Обязательство о конфиденциальности — это документ, который подписывают сотрудники организации, имеющие доступ к персональным данным. Его цель — зафиксировать, что работник ознакомлен с требованиями законодательства, понимает ответственность и обязуется не разглашать сведения. Такой документ относится к обязательным локальным актам по ФЗ-152, и Роскомнадзор всегда проверяет его наличие.
Что должно быть в обязательстве о конфиденциальности:
- Реквизиты работника — ФИО, должность.
- Основание для доступа к ПДн (например, выполнение трудовых обязанностей).
- Перечень обязанностей сотрудника:
- сохранять конфиденциальность ПДн, к которым он получил доступ;
- использовать ПДн только в служебных целях;
- не передавать данные третьим лицам без разрешения;
- соблюдать установленные в компании правила защиты ПДн;
- сообщать руководству об утечках или подозрительных случаях.
- Ответственность за нарушения — с отсылкой к ФЗ-152 и ТК РФ.
- Подтверждение ознакомления — сотрудник подписывает документ и указывает дату.
Обоснование по законодательству
- Ст. 18.1 ФЗ-152 — оператор обязан ограничивать доступ к ПДн и фиксировать порядок работы с ними.
- Ст. 19 ФЗ-152 — оператор должен предотвращать неправомерный доступ к ПДн.
- Ст. 90 ТК РФ — работники обязаны хранить в тайне ПДн, ставшие им известными в связи с трудовой деятельностью.
- Ст. 81 ТК РФ — за нарушение правил обращения с ПДн возможно увольнение.
Позиция Роскомнадзора
При проверках РКН запрашивает у организаций не только наличие обязательств, но и их содержание. В одном случае компания представила документ без упоминания об ответственности за нарушение, и это было признано нарушением. В другом — обязательства были оформлены грамотно, с чётким перечнем обязанностей, и проверка не выявила претензий.
Что важно учитывать
- Обязательство должно быть персональным документом, подписанным каждым сотрудником.
- В документе нужно указать отсылки к законодательству и внутренним актам компании (например, Политике по ПДн).
- Для систематизации рекомендуется вести журнал учёта подписанных обязательств.
- Документ должен храниться в кадровой службе или у ответственного за ПДн.
Рекомендации и выводы
Да, обязательство о конфиденциальности — это обязательный документ по ФЗ-152. Чтобы составить его правильно:
- Укажите обязанности работника и правила работы с ПДн.
- Зафиксируйте ответственность за нарушения.
- Сошлитесь на ФЗ-152 и внутренние локальные акты.
- Обеспечьте подписание каждым сотрудником и ведите учёт.
Компания ICTech подготовит для вашей организации грамотные обязательства о конфиденциальности, учитывающие требования ФЗ-152 и практику проверок Роскомнадзора. Мы включим их в пакет документов, чтобы защита ПДн была комплексной и проверяющей стороне не к чему было придраться.
