Работа с персональными данными. Обзор для бухгалтера

Персональные данные (ПД) — это любая информация, относящаяся к конкретному лицу непосредственно, позволяющая идентифицировать человека.

Ориентирами при работе с персональными данными служат ст. 24 Конституции и закон о персональных данных. На их основе в обязательном порядке разрабатываются «Политика в отношении персональных данных» и «Положение о работе с персональными данными» в каждой организации.

Что относится к персональным данным

К персональным данным относятся:

• фамилия, имя, отчество;
• сведения о регистрации и фактическом месте жительства;
• паспортные данные;
• фото;
• ИНН, СНИЛС;
• дата рождения;
• уровень образования;
• место работы;
• сведения о детях, семейном положении;
• сведения о здоровье;
• уровень дохода;
• номер телефона, электронная почта и прочее.

Принципы работы с персональными данными

Получив персональные данные, бухгалтер осуществляет их обработку. Что это значит? Обработкой ПД признается любое действие, совершаемое с ПД как с использованием специальных программ, так и без использования автоматизированных средств, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, уничтожение персональных данных.

Обработка ПД должна производиться строго в рамках закона, причем с обязательным обеспечение сохранности данной информации. Для обеспечения безопасности работодатель самостоятельно проводит комплекс мероприятий, учитывая требования законодательства.

Это могут быть, например:

• ограничение доступа к личным делам работников строго в рамках списка лиц с доступом;
• назначение ответственного за обработку ПД;
• детализация в трудовых договорах с сотрудниками, которым для работы необходим доступ к ПД, условий о неразглашении такой информации;
• присвоение логина и пароля каждому работнику с доступом на обработку ПД для входа в программы и сервисы, в которых хранится или обрабатывается информация;
• техническое обновление и антивирусная защита баз данных.

Согласно действующему законодательству обработка почти всех персональных данных о человеке должна осуществляться с его письменного согласия. С 1 марта 2021 года оформляется два вида согласия:

• согласие на обработку персональных данных, если ПД не планируется к распространению;
• если планируется передача данных среди неограниченного круга лиц, то оформляется согласие на распространение ПД.

В законе ограничен ряд ситуаций при обработке ПД, когда согласие от работника не требуется:

• для защиты жизни, здоровья и иных интересов работника;
• для достижения общественно значимых целей, если при этом не нарушаются права и свободы самого гражданина, чьи данные используются;
• в статистических, исследовательских целях при условии обезличивания ПД;
• для реализации работодателем обязанностей, возложенных на него законом.

В последнем пункте подразумевается обязанность по передаче ПД во внебюджетные фонды (ПФР, ФСС), трудовую инспекцию, профсоюзы, прокуратуру и правоохранительные органы, налоговую, военкомат и т.д.

Важно не только получить данные в необходимом и достаточном объеме, но правильно и вовремя удалить ПД.

Основополагающим принципом в области обработки персональных данных также является целеполагание. То есть не допускается обработка ПД, несовместимая с целями сбора персональных данных.

Часто при приеме на работу требуют излишнюю информацию, на всякий случай, как говорится: «Пусть будет про запас». Это не законно!

Подписывайтесь на канал «Бумажный мир Делис Архив»

Актуальные новости, законодательство, инструкции и инструменты. Без спама, рекламы или ложной информации.

Подписаться

Что можно и что нельзя хранить в личном деле

Контроль в области защиты ПД осуществляет Роскомнадзор — Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций.

Хотя у коммерческих организаций и предпринимателей являющихся работодателями нет обязанности по формированию личных дел сотрудников(личные дела в обязательном порядке формируются на государственных и муниципальных служащих), многие из-за порядка и удобства все же составляют папки на работников.

При приеме на работу, согласно трудовому законодательству, работодатель проверяет подлинность предъявленных документов (паспорт, СНИЛС, ИНН, военный билет, диплом об образовании, свидетельство о заключении брака, свидетельство о расторжении брака, свидетельства о рождении ребенка и т. п.) и вносит необходимую информацию в личную карточку, вернув документы их владельцу.

Обычной практикой, тем не менее, является сканирование, копирование и хранение копий предъявляемых при приеме на работу документов. Данное обстоятельство может стать в дальнейшем серьезным основанием для штрафа.

Роструд допускает хранение копий при наличии согласия на обработку ПД. В противовес этой позиции Роскомнадзор предупреждает, что хранение копий личных документов — это нарушение. И суды поддерживают такую точку зрения.

Во избежание нарушения закона в личном деле целесообразно хранить только те бумаги, которые были созданы непосредственно в этой компании. В личные дела работников могут подшиваться, например:

• трудовой договор и дополнительные соглашения к нему;
• заявление и приказы о приеме на работу;
• приказы о поощрениях и взысканиях;
• договор об индивидуальной материальной ответственности;
• соглашение о неразглашении сведений, относящихся к тайне;
• докладные и объяснительные записки;
• личная карточка;
• приказ об увольнении;
• согласие на обработку данных.

Каждую дополнительную бумагу подшивают, добавляют в папку, соблюдая хронологический порядок, и составляют опись.

Обязательна ли регистрация в Роскомнадзоре

Каждый работодатель, получая и обрабатывая информацию о своих сотрудниках, является оператором ПД. Существует реестр операторов ПД, регистрация в котором необходима в ряде случаев.

Например, если работодатель получает любую дополнительную информацию о сотрудниках, которую не обязывает собирать ТК (это может быть справка об отсутствии судимости или фотографии). Или если работодатель подаёт данные сотрудников в страховую компанию для оформления полисов добровольного медицинского страхования, или устанавливает видеонаблюдение на рабочих местах. Если работодатель передает ПД в банк для оформления зарплатных карт, регистрация будет необходима.

Для регистрации в качестве оператора ПД в Роскомнадзор следует подать уведомление. Удобно сформировать и подать уведомление через портал Госуслуг. Уведомление можно подать на бумажном носителе лично или по почте, или в электронном формате. Обработка уведомления должна завершиться в течение 30 дней. Роскомнадзор внесет сведения в Реестр операторов персональных данных. Направить уведомление необходимо до начала обработки персональных данных.

Существуют исключительные случаи, когда регистрация в качестве оператора ПД не является необходимой:

• работодатель обрабатывает ПД исключительно в рамках трудового законодательства;
• ПД обрабатываются в связи с заключением договора, стороной которого является субъект персональных данных, при условии, что эти данные не будут распространяться и предоставляться третьим лицам;
• при обработке ПД которые были сделаны субъектом персональных данных общедоступными;
• если ПД включают только Ф.И.О.;
• обрабатываются данные, необходимые для однократного пропуска на территорию организации и т.д.

Даже малейшее нарушение норм работы с ПД приведет к ответственности.

Ответственность за нарушение законодательства о персональных данных

Обработка ПД, несовместимая с целью сбора, влечет ответственность в виде административного штраф:

• от 2 до 3 тыс. для граждан;
• от 10 до 20 тыс. на должностных лиц;
• от 60 до 100 тыс. — на организации.

При повторном нарушении штрафы значительно вырастают: от 4 до 12 тыс. для граждан, от 20 до 50 тыс. на должностных лиц, от 50 до 100 тыс. для ИП, от 100 до 300 тыс. для юр. лиц.

Обработка ПД без письменного согласия субъекта:

• штраф для граждан от 6 до 10 тыс.;
• от 20 до 40 тыс. на должностных лиц;
• от 30 до 150 тыс. на организации.

При повторном нарушении: от 10 до 20 тыс. для граждан, от 40 до 100 тыс. на должностных лиц, от 100 до 300 тыс. для ИП, от 300 до 500 тыс. для компаний.

Если не вовремя (в день обращения или в течение 30 дней с даты запроса) отреагировать на запрос гражданина о его ПД, то штрафа не избежать.

• штраф для граждан составит от 2 до 4 тыс.;
• должностных лиц оштрафуют от 8 до 12 тыс.;
• ИП — от 20 до 30 тыс.;
• организации — от 40 до 80 тыс.

Работник может потребовать удалить его ПД. Если этого не сделать, опять будут штрафы:

• штраф для граждан составит от 2 до 4 тыс.;
• должностных лиц оштрафуют от 8 до 12 тыс.;
• ИП — от 20 до 40 тыс.;
• организации — от 50 до 90 тыс.

При повторном нарушении по этому основанию штрафы значительно выше: для компаний достигают 500 тыс.

Если хранить ПД в базах вне России, штрафы для компаний от 1 млн до 6 млн. При повторном совершении данного правонарушения обойдется компании до 18 млн.

Правила работы с ПД постоянно ужесточаются, игнорировать это обстоятельство не получится. Четкое понимание работы с ПД должно быть у каждого, кто имеет с ними дело, будь то бухгалтер или кадровик. Ведь по большому счету небрежное отношение к персональным данным может нарушить безопасность человека.