В эпоху цифровой экономики персональные данные (ПДн) стали одним из самых ценных активов любой компании, будь то база клиентов, досье сотрудников или биометрические данные пользователей. Однако, в отличие от обычной коммерческой информации, защита персональных данных жестко регламентируется государством. Нарушение правил работы с ними влечет не только гражданско-правовую ответственность, но и гигантские административные штрафы (которые постоянно растут), а в ряде случаев — и уголовное преследование. Подписание грамотно составленного документа, фиксирующего ответственность работника, — это первая линия обороны бизнеса. Обязательство о неразглашении персональных данных является ключевым документом, который переводит абстрактные требования закона в плоскость личной ответственности конкретного специалиста.
Согласно ст. 87 Трудового кодекса РФ и ст. 18.1 Федерального закона № 152-ФЗ, работодатель обязан не просто ознакомить сотрудника с локальными актами, но и получить письменное подтверждение его обязательств соблюдать режим конфиденциальности в отношении доверенных ему данных. Без этой бумаги привлечь нарушителя к ответственности практически невозможно.
Правовая природа обязательства и отличия от NDA
Многие работодатели совершают критическую ошибку, смешивая понятия коммерческой тайны (Trade Secret) и персональных данных. Они подписывают единый шаблонный NDA (Non-disclosure agreement), полагая, что он закрывает все риски. Это заблуждение. Режим защиты ПДн имеет иную правовую природу. Если коммерческую тайну определяет сам обладатель информации (бизнес), то режим защиты ПДн определен федеральным законом. Обязательство о неразглашении персональных данных должно содержать специфические формулировки, требуемые Роскомнадзором.
Юристы Ви Эф Эс Консалтинг разрабатывают документы, которые четко разделяют эти понятия, обеспечивая максимальную защиту. В тексте обязательства должны быть зафиксированы:
- Конкретный перечень действий, которые работник вправе совершать с данными (сбор, хранение, уточнение, использование, уничтожение).
- Запрет на передачу данных третьим лицам без письменного согласия субъекта или поручения оператора.
- Обязанность немедленно сообщать о любых инцидентах или попытках несанкционированного доступа к базам данных.
- Подтверждение того, что сотрудник ознакомлен с Политикой обработки ПДн и другими внутренними регламентами.
Процедура оформления допуска сотрудника
Подписание бумажки — это финальный этап. Ему должна предшествовать процедура оформления допуска. Просто так дать доступ к CRM-системе менеджеру, не оформив это документально, — значит подставить компанию под удар. Процесс должен быть выстроен следующим образом:
- Определение круга лиц. Издается приказ (или утверждается Перечень должностей), замещение которых предусматривает доступ к ПДн. Доступ должен быть обоснован трудовой функцией.
- Обучение и инструктаж. Сотрудник должен понимать, что является персональными данными. Для кого-то это ФИО и телефон, для кого-то — cookie-файлы и IP-адреса. Мы рекомендуем проводить краткий экзамен перед подписанием обязательства.
- Техническое ограничение прав. Принцип «Need to know» (знать только то, что нужно для работы) должен быть реализован в IT-системах. Обязательство фиксирует, что сотрудник обязуется не пытаться обойти эти ограничения.
Виды ответственности за нарушение обязательства
Самый частый вопрос от собственников бизнеса: «Что мне даст эта бумага, если базу сольют?». Грамотное обязательство о неразглашении персональных данных — это основание для применения санкций:
Дисциплинарная ответственность
За разглашение охраняемой законом тайны (в том числе персональных данных) работодатель имеет право расторгнуть трудовой договор по подпункту «в» пункта 6 части 1 статьи 81 ТК РФ. Это увольнение «по статье», которое ставит крест на карьере в серьезных структурах. Но для этого нужно доказать, что сведения стали известны работнику в связи с исполнением трудовых обязанностей, и он обязался их не разглашать.
Материальная ответственность
По общему правилу работник несет ограниченную материальную ответственность. Однако, в случае разглашения сведений, составляющих охраняемую законом тайну, наступает полная материальная ответственность (ст. 243 ТК РФ). Это позволяет взыскать прямой действительный ущерб, например, суммы штрафов, которые компания заплатила Роскомнадзору или компенсации морального вреда субъектам данных.
- Юридическая помощь в решении проблемных ситуаций
- Консультации юриста онлайн проводятся Пн-Пт, с 10:00 до 18:00 часов
Уголовная и административная ответственность
Не стоит забывать про ст. 13.11 КоАП РФ (нарушение законодательства о ПДн) и ст. 137 УК РФ (нарушение неприкосновенности частной жизни). Наличие подписанного обязательства позволяет переложить вину с юридического лица (компании) на конкретное должностное лицо, совершившее преступление, что существенно снижает репутационные и финансовые риски для бизнеса.
Актуализация и хранение
Обязательство — документ «живой». Он действует не только в период работы, но и после увольнения (бессрочно или в течение определенного срока, установленного законом). Мы рекомендуем обновлять обязательства при переводе сотрудника на новую должность, изменении законодательства или внедрении новых информационных систем. Храниться такие документы должны в личном деле сотрудника, в защищенном архиве кадровой службы, отдельно от общедоступных документов.
В Ви Эф Эс Консалтинг мы не используем шаблонные решения. Мы анализируем бизнес-процессы клиента, определяем категории обрабатываемых данных (специальные, биометрические, общие) и составляем обязательство, которое выдержит любую проверку контролирующих органов и любую судебную атаку со стороны недобросовестных сотрудников.