Клерк.Ру

Как бухгалтеру выполнять требования закона о персональных данных

Максим Лагутин, эксперт по информационной безопасности, топ-эксперт ИРИ в кластере “Информационная безопасность” и директор Сервиса выполнения закона о персональных данных Б-152

Друзья, у нас для вас приятные новости, Максим Лагутин от Сервиса Б-152 подготовил подарки, которые будут полезны каждому бухгалтеру. Для получения подарка перейдите по ссылке: подробнее о подарках

5 ноября на форуме Клерк.Ру прошла интернет-конференция «Как бухгалтеру выполнить требования Закона “О персональных данных”». На вопросы наших пользователей в режиме онлайн ответил Максим Лагутин, эксперт по информационной безопасности, топ-эксперт ИРИ в кластере «Информационная безопасность» и директор Сервиса выполнения закона о персональных данных Б-152.

 

Почему речь как бухгалтеру выполнить требования закона о персональных данных? На ком лежит ответственность за выполнение этого закона и правильно ли и логично возложение обязанностей по соблюдению закона о персональных данных на бухгалтерию? :) Несет ли персональную ответственность главный бухгалтер за выполнение этого закона? Если в организации несколько отделов которые пользуются персональными данными, то в таком случае на ком ответственность и на кого тогда должны быть возложены обязанности?

Максим Лагутин: Бухгалтер, по мнению руководителей, является тем человеком, который «хранит все персональные данные клиентов и сотрудников» в 1С и имеет необходимую квоту доверия от руководства. Это является важным фактором назначения бухгалтера ответственным за вопрос по соответствию хранения информации Закону о персональных данных.

Помимо этого у большинства компаний малого и среднего бизнеса нет иных сотрудников, которые бы знали все процессы обработки персональных данных внутри организации так, как их знает бухгалтер.

Ответственность лежит на ответственных лицах (ответственном за организацию обработки персональных данных, администраторе безопасности), руководителе и каждом сотруднике, который подписал Обязательство о неразглашении персональных данных.

Если было нарушено одно из требований, за которым следят ответственные лица, то ответственность сначала будет их, потом руководства.

Да, бухгалтер несет ответственность в тех случаях, если назначен ответственным за организацию обработки персональных данных и если нарушил требования по работе с персональными данными, согласно ТК РФ.

В каких случаях необходимо оформлять согласие об обработке персональных данных и что делать если физическое лицо отказывается его подписывать?

Максим Лагутин: Согласие можно не подписывать, если данные обрабатываются в следующих случаях:

  1. обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
  2. обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее - исполнение судебного акта);
  3. обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;
  4. обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
  5. обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
  6. обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
  7. обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
  8. обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;
  9. осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных);
  10. осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
Когда физическое лицо отказывается давать согласие на обработку своих персональных данных, то такому лицу необходимо объяснить, что без его согласия ему не может быть оказана услуга/продан товар. Для всех этих операций потребуются его персональные данные. Как правило, это действует.

Организация использует персональные данные исключительно в целях исполнения трудовых договоров и договоров, в том числе с физическим лицам, связанные с осуществлением нашей коммерческой деятельности (покупки и продажа товаров, работ, услуг, займы). Правильно ли я понимаю, что мы не должны подавать никаких уведомлений в Роскомнадзор (или еще куда-либо) на основании ст. 22 п. 2, подпункты 1 и 2?  Должны ли мы публиковать политику в отношении обработки данных (п. 2 ст. 18.1)

Максим Лагутин: Если в рамках взаимодействия с сотрудниками им не оформляется ДМС, они не посещают курсы повышения квалификации, а данные физических лиц обрабатываются только в целях исполнения договора, без дальнейшей рекламы, то уведомление подавать не требуется.  В иных случаях уведомление подать потребуется. 

Да, должны. Это четкое требование, прописанное в п.2 ст.18.1 Федерального закона №152-ФЗ «О персональных данных».  Если же вы еще собираете персональные данные физических лиц через сайт (например, для заказа ими товаров или услуг), то Политику необходимо разместить в общем доступе на сайте.

Банки регулярно запрашивают данные о бенефициарных владельцах. Это физические лица, на которых мы должны передавать банку персональные данные по 115-ФЗ.  Но что делать, если эти физические лица не дают согласие на обработку их данных, и тем более передачу банку? И то, и другое регулируется федеральными законами. Какой закон приоритетнее?

Максим Лагутин: В данном случае приоритетным будет 115-ФЗ, т.к. согласно п.1 ст.6 152-ФЗ «О персональных данных»: 1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях: … 2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

В вашем случае брать согласие с физического лица для передачи его персональных данных в банки не потребуется.

Какие сроки привлечения к ответственности за нарушения при обработке персональных данных?

Максим Лагутин: Это срок в 3 месяца с момента постановления об административном нарушении. Но в рамках 152-ФЗ компания так же может быть внесена в Реестр нарушителей прав субъектов персональных данных и ее сайт заблокируют в течение нескольких рабочих дней после жалобы физлица и решения Роскомнадзора. В данном случае сроки не установлены.

Нет, вопрос был про другой срок. Вот есть у нас нарушения, например, в октябре, мы их устранили в ноябре. Как долго бояться, что нас накажут за октябрьские нарушения?

Максим Лагутин: За октябрьские не накажут, а только за те, что обнаружатся по факту во время плановых/внеплановых проверок и ответов на уточняющие письма от Роскомнадзора.

Наша организация предоставляет услуги по размещению данных заказчика на наших серверах. При этом мы никак не контролируем, что именно за информацию размещает заказчик, но возможно, что и персональные данные. Считается ли, что мы участвуем в обработке персональных данных и соответственно оператором? 

В ст. 3 152-ФЗ сказано:  3) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Максим Лагутин: В рамках взаимоотношений заказчик-исполнитель, заказчик является оператором персональных данных, а вы обработчиком, осуществляющим обработку персональных данных по поручению оператора. Вы в рамках этих отношений не являетесь оператором, но участвуете в обработке персональных данных.

Вы являетесь оператором персональных данных только для своих сотрудников, кандидатов на вакантную должность и иных физ.лиц, чьи персональные данные вы получаете напрямую или от их законных представителей.

Не очень понятно. Оператор не поручал нам ничего обрабатывать, заказчик размещает свою информацию на наших серверах, мы эту иформацию храним.  В законе не вижу понятия "обработчик", есть "оператор" - тот, кто обрабатывает данные, а обработка данных - это в том числе хранение.  Можем ли мы быть привлечены к какой-то ответственности за нарушение (я не очень понимаю чего, что что-то беспокоит)?

Максим Лагутин: Вы правы, понятия «обработчик» в законе не существует, но именно так, а еще «второй оператор», называют компании, которые обрабатывают персональные данные физических лиц, полученные от контрагентов. 

Отношения «обработчик» - «оператор» регулируются п.3 ст.6 152-ФЗ «О персональных данных»: 

[I]3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных  данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со*статьей 19*настоящего Федерального закона.[/I] 

За нарушение или невыполнение требований законодательства в области персональных данных предусмотрена уголовная ответственность сроком до 4 лет, исправительные работы, штраф до 300 тыс. рублей, запрет занимать руководящие должности до 3 лет и блокировка сайта. 

Причем последняя ответственность может быть наложена без проведения проверки, а лишь на основании жалобы физического лица.

Обязана ли организация предоставлять данные о сотрудниках (не только руководителе) в "контролирующие" органы, например ФНС, ОБЭП, ОРЧ и т.д. и т.п.? Должны ли сотрудники в случае такого запроса давать свое согласие? Ответственность за непредоставление?

Максим Лагутин: Уточните, пожалуйста, в рамках проверочных мероприятий, отчетности или в каких-то иных случаях?

1. Получили субсидию. В рамках проверки комитета финансов, нашу организацию пригласили для дачи пояснений. Затребовали сведения об акционерах и сотруднике, который занимался получением субсидии. 2. В ОБЭП поступил сигнал, что якобы у предприятия установлены не лицезионные программы. Затребовали сведения по системному администратору. 3. Счета фактуры подписывает доверенное лицо, на него ФНС при проверке затребовала все сведения. Должны ли сотрудники предприятия давать разрешение на предоставление о них сведений (персональных данных)?

Максим Лагутин:

  1. Самым лучшим будет уточнить у них основание для запроса этих персональных данных. Сошлитесь на то, что вам это необходимо для исполнения 152-ФЗ. Скорее всего, их требования небезосновательны.
  2. В законодательном акте, регулирующем деятельность ОБЭП, есть положения, которые дают им такие полномочия. Поэтому они и имеют право запрашивать сведения о сисадмине.
  3. Рекомендую в согласие на обработку персональных данных сотрудников вписать также согласие на передачу этих персональных данных третьим лицам. Тогда такие вопросы будут сняты в дальнейшем.

Когда работник устраивается на работу, его данные попадают к работодателю, однако работодатель в этом случае никакой обработкой (в смысле закона "О ПД") не занимается и оператором не является и уведомлять никого не должен. Верно ли это? Работодатель в соответствии с законом о бухучете вправе нанять стороннюю фирму для ведения бухучета (в т.ч. для учета зарплаты и кадрового учета). Сторонняя бухгалтерская фирма тоже ведь не является никаким оператором и не должна подавать никакие уведомления, т.к. она просто взяла на себя функции бухгалтера. Никаких операций с ПД, кроме требуемых по закону ля расчета з/п и сдачи отчетности не ведет. Если ваш ответ: "нет, бухфирма - оператор", то получается, что работодатель в этом случае должен получить согласие каждого работника на заключение договора с бухфирмой? А это уже нарушение прав работодателя. И как быть, если кто-то из работников не согласен? Послать его или закон? Или может еще проще: платить этому работнику зарплату обезличенно, и отчетность сдавать также?

Максим Лагутин: Согласно закону «О персональных данных», оператором персональных данных является государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Если говорить об описанном вами случае, то работодатель, ставя своей целью обработку персональных данных своих сотрудников, является оператором персональных данных для них (сотрудников). А обработкой он занимается, поручив ее вам.

В отношениях, когда вам работодатель поручает обработку персональных данных, вы являетесь обработчиком таких персональных данных. Но вы также являетесь и оператором, если у вас есть собственные сотрудники и кандидаты на вакантную должность, когда вы закрываете вакансию.

Важно! Подача или не подача уведомления в Роскомнадзор не является фактом того, что вы являетесь или не являетесь оператором ПДн. Компания им является, если ставит своей целью обработку персональных данных, сама их обрабатывает или поручает их обработку третьему лицу (например, бухгалтерской организации).

Мой совет по поводу подачи уведомления следующий – лучше уведомление подать, чем не подавать. Подача уведомления не несет никаких рисков, компании проверяются на соответствие закона независимо от того, подано уведомление или нет, т.к. критерии проверок совершенно иные. А вот неподача уведомления может нести риски, если Роскомнадзор пришлет письмо с просьбой обосновать неподачу уведомления, или, что еще хуже, задаст этот вопрос во время плановой или внеплановой проверки.

Уведомление можно подавать, если ПДн обрабатываются только для соблюдения ТК РФ. Но если еще обрабатываются ПДн кандидатов на вакантную должность (Роскомнадзор очень тщательно это проверяет) или же работникам оформляется ДМС, они отправляются на курсы повышения квалификации, то это уже не относится к ТК РФ и уведомить необходимо.

Бухфирма является оператором только в отношении своих сотрудников и кандидатов на вакантную должность. Согласие на заключение договора брать не требуется, т.к. такого понятия нет в законодательстве по ПДн.

Кто будет проверять, соблюдаем ли мы требования этого Закона? Есть какие-то отдельные проверки по этой теме?

Максим Лагутин: Выполнение требований по обработке и защите персональных данных проверяют три государственных органа:

  1. Роскомнадзор
  2. ФСТЭК России
  3. ФСБ России
Первый проверяет соблюдение основных требований обработки персональных данных и соблюдение прав субъектов персональных данных. ФСТЭК и ФСБ проверяют техническую защиту, применение биометрических персональных данных и криптографии.

ФСТЭК и ФСБ проводят мало проверок и, как правило, крупного бизнеса или гос.компаний. Роскомнадзор же осуществляет несколько тысяч плановых, и еще больше внеплановых проверок в год. О плановой проверке можно узнать из плана проверок, который выложен в общем доступе по адресу - http://rkn.gov.ru/plan-and-reports/contolplan/. О внеплановой проверке уведомляют примерно за сутки до ее проведения. Она может быть инициирована Роскомнадзором, прокуратурой или жалобой физического лица.

Должны ли мы кому-то сообщить, что работаем с персональными данными? Я слышала, что нужно сообщать в Роскомнадзор, но формы отчетности такой не нашла.

Максим Лагутин: В большинстве случае в Роскомнадзор необходимо подать уведомление об обработке персональных данных. 

Подается оно через сайт Роскомнадзора по адресу - http://pd.rkn.gov.ru/operators-registry/notification/form/

Все исключения, когда подача уведомления не требуется, перечислены в ст.22 Федерального закона №152-ФЗ «О персональных данных».

Но по нашему опыту лучше подать уведомление, чем его не подавать. Подача уведомления не несет никаких рисков, компании проверяются на соответствие требованиям закона независимо от того, подано уведомление или нет, т.к. критерии прихода проверок совершенно иные. А вот неподача уведомления может нести риски, если Роскомнадзор пришлет письмо с просьбой обосновать неподачу уведомления, или, что еще хуже, спросит это во время плановой или внеплановой проверки.

Веду ИП на УСН. В штате числится 10 работников. На какие моменты при работе с персональными данными стоит обратить внимание?

Максим Лагутин: В целом все требования закона можно разделить на 3 группы: 

1. Назначить ответственных лиц и подготовить пакет организационно-распорядительной документации.

2. Взаимодействие с различными сторонами:

  • подписать с сотрудниками согласия на обработку персональных данных и обязательств о неразглашении персональных данных;
  • подписать с иными физлицами согласие на обработку персональных данных;
  • подписать с контрагентами, кому передаются персональные данные или от кого они получаются, соглашение об обеспечении безопасности персональных данных, переданных на обработку;
  • подача уведомления в Роскомнадзор.
3. Применить средства технической и организационной защиты персональных данных.

Важно выполнить хотя бы первые 2 группы требований, ведь с ними риск попасть на проверку и на штрафы сильно больше, т.к. это проверяет Роскомнадзор.

Наша организации (ООО) оказывает услуги по предоставлению услуг доступа к сети Интернет в небольшом поселке. У нас около 500 абонентов. Со всеми договоры с указанием персональных данных. Какие изменения для нас произошли в 2015 году?

Максим Лагутин: Самые главные изменения в этом году произошли в плане обязательств хранить персональные данные граждан РФ в России, введению реестра операторов персональных данных и блокировки сайтов.

В связи со вступившими в силу изменениями мы рекомендуем обновить Регламент по взаимодействию с органами государственной власти в сфере персональных данных и Регламент по работе с запросами субъектов персональных данных, чтобы нивелировать возможность блокировки вашего сайта по жалобе физлица.

Также если ранее вы не издавали или не публиковали на сайте Политику в отношении обработки персональных данных, то самое время это сделать.

В скором времени грядет ужесточение штрафов и только за отсутствие такой политики будет предусмотрен штраф в 50 000 рублей.

И последний шаг: необходимо подать, если вы ранее не подавали, уведомление в Роскомнадзор, или переподать его с указанием сведений о местонахождении баз  персональных данных. Это также требование новых изменений.

Какие сроки установлены для хранения персональных данных? Может ли физическое лицо ограничить срок хранения своих персональных данных? Если существует такое ограничение и оно меньше срока хранения бух документов, каким образом должна поступить бухгалтерия?

Максим Лагутин

Персональные данные могут храниться и обрабатываться до того срока, который вы укажете в согласии на обработку персональных данных работника или во внутренних документах (как правило, только в перечне обрабатываемых персональных данных). Сроки же архивного хранения устанавливаются подзаконными актами.

Хороший вопрос. Да, физическое лицо может ограничить срок хранения своих персональных данных. Для этого он просто отзывает свое согласие на обработку персональных данных или просит уничтожить его персональные данные.

Если обработка его персональных данных (в т.ч. хранение) требуется законодательством, то физическому лицу можно отказать в удовлетворении его прав. Вы можете разъяснить сотруднику, чем ему грозит прекращение обработки персональных данных (невозможность предоставить отпуск, невозможность выплатить  заработную плату, невозможность повысить в должности или оказать ему услугу в полном объеме и т.д.).

Если это не сотрудник, и услуга разовая, и после ее окончания физическое лицо просит удалить свои персональные данные, как быть с бух регистрами и бух документами?

Максим Лагутин: Спасибо за уточнение. Если в договоре не прописан срок договора и обработки его данных, то одни документы будут храниться согласно закону об архивном хранении, а другие должны быть уничтожены. Роскомнадзор за этим следит весьма тщательно.

Я тот самый бухгалтер, которому таки поручили заниматься персональными сведениями. Ну, я вроде закон изучила, но есть сомнения по следующему пункту. В каком виде мне работники должны давать согласие на обработку персональных данных? Достаточно ли будет мне сделать специальную форму, а они будут вписывать туда свои ФИО и расписываться?

Максим Лагутин: В п.1 ст.9 152-ФЗ «О персональных данных» есть такое утверждение:

…Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт  его получения форме, если иное не установлено федеральным законом…

Исходя из него, вы можете брать согласие в том виде, что вы сказали. На практике мы советуем создать шаблон, как вы это и делаете, но такой, чтобы работник  указывал там еще и паспортные данные для более точного подтверждения того, что это он дал данное согласие.

Как конкретно проходит проверка от Роскомнадзора? Никого из моих знакомых еще не проверяли. Какие документы попросят предоставить? Им нужно их будет отвезти или проверяющие навестят нас лично?

Максим Лагутин: Вас заранее предупреждают о проверке (обычно за сутки до проверки). Роскомнадзор делает чаще всего выездные проверки, но бывают и документарные, когда  ведомство просто просит выслать ему документы.

Точного списка запрашиваемых документов нет, обычно делаются общие формулировки, но специалисту их легко понять. Также при каждой проверке проверяются абсолютно разные вещи, т.к. все зависит от проверяющего.

Пример протокола взаимодействия с Роскомнадзором в рамках проверки с перечнем необходимой для предоставления им информации вы можете посмотреть тут - http://b-152.ru/Protokol_pri_proverke_Roskomnadzora.pdf

_____________________________________________________

Для каждого пользователя Клерк.Ру Максим Лагутин от Сервиса Б-152 подготовил подарки, которые будут полезны каждому бухгалтеру независимо от степени его участия в выполнения закона "О персональных данных".

Подробнее о подарках >>>