющих равную юридическую силу, по одному для каждой из Сторон, в указанном выше месте и в указанную выше дату.
6.Юридические адреса и платежные реквизиты сторон:
Передающая сторона: | Принимающая сторона: |
На уровне документов взаимоотношения субъекта и оператора выглядят так: субъект дает согласие на обработку персональных данных, а оператор принимает на себя обязательство о неразглашении. Данная схема распространяется и на трудовые отношения, в которых субъектом выступает работник, а оператором — работодатель.
Для чего нужен и когда пишется
Документ предназначен для того, чтобы работодатель мог обозначить ответственность и при выявлении нарушений привлечь к ней работников, которые имеют доступ к личным сведениям коллег. Количество людей, в чьи обязанности входит обработка и неразглашение , может различаться. Если в малых организациях все ограничивается лишь главным бухгалтером, то в средних и крупных компаниях сотрудники, работающие с личной информацией, числятся в структурных подразделениях:
- бухгалтерия;
- отдел персонала;
- отдел информационных технологий;
- отдел продаж или отдел обслуживания (если речь идет об информации о клиентах).
Список может быть расширен в зависимости от специфики и структуры организации. Таким образом, в пакет типовых кадровых документов работодателя должна входить форма обязательства о неразглашении персональных данных. Оптимальный срок для подписания этого документа ответственными лицами — в момент приема на работу.
Что по этому поводу говорит закон
Статья о неразглашении персональных данных (ст. 7) содержится в федеральном законе от 27.06.2006 . Однако просто существование закона «О защите персональных данных» еще не дает права работодателю по умолчанию накладывать ответственность на сотрудников, имеющих доступ к личным сведениям. Необходимость оформления обязательства о неразглашении информации продиктована Постановлением Правительства от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». Согласно пункту 6 Постановления, «Лица, осуществляющие обработку… данных… должны быть проинформированы о факте обработки ими персональных данных, …а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами…». Кроме того, обязательной к исполнению мерой по защите личной информации является назначение приказом лиц, ответственных за обработку (ч. 1 ст. 22.1 Закона № 152-ФЗ).
Образец обязательства о неразглашении персональных данных работников
Образец приказа о неразглашении персональных данных
Ответственность за нарушение
Ст. 24 федерального закона № 152-ФЗ гласит, что нарушение правил обращения с личной информацией влечет за собой ответственность, установленную законодательством Российской Федерации. Характер ответственности конкретизируется в ст. 13.14 КоАПРФ: «Разглашение информации влечет наложение административного штрафа на граждан в размере от 500 до 1000 рублей; на должностных лиц — от 4000 до 5000 рублей». В феврале 2017 года в текст документа внесены поправки, в соответствии с которыми штрафы увеличены и составляют: от 1000 до 3000 рублей для граждан, от 5000 до 10 000 рублей — для должностных лиц и от 30 000 до 50 000 рублей — для юридических лиц.
