Компания ГАРАНТ

В целях соблюдения Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" работодателем (медицинское учреждение) работнику, который имеет доступ к персональным данным граждан (пациентов), было предложено подписать обязательство (соглашение) о соблюдении конфиденциальности персональных данных. Работник отказался подписать данное обязательство. Какие меры воздействия может применить работодатель, учитывая то, что работника невозможно перевести на другую работу, исключающую доступ к персональным данным?

Отношения, связанные с обработкой персональных данных, регулируются Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных) и принятыми на его основании нормативными правовыми актами.

В соответствии с ч. 1 ст. 7 Закона о персональных данных операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением предусмотренных законодательством случаев. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий (ч. 1 ст. 19 Закона о персональных данных).

Принятыми на основании Закона о персональных данных нормативными правовыми актами предусмотрены определенные требования, направленные на защиту персональных данных, в рамках отношений между оператором персональных данных и его работниками.

Согласно п. 14 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденного постановлением Правительства РФ от 17.11.2007 N 781, лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного оператором или уполномоченным лицом. Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов РФ, а также локальными правовыми актами организации (при их наличии) (п. 6 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства РФ от 15.09.2008 N 687).

Как видим, законодательство о персональных данных не предусматривает необходимости подписания работниками оператора персональных данных какого-либо документа (соглашения, обязательства) об обеспечении конфиденциальности таких данных и, соответственно, не устанавливает санкций на случай уклонения работника от подписания подобного документа.

Часть третья ст. 57 ТК РФ допускает возможность включения в трудовой договор условия о неразглашении охраняемой законом тайны (государственной, служебной, коммерческой и иной). Однако, как и любое иное условие трудового договора, оно включается в договор по соглашению между работником и работодателем (ст. 56 ТК РФ). Следовательно, работник не может быть понужден к принятию такого условия.

Вместе с тем следует иметь в виду, что в соответствии с ч. 5 ст. 9 Федерального закона от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации" информация, полученная гражданами (физическими лицами) при исполнении ими профессиональных обязанностей или организациями при осуществлении ими определенных видов деятельности (профессиональная тайна), подлежит защите в случаях, если на эти лица федеральными законами возложены обязанности по соблюдению конфиденциальности такой информации. Статьей 61 Основ законодательства Российской Федерации об охране здоровья граждан от 22.07.1993 N 5487-I предусмотрена обязанность по обеспечению конфиденциальности сведений, составляющих врачебную тайну, лицами, которым соответствующие сведения стали известны при обучении, исполнении профессиональных, служебных и иных обязанностей. К врачебной тайне относятся любые сведения, полученные при обследовании и лечении гражданина, в том числе и персональные данные пациента (смотрите п. 1 ст. 3 Закона о персональных данных).

Таким образом, медицинские работники в силу указания закона, независимо от принятия ими какого-либо самостоятельного обязательства, должны соблюдать врачебную тайну и несут предусмотренную законодательством ответственность за нарушение этой обязанности.

В частности, разглашение охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, является основанием применения к работнику дисциплинарного взыскания, в том числе увольнения по инициативе работодателя (ст. 192, пп. "в" п. 6 части первой ст. 81 ТК РФ).

Судебная практика исходит из того, что увольнение работника по пп. "в" п. 6 части первой ст. 81 ТК РФ возможно при условии, что работник принял обязательство не разглашать сведения, составляющие охраняемую законом тайну (п. 43 постановления Пленума Верховного Суда РФ от 17.03.2004 N 2 "О применении судами Российской Федерации Трудового кодекса Российской Федерации"). Полагаем, что работник может считаться принявшим на себя такое обязательство не только если он подписал самостоятельный документ (обязательство, соглашение об обеспечении конфиденциальности соответствующей информации), но и в том случае, когда условие о неразглашении конфиденциальной информации содержится в трудовом договоре либо должностной инструкции, ссылка на которую имеется в трудовом договоре и с которой работник ознакомлен под роспись. В целях формирования доказательственной базы на случай возникновения судебного спора работодатель может составить акт произвольной формы, отразив в нем факт ознакомления работника с его обязанностями, касающимися обеспечения конфиденциальности информации, а также факт отказа работника от подписания соответствующего документа (обязательства, соглашения).

В случае нарушения конфиденциальности информации работник может быть привлечен также к публично-правовой ответственности - административной (ст. 13.11, 13.14 КоАП РФ), а в определенных случаях и уголовной (ст. 137 УК РФ).

Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
кандидат юридических наук Акимочкин Дмитрий

Контроль качества ответа:
Рецензент службы Правового консалтинга ГАРАНТ
Барсегян Артем

13 июля 2011 г.

Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг.