Ответы на вопросы
Многие работники образовательной организации в силу должностных обязанностей получают доступ к персональным данным как обучающихся, так и своих коллег. Каким образом урегулировать вопросы неразглашения таких данных?
Вопросы обращения с персональными данными регулируются Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», иными нормативно-правовыми актами, принимаемыми в соответствии с данным федеральным законом, а применительно к трудовым отношениям – также главой 14 ТК РФ.
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (ст. 3 Федерального закона № 152-ФЗ).
Исходя из положений п. 2 указанной статьи образовательная организация является оператором обработки персональных данных. Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом (ст. 7 Федерального закона № 152-ФЗ).
В части соблюдения конфиденциальности и защиты персональных данных обучающихся образовательная организация обязана руководствоваться непосредственно положениями Федерального закона № 152-ФЗ.
Так, в соответствии со статьей 18.1 данного Федерального закона оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных данным Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами.
К таким мерам, в частности, относятся: назначение оператором ответственного за организацию обработки персональных данных; издание документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений; применение правовых, организационных и технических мер по обеспечению безопасности персональных данных; ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
В части обеспечения режима конфиденциальности и защиты персональных данных обучающихся образовательная организация вправе и обязана установить локальными актами правила обработки таких данных, предусмотрев в них соответствующие обязанности работников, в частности, о неразглашении этих данных. Локальными актами может быть предусмотрено, что работники дают письменное обязательство о соблюдении режима конфиденциальности персональных данных обучающихся.
В части обеспечения режима конфиденциальности и защиты персональных данных работников образовательная организация должна исходить из следующих положений ТК РФ:
- порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований ТК РФ и иных федеральных законов (ст. 87);
- нельзя сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных ТК РФ или иными федеральными законами;
- необходимо предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном ТК РФ и иными федеральными законами;
- передача персональных данных работника в пределах одной организации осуществляется в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;
- доступ к персональным данным работников разрешается только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций (статья 88 ТК РФ).
Локальными нормативными актами образовательной организации может быть предусмотрено, что работники, имеющие доступ к персональным данным других работников, дают письменное обязательство о неразглашении таких данных.
Лица, виновные в нарушении положений законодательства РФ в области персональных данных при обработке персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном ТК РФ, иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами (ст. 90 ТК РФ).
Разглашение охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашение персональных данных другого работника, является основанием расторжения трудового договора по инициативе работодателя (подпункт «в» п. 6 ч. 1 ст. 81 ТК РФ).
✱ Ответ опубликован 31.10.2018