Обязательство о неразглашении персональных данных работников

Включайте в соглашение любую информацию, которую считаете важной

Соглашение часто включает широкое определение конфиденциальной информации, которую можно передать в рамках этого документа. В целом такой подход защищает раскрывающую сторону и не противоречит закону. Тем более что нет единого акта, который описывал бы все виды конфиденциальной информации. Обычно такой информацией признают сведения:

  • о персональных данных, кроме сведений, которые распространяют СМИ в установленных законом случаях;
  • о профессиональной деятельности, когда доступ к таким сведениям ограничен в соответствии с Конституцией и федеральными законами. Это врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных сообщений;
  • о коммерческой деятельности, в том числе финансовой отчетности, контрагентах, когда доступ к такой информации ограничен ГК и федеральными законами;
  • о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.

Сторонам соглашения нужно обеспечить возможность идентифицировать информацию, которую передают в рамках соглашения. В большинстве случаев факт передачи информации закрепляют в акте приема-передачи. Заодно отдают материальные носители: flash-карты, CD-диски, загружают файлы на портал для обмена данными или отправляют материалы по почте.

Нельзя защитить информацию, которую раскрывающая сторона не защищает как конфиденциальную. Например, требование возместить убытки в случае разглашения не удовлетворят, если его предъявит лицо, которое не принимало меры по соблюдению конфиденциальности информации.

Уголовная ответственность

Уголовная ответственность наступает в том случае, если были разглашены личные данные человека, создавшие угрозу его частной жизни, затронули его безопасность или предоставили для общего доступа сведения, которые не подлежат огласке и охраняются законами РФ. За подобные деяния отвечает статья 137 Уголовного Кодекса, именуемая «нарушение неприкосновенности частной жизни», которая включает в себя три пункта:

Часть первая статьи 137 УК РФ. Рассматривает незаконный сбор сведений о личной жизни гражданина, распространение этой информации, а так же распространение личных и семейных тайн гражданина посредством выступлений либо произведений для массовой демонстрации. Наказывается:

  • Штрафом до 200 000 рублей;
  • Штрафом в размере дохода виновного за полтора года;
  • Обязательными работами до 360 часов;
  • Исправительными работами сроком до года;
  • Принудительными работами на 2 года;
  • Четырьмя месяцами ареста;
  • Двумя годами лишения свободы.

Часть вторая статьи 137 УК РФ. Рассматривает все то же преступление но с той оговоркой, что информация была получена или распространена с помощью служебного положения виновного. Наказывается следующими способами:

  • 100 000 – 300 000 рублей штрафа;
  • 4 года принудительных работ;
  • 6 месяцев ареста;
  • До 4 лет лишения свободы;
  • Лишение права заниматься определенным видом деятельности, дающим полномочия, на срок до 5 лет.

Часть третья статьи 137 УК РФ. Она так же рассматривает распространение сведений публичным путем, но затрагивает только те данные, которые касаются преступлений, совершенных по отношению к несовершеннолетнему. А также совершенных путем причинения значительных физических или моральных страданий. То есть эта часть рассматривает распространение любых сведений, касающихся значительных преступлений и их влияния на личность потерпевшего. Наказанием будут выступать:

  • Штраф от 150 000 до 300 000 рублей;
  • Штраф в размере заработка виновного за период до 3х лет;
  • До 5 лет принудительных работ;
  • До 6 месяцев ареста;
  • До 5 лет лишения свободы;
  • Запрет на ведение деятельности, дающей определенные полномочия, на срок до 6 лет.

О чем всегда забывают при подготовке документации?

Еще один широко распространенный и не менее важный вид нарушений связан с документацией в области обработки персональных данных. Дело в том, что для полного соответствия требованиям Закона № 152-ФЗ и подзаконных актов организациям нужно иметь огромное количество документов, в иерархии которых не просто разобраться. Как показывают результаты проверок Роскомнадзора, компании допускают три основных нарушения в этой области:

  • отсутствует большая часть необходимой документации;
  • документация не актуализируется на постоянной основе (например, при изменениях процессов обработки персональных данных);
  • не заполняются типовые формы документов (перечни, журналы и др.) в соответствии с внутренней документацией организации.

Как же сформировать полный комплект документов, чтобы пройти проверку без нареканий со стороны представителей регулятора? Работа с персональными данными в любой организации начинается с верхнеуровневого документа, определяющего общие требования, то есть политики. При ее разработке полезно изучить рекомендации Рекомендации Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 31 июля 2017 г.

Среди документов второго уровня в иерархии можно выделить следующие:

  1. Положение об обработке персональных данных. Его можно разработать как отдельно для работников и остальных субъектов данных, так и в виде единого документа. Я рекомендую выбирать второй вариант и не забывать, что с документом нужно ознакомить каждого работника под подпись;
  2. Регламент обработки обращений от субъектов персональных данных / Роскомнадзора;
  3. Регламент проведения внутренних проверок в части соблюдения требований Закона № 152-ФЗ и подзаконных актов в области обработки персональных данных;
  4. Методика оценки вреда субъектам персональных данных. По моей практике, компании крайне редко разрабатывают этот документ, хотя он необходим для успешного прохождения проверки Роскомнадзора;
  5. Иные документы.

Для наглядности иерархическая структура необходимых документов представлена на схеме:

Рис. Иерархическая верхнеуровневая схема документов оператора персональных данных

Список внушительный, не говоря о том, что в этой колонке я не рассматриваю документы по защите персональных данных по требованиям ФСТЭК и ФСБ России

Но и это еще не все: организациям, в которых планируется проверка Роскомнадзора, также следует обратить внимание на подготовку справок по различным вопросам. Например, это может быть информация по обработке данных уволенных работников, справка об обработке биометрических данных и не только

Например, в моей практике был случай, когда компании пришлось подготовить суммарно порядка 200 справок по разным вопросам обработки персональных данных. Так что этот вопрос лучше продумать заранее.

Признаки уголовно наказуемого деяния по статье 137 УК РФ

Согласно диспозиции ст. 137 УК РФ уголовная ответственность за разглашение персональных данных наступает в случае, если одновременно имеют место:

  • незаконность сбора и (или) распространения информации;
  • отсутствие согласия ее носителя на сбор или разглашение. 

При этом норма предусматривает так называемую альтернативную диспозицию, признавая уголовно наказуемым, помимо указанных выше действий, также распространение сведений о частной или семейной жизни человека посредством СМИ, в публичном выступлении или публично демонстрирующемся произведении (в том числе художественном).

Иными словами, публичность не является обязательным признаком преступления, это всего лишь его частный случай. Для наступления уголовной ответственности достаточно передачи конфиденциальных данных 1 лицу.

На этот счет существует весьма обширная судебная практика. В частности, апелляционным определением судебной коллегии по уголовным делам Тамбовского областного суда от 20.08.2015 по делу № 33-2375/2015 оставлен без изменения обвинительный приговор по ч. 2 ст. 137 УК РФ в отношении врача-нарколога, сообщившего сведения о диагнозе пациента третьему лицу. 

Квалифицирующие признаки 

Отягченные составы ст. 137 УК РФ содержатся во 2-й и 3-й ее частях.

Так, ч. 2 предусматривает ответственность за разглашение конфиденциальной информации о личности лицом, использовавшим для этого свое служебное положение. В качестве примера вновь можно привести врача, нарушившего врачебную тайну.

Для квалификации преступления по ч. 2 ст. 137 УК РФ решающее значение имеет содержание нормативно-правовых актов, регламентирующих профессиональную деятельность виновного. Например, в силу ФЗ «Об охране здоровья граждан в РФ» от 21.11.2011 № 323-ФЗ врачебную тайну составляют абсолютно любые данные об обращении за медицинской помощью, диагнозе, ходе и результатах обследования и лечения и т. д. 

Важно! Соблюдать эти сведения в тайне обязаны все лица, располагающие ими в связи с исполнением своих служебных обязанностей. То есть наказать за незаконное разглашение такой информации можно не только врача, но и любого другого сотрудника медучреждения, включая средний и младший медперсонал. . Ч

3 ст. 137 УК РФ содержит санкции за разглашение данных о несовершеннолетних, которым не исполнилось 16 лет. Однако возраст потерпевшего — не единственное условие для наступления ответственности по этой части нормы. Квалификация зависит от характера распространенной информации, способа и последствий ее разглашения

Ч. 3 ст. 137 УК РФ содержит санкции за разглашение данных о несовершеннолетних, которым не исполнилось 16 лет. Однако возраст потерпевшего — не единственное условие для наступления ответственности по этой части нормы. Квалификация зависит от характера распространенной информации, способа и последствий ее разглашения.

Так, в качестве обязательного признака ч. 3 ст. 137 УК РФ предусматривает разглашение сведений о подростке посредством СМИ, публичного выступления, информационно-телекоммуникационных сетей (включая интернет). При этом распространяемая информация должна выражаться в описании страданий несовершеннолетнего, понесенных им в связи с совершением в отношении него преступления, или нести иные сведения по уголовному делу, в котором подросток выступает одной из сторон.

И еще одно обязательное условие: в результате нарушения неприкосновенности частной жизни ребенку был причинен физический или моральный вред (психическое расстройство, вред здоровью) либо наступили другие тяжкие последствия. 

У судов нет единой позиции по поводу формулировки «иные тяжкие последствия»:

  • Так, например, Верховный суд Республики Саха (Якутия) в своем апелляционном постановлении от 22.12.2015 № 23-2013 счел верной квалификацию действий подсудимого по ч. 3 ст. 137 УК РФ в ситуации, когда последствия разглашения информации о несовершеннолетнем выразились в причинении значительного ущерба его законным представителям.
  • В то же время апелляционное определение Архангельского областного суда от 16.11.2015 № 15-2015 содержит диаметрально противоположный вывод относительно практически аналогичного случая. Апелляционная инстанция переквалифицировала действия фигуранта на ч. 1 ст. 137 УК РФ. 

Что говорят суды?

1. В Постановлении от 3 июля 2015 г. по делу № А56-72074/2014 Тринадцатый арбитражный апелляционный суд отметил, что если в отношении предмета договора установлена коммерческая тайна, то должны быть соблюдены требования ст. 10 Закона о коммерческой тайне. Из материалов дела следует, что стороны заключили NDA, но требования указанной статьи были проигнорированы полностью. Как следствие – неприменимость режима защиты конфиденциальной информации к предмету соглашения.

Аналогичная ситуация отражена в Постановлении Суда по интеллектуальным правам от 16 ноября 2017 г. № С01-922/2017 по делу № А33-28905/2016. СИП поддержал выводы судов первой и апелляционной инстанций о неприменимости к сведениям режима коммерческой тайны, поскольку не были приняты меры, установленные ст. 10 Закона о коммерческой тайне.

2

Отдельно стоит обратить внимание на Апелляционное определение Судебной коллегии по гражданским делам Московского городского суда от 24 июня 2019 г. по делу № 33-26791/2019, которое посвящено трудовым отношениям

Согласно материалам дела, организация обратилась в суд с иском к работнику о взыскании денежных средств за нарушение NDA. Суд в удовлетворении требований отказал. Мотивировал это решение он тем, что ст. 238 ТК РФ содержит положения, устанавливающие материальную ответственность работника за ущерб, причиненный работодателю, но эта норма не предусматривает ответственность за разглашение конфиденциальной информации в виде штрафа. Дополнительные условия трудового договора, ухудшающие положение работника по сравнению с установленным трудовым законодательством и иными нормативными правовыми актами, содержащими нормы трудового права, не допускаются. В связи с этим включение в трудовой договор условия о взыскании штрафа за нарушение NDA противоречит трудовому законодательству и применению не подлежит.

Таким образом, заключение NDA в рамках трудовых отношений ограничивается нормами трудового права в силу зависимого положения работника и принципа преимущества слабой стороны.

3. Далее рассмотрим спор о форме внутренних документов, посредством которых вводится режим коммерческой тайны, на примере Решения Тихвинского городского суда Ленинградской области от 15 августа 2019 г. по делу № 2-586/2019. Суд отклонил довод о том, что в организации не был установлен режим коммерческой тайны, поскольку отсутствовал единый локальный акт. По его мнению, указания на режим коммерческой тайны в отдельных локальных актах работодателя и включения условий о таком режиме в трудовой договор достаточно для возложения на работника ответственности за разглашение конфиденциальной информации. Иными словами, в наличии единого документа нет необходимости, поскольку закон такого требования не содержит.

4. Судами также был рассмотрен вопрос о том, как соотносится режим коммерческой тайны с возможностью реализации корпоративного контроля участниками обществ.

В Решении Арбитражного суда Ставропольского края от 6 марта 2018 г. по делу № А63-23435/2017 была дана правовая оценка следующей ситуации: общество при предоставлении документов потребовало от участника подписать NDA, но он отказался. Общество обратилось с иском в суд об обязании участника заключить соответствующее соглашение. Однако суд напомнил обществу о принципе свободы договора и отсутствии обязанности у участника подписывать NDA.

Решение Арбитражного суда Ростовской области от 25 июня 2020 г. по делу № А53-35232/2019 примечательно выводом о том, что даже установление порядка оборота информации, отнесенной обществом к конфиденциальной, не является препятствием для предоставления ее участнику в целях реализации корпоративного контроля над деятельностью общества, учитывая, что законом предусмотрена обязанность участника не разглашать конфиденциальную информацию (п. 2 ст. 67, п. 4 ст. 65.2 ГК РФ) и общество имеет право потребовать выдачи соответствующей расписки от участника (п. 15 Информационного письма Президиума ВАС РФ от 18 января 2011 г. № 14).

Обобщая вышесказанное, можно сделать вывод о том, что процедура введения режима коммерческой тайны установлена законом, требования имеют императивный характер. Кроме того, существуют ограничения для трудовых и корпоративных отношений, сужающие сферу применения NDA. Тем не менее в крупных корпорациях, в том числе российских, принято подписывать NDA. Считается, что заключение такого соглашения оказывает дисциплинирующее воздействие на стороны. Наличие психологического фактора не исключено, однако ценность любого соглашения заключается в его юридической силе. А придать ее NDA удастся только в случае соблюдения всех законодательных требований.

Принципы и условия обработки ПД

Статьи под номерами 5 и 6 в ФЗ-152 гласят о возможных принципах и условиях обработки частных сведений. Постановление предусматривает перечень ситуаций, при которых используют личную информацию, а также регулирует правила обработки.

Согласно законопроекту о персональных данных оператор в своей работе придерживается следующих принципов:

  • частные сведения используются только для заранее оговоренных двумя сторонами задач;
  • составление базы из личной информации невозможно;
  • на использование сведений должны быть основания;
  • обрабатывать исключительно те сведения, которые требует достижение поставленной цели;
  • обрабатываться должна только действующая информация;
  • объемы сведений не превышают разрешенного соглашением показателя;
  • хранение информации не превышает временной промежуток, необходимый для достижения цели;
  • устаревшие сведения подлежат немедленному уничтожению.

Частная информация используется в конкретных условиях:

  • обязательное согласие физического лица;
  • судопроизводство;
  • приведение приговора в исполнение;
  • ситуации, в которых под угрозой жизнь субъекта.

В случаях, если организация возлагает работу по обработке частных сведений на третье лицо, ответственность полностью переходит на компанию, занимающуюся использованием и хранением информации.

Коммерческая конфиденциальная информация

Коммерческая тайна, она же конфиденциальная информация, может включать в себя сведения:

  • о платежах и финансах организации;
  • поставщиках и расчетах с ними;
  • научных разработках;
  • секретах производства (ноу-хау) и т. п.

В ст. 5 закона № 98-ФЗ перечисляются сведения, которые коммерческой тайной быть не могут:

  • то, что записано в учредительных документах и ЕГРЮЛ;
  • лица, имеющие права действовать от имени организации без доверенности;
  • размеры и структура расходов и доходов;
  • факты нарушения законодательства РФ и привлечения к ответственности и т. д.

Согласно ст. 1472 ГК РФ за разглашение секрета производства лицо, сделавшее это, возмещает причиненные убытки.

Ответственность работодателя за нарушение норм регулирующих защиту персональных данных

Законодательством РФ предусмотрено несколько видов ответственности. Нередко к ней привлекают работодателей, так как именно они имеют доступ к личным данным своих работников и могут использовать их в своих целях. Такое преступление будет иметь квалифицирующий признак «использование должностных полномочий», что является отягчающим обстоятельством.

Дисциплинарная ответственность

В качестве дисциплинарной ответственности Трудовым кодексом РФ предусмотрены следующие меры:

  • Предупреждение.
  • Выговор.
  • Увольнение.

В отношении работодателя, то есть непосредственно директора предприятия, применить такие меры на практике непросто, поскольку сам себя он не уволит.

Материальная ответственность

Помимо уже упомянутого иска в гражданский суд о привлечении к ответственности за разглашение персональных данных и взыскании материального ущерба, после жалобы в Инспекцию по труду, работодателя могут оштрафовать по решению данного органа.

Административная ответственность

Данный вид ответственности применяется на основании статьи КоАП 13.11. Размер штрафных санкций в рамках этой статьи зависит от того, кто является нарушителем закона:

  • Гражданина могут оштрафовать на сумму до 3 тысяч рублей.
  • Должностное лицо – до 10 тысяч.
  • Юридическое лицо – до 75 тысяч рублей.

Размер штрафа определяется с учётом обстоятельств дела и размера причинённого ущерба.

Всего в статье 13.11 КоАП РФ семь частей:

  • Часть первая рассматривает запрос и обработку данных, когда этого не требует закон.
  • Часть вторая – обработку данных без письменного согласия владельца.
  • Часть третья – нарушение норм обработки лицом, которое её выполняет с разрешения правообладателя данных.
  • Часть четвёртая – нарушение правил передачи данных или информации об их обработке субъекту.
  • Часть пятая – нарушение сроков работы с данными.
  • Часть шестая касается нарушений, которые привели к утечке информации случайно или умышленно или к иному нарушению безопасности работы с ней.
  • Часть седьмая рассматривает нарушение закона о персональных данных, совершённое сотрудниками муниципальных или государственных органов.

Такая детальная классификация данного рода нарушения позволяет точно определить конкретные санкции, которые могут быть применены к нарушителю.

Уголовная ответственность

К уголовной ответственности за разглашение персональных данных могут привлечь по статье 137 УК РФ «Нарушение ».

За это могут наказать:

  • Штрафом до 200 тысяч рублей (или в размере дохода за полтора года).
  • Обязательными работами на 360 часов.
  • Исправительными работами на год.
  • на 2 года.
  • Арестом на 4 месяца.
  • Лишением свободы до 2 лет.

Вторая часть 137 статьи рассматривает те же преступления, если они были совершены с использованием служебного положения.

За это предусмотрены санкции:

  • Штраф от 100 до 300 тысяч рублей.
  • Принудительные работы до 4 лет.
  • Полгода ареста.
  • Лишение свободы до 4 лет.
  • Запрет заниматься определённым видом деятельности до 5 лет.

Третья часть данной статьи рассматривает распространение персональных данных несовершеннолетних, а также путём причинения значительных моральных или физических страданий.

Накажут виновного:

  • Штрафом на сумму 150-300 тысяч рублей (доход за 3 года).
  • Принудительными работами на 5 лет.
  • Арестом на полгода.
  • Лишением свободы до 5 лет.
  • Запрет на осуществление определённой деятельности в течение 6 лет.

На самом деле защитить свои персональные данные не так уж сложно. Памятка на эту тему:

Персональные данные работников

Система охраны персональных данных на предприятии выстраивается в соответствии с требованиями специального законодательства. Если секретарь выполняет попутно с основными обязанностями и функции кадровой службы, то и организовывать защиту персональных данных предстоит ему.

Главные нормативные документы, которые стоят на страже персональных данных работников:

Трудовой кодекс РФ;

Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (в ред. от 21.07.2014; далее – Федеральный закон № 152-ФЗ).

Наш словарик

Персональные данные – это любая информация, относящаяся к прямо или косвенно определяемому физическому лицу (субъекту персональных данных).

Согласно ст. 3 Федерального закона № 152-ФЗ обработка персональных данных предполагает «любое действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных».

Обратите внимание

Использовать (на языке юристов – обрабатывать) персональные данные человека можно только с его письменного согласия. Как правило, проблем с его получением не возникает. Главное, чтобы в компании хранилось письменное согласие на обработку персональных данных каждого работника. Это тоже является обязательной мерой, которая диктуется законом, и большинство компаний берут такие согласия уже в процессе приема человека на работу.

Забывают часто о другом: за неправомерный сбор и разглашение персональных данных работников работодатель несет ответственность. Но сам работодатель в лице генерального директора оперирует личной информацией своих работников в гораздо меньшей степени, чем кадровики, бухгалтерия и даже его, директора, личный помощник. Их и нужно официально наделить правом обрабатывать персональные данные работников, официально предупредив об ответственности, чтобы в случае утечки найти и наказать виновных. В противном случае ответственность ляжет на плечи директора.

Работников, имеющих доступ к персональным данным, рекомендуется попросить подписать обязательство о неразглашении (Пример 1 ), а в обязательное для каждой организации положение о персональных данных внести пункт о том, что ответственность за неправомерное использование этой информации несет не только руководитель, но и наделенные соответствующими правами работники (Пример 2).

ПРИМЕР 1

Обязательство о неразглашении

Общество с ограниченной ответственностью «Март»

(ООО «Март»)

ОБЯЗАТЕЛЬСТВО

о неразглашении персональных данных

Москва

28.03.2016                                                                                                                                                                       № 35

Я, помощник руководителя ООО «Март» Лебедева Анна Сергеевна, обязуюсь не разглашать персональные данные работников ООО «Март», ставшие известными мне вследствие исполнения должностных обязанностей.

Лебедева А.С. Лебедева

28.03.2016

ПРИМЕР 2

Фрагмент положения о персональных данных организации

7. Ответственность за нарушение норм, регулирующих обработку персональных данных

7.1. Работники Общества, виновные в нарушении порядка обращения с персональными данными, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

7.2. Руководитель Общества за нарушение порядка обращения с персональными данными несет административную ответственность согласно ст. 5.27, 5.39 КоАП РФ, а также возмещает работнику ущерб, причиненный неправомерным использованием информации, содержащей персональные данные об этом работнике.

Оцените статью
Рейтинг автора
5
Материал подготовил
Андрей Измаилов
Наш эксперт
Написано статей
116
Добавить комментарий