Операторы и иные лица обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законом (ст. 7 Закона о персональных данных).
Оператор при обработке персональных данных должен принимать необходимые организационные и технические меры для их защиты от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий (ч. 1 ст. 19 Закона о персональных данных).
Принятыми на основании Закона о персональных данных нормативными правовыми актами установлены определенные требования, направленные на защиту персональных данных, в рамках отношений между оператором таких данных и его работниками.
В пункте 14 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденного постановлением Правительства РФ от 17.11.2007 № 781, сказано следующее. Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного оператором или уполномоченным лицом.
Лица, обрабатывающие персональные данные без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, категориях обрабатываемых персональных данных, а также об особенностях и правилах проведения такой обработки, закрепленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов РФ, а также локальными правовыми актами организации (при их наличии) (п. 6 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства РФ от 15.09.2008 № 687).
Как видим, законодательство не предусматривает необходимости подписывать работниками оператора какой-либо документ (соглашение, обязательство) об обеспечении конфиденциальности персональных данных и соответственно не устанавливает санкций на случай уклонения от подписания подобного документа.
Часть 3 ст. 57 ТК РФ допускает возможность включения в трудовой договор условия о неразглашении охраняемой законом тайны (государственной, служебной, коммерческой и иной). Однако оно, как и любое иное условие трудового договора, включается в договор по соглашению между работником и работодателем (ст. 56 ТК РФ). Следовательно, работник не может быть понужден к принятию такого условия.
Вместе с тем надо иметь в виду, что информация, полученная физическими лицами при исполнении профессиональных обязанностей или организациями при осуществлении определенных видов деятельности (профессиональная тайна), подлежит защите, если на них федеральными законами возложены обязанности по соблюдению конфиденциальности такой информации. На это указано в ч. 5 ст. 9 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Статьей 61 Основ законодательства Российской Федерации об охране здоровья граждан от 22.07.93 № 5487-1 предусмотрена обязанность по обеспечению конфиденциальности сведений, составляющих врачебную тайну. К врачебной тайне относятся любые сведения, полученные при обследовании и лечении гражданина, в том числе персональные данные пациента (п. 1 ст. 3 Закона о персональных данных).
Таким образом, медработники в силу закона независимо от принятия ими какого-либо самостоятельного обязательства должны соблюдать врачебную тайну и нести ответственность за ее разглашение.
Разглашение охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей, служит основанием для применения к нему дисциплинарного взыскания, в том числе увольнения по инициативе работодателя (подп. «в» п. 6 ч. 1 ст. 81 и ст. 192 ТК РФ).
Суд исходит из того, что увольнение работника по данному основанию возможно при условии, что он принял обязательство по неразглашению сведений, составляющих охраняемую законом тайну (п. 43 постановления Пленума ВС РФ от 17.03.2004 № 2). Полагаем, что работник может считаться принявшим такое обязательство не только если он подписал самостоятельный документ (обязательство, соглашение об обеспечении конфиденциальности), но и когда условие о неразглашении информации есть в трудовом договоре либо должностной инструкции, ссылка на которую имеется в трудовом договоре и с которой работник ознакомлен под роспись.
В целях формирования доказательств на случай возникновения спора работодатель может составить акт произвольной формы, отразив в нем факт ознакомления работника с его обязанностями, касающимися обеспечения конфиденциальности информации или отказа от подписания документа (соглашения).