+7(499)-938-42-58 Москва
+7(800)-333-37-98 Горячая линия

Как бухгалтеру выполнять требования закона о персональных данных

Содержание

Закон «О персональных данных» — что нужно знать агентству

Как бухгалтеру выполнять требования закона о персональных данных

Многие агентства интересуются: что с этим законом делать? На что он влияет? Дело в том, что иностранные заказчики и представители иностранных компаний в России стали чаще спрашивать:

«Обеспечиваете ли вы защиту персональных данных, собираемых во время наших рекламных кампаний и поддержки сайта?».

Закон о локализации баз персональных данных на территории РФ, тесно связанный с законом «О персональных данных» и вступивший в силу 1 сентября 2015 года, сильно их напугал.

Эта статья отвечает на вопросы:

  • Что регулирует закон № 152-ФЗ «О персональных данных»?
  • Кто попадает под действие закона?
  • Какие основные требования закона № 152-ФЗ?
  • Какие существуют основные риски за невыполнение закона для организаций и должностных лиц?
  • Как лучше выполнить требования закона и показать это заказчикам?

Что регулирует закон № 152-ФЗ «О персональных данных»?

Закон регулирует все вопросы, связанные с обработкой (получением, хранением, передачей, удалением и т. д.) персональных данных физических лиц индивидуальными предпринимателями, юридическими лицами и бюджетными организациями. Организации и предприниматели обязаны правильно обрабатывать и защищать эти данные.

Стань перформанс-маркетологом за 19 недель!

Реклама

Персональные данные — это любая информация, относящаяся к физическому лицу. Даже связка имени и адреса электронной почты уже относится к персональным данным.

В агентствах обрабатываются, как минимум, персональные данные:

  • Сотрудников;
  • Близких родственников сотрудников;
  • Кандидатов на вакантную должность;
  • Клиентов.

Какие бывают персональные данные?

Специальные персональные данные: касаются расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

Биометрические персональные данные: характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.

Общедоступные персональные данные: сделанные физическим лицом общедоступными или содержащиеся в специальных справочниках.

Иные персональные данные: все, что не попало ни в одну из вышеуказанных категорий.

К обработке специальных и биометрических персональных данных предусмотрены особые требования.

Кто попадает под действие закона?

Все предприниматели, физические и юридические лица, бюджетные организации, обрабатывающие персональные данные физических лиц. Их называют операторами персональных данных.

В первую очередь закон касается компаний, работающих в следующих сферах:

  • Реклама и диджитал;
  • Финансы и кредитование;
  • Медицина и фармокология;
  • Телекоммуникации;
  • Образование;
  • Офлайн- и онлайн-ритейл;
  • Гостиничное дело;
  • Бюджетные организации.

Эти компании чаще всего работают с персональными данными. Поэтому главный регулятор в этой сфере — Роскомнадзор — внимательно за ними следит.

Примеры обработки персональных данных в диджитал

В первую очередь, следят за видами обработки персональных данных, которые используются:

  • Для трудоустройства сотрудников и оформления им ДМС;
  • Для выдачи карт лояльности;
  • Для рекламных и новостных рассылок;
  • Для оказания услуг;
  • Для регистрации на сайтах и информационных системах;
  • Для звонков потенциальным клиентам.

Основные требования законодательства в области персональных данных

Разделим все требования для простоты на 4 группы. Работая с персональными данными, вы должны:

1. Подготовить пакет организационно-распорядительной документации. 2. Привести процессы работы с персональными данными в соответствие с законом. 3. Реализовать техническую защиту персональных данных в информационных системах.

4. Хранить базы с персональными данными на территории Российской Федерации.

Требования по подготовке внутренних организационно-распорядительных документов

Закон в ст. 18.1 требует от операторов персональных данных иметь локальные акты и политику, регламентирующую обработку и защиту персональных данных. Точного перечня необходимых документов не предлагается.

При этом Роскомнадзор во время проверок компаний запрашивает перечень необходимых документов и сведений, которые на практике ему передают в виде копий внутренних документов.

Поскольку точного перечня документов не существует, каждый оператор персональных данных составляет их по своему усмотрению на основании текста закона и подзаконных актов.

Здесь вы найдете полный перечень необходимых документов, которых достаточно для соответствия требованиям.

Требования по приведению процессов работы с персональными данными в соответствие с законом

Персональные данные необходимо правильно собирать, обрабатывать и передавать.

Со всеми физическими лицами, у которых вы собираете персональные данные (например, через сайт клиента), должен быть заключен договор или взято согласие на их обработку.

С каждым контрагентом, которому вы передаете, предоставляете в доступ (например, другому агентству на субподряд) или от которого получаете персональные данные, необходимо заключить соглашение о поручении на их обработку.

Все сотрудники должны под роспись ознакомиться с внутренними документами организации по обработке и защите персональных данных и подписать обязательство о неразглашении.

В Роскомнадзор должно быть подано уведомление об обработке персональных данных.

Требования по технической защите персональных данных в информационных системах

Если персональные данные хранятся или как-то иначе обрабатываются в информационных системах (например, в «1С: Бухгалтерии», в базе данных сайта, CRM и других), нужно определить уровень их технической защищенности, составив соответствующий акт.

Затем нужно разработать модель угроз и на основании Постановления Правительства № 1119 и Приказа ФСТЭК России № 21 составить техническое задание на систему защиты персональных данных.

После этого разрабатывается и внедряется проект системы защиты. Внедрением может заняться сама компания или подрядчик, имеющий определенную лицензию ФСТЭК России.

Данное требование, по нашим данным, выполнили лишь 1% операторов. Во-первых, антивирус дорого стоит (закон говорит применять не просто антивирус, а сертифицированный ФСТЭК, при этом функционально они не отличаются, а по деньгам в 1.5–3 раза). Во-вторых, данное требование проверяется ФСТЭК и ФСБ России у малого и среднего бизнеса очень, очень, очень редко. Риск проверки крайне мал.

Требования по хранению баз персональных данных на территории Российской Федерации

С 1 сентября 2015 года сбор и хранение персональных данных граждан Российской Федерации может происходить только на территории Российской Федерации.

О месторасположении баз данных необходимо уведомить Роскомнадзор.

Особенно это касается иностранных и российских компаний, чьи информационные системы полностью или частично располагаются за пределами РФ.

Роскомнадзор дал операторам срок до конца февраля 2016 года, чтобы выполнить эти требования.

Кем проверяется выполнение требований закона?

Главный контролирующий орган: Роскомнадзор. Проверяет правильность обработки персональных данных и документы по персональным данным.

ФСТЭК России. Проверяет выполнение требований по технической защите.

ФСБ России. Проверяет выполнение требований по применению криптографии при обработке персональных данных.

Роскомнадзор проводит более 7000 плановых и внеплановых проверок в год, тогда как ФСТЭК и ФСБ — не более сотни проверок госсектора.

Если у Роскомнадзора к вам не будет претензий — можно сказать, что снято 99% рисков, связанных с данным законом.

Проверку локализации баз персональных данных Роскомнадзор проводит просто — запрашивает договор с российским хостинг-провайдером. После февраля проверка будет серьезнее и практичнее.

Кто несёт ответственность в случае, если хостинг-провайдер отечественный, а сервера использует зарубежные (т. е. пользователь может не знать, что его данные хранятся за границей)?

Ответственность лежит на конечном клиенте. Xостинг-провайдер может предоставлять зарубежные сервера, например, не для обработки и хранения данных персональных, а для вычислений.

Основные риски при невыполнении закона

По итогам проверок, мер систематического наблюдения и жалоб физических лиц Роскомнадзор и другие проверяющие органы могут накладывать штрафы, аннулировать лицензии, дисквалифицировать должностных лиц и блокировать сайты.

Основные риски:

  • Наложение на организацию штрафа до 300 000 рублей;
  • Наложение на должностных лиц штрафа до 10 000 рублей;
  • Разрыв трудового договора с должностным лицом;
  • Запрет руководителю занимать руководящие должности на срок до 3-х лет;
  • Блокировка сайта организации по жалобе физического лица;
  • Внесение компании в реестр нарушителей прав субъектов персональных данных.

С начала 2015 года по данным Роскомнадзора с организаций и должностных лиц было взыскано штрафов на 174 000 000 рублей.

С 1 сентября 2015 года Роскомнадзор имеет право без проверки, на основании жалобы физического лица заблокировать сайт организации за несоблюдение требований закона «О персональных данных».

Как лучше всего выполнить требования закона?

  • Собственными силами;
  • Привлечь юриста;
  • Обратиться к системному интегратору;
  • «Ждать, пока грянет гром»;
  • Использовать сервисы автоматизированной подготовки документов по персональным данным.

Рассмотрим каждый по отдельности.

Выполнение закона собственными силами

Чтобы выполнить требования, необходимо не только знать сам закон «О персональных данных» и подзаконные акты, но также разбираться в технических аспектах, чтобы описывать информационные системы персональных данных в организационно-распорядительной документации.

На поиск и разработку шаблонов документов по персональным данным, изучение законодательства и практику у вас или вашего сотрудника уйдет до 2-х месяцев. И это не даст гарантию результата: можно в чем-то ошибиться.

Выполнение закона с помощью юриста

Достаточно хороший способ, если у юриста или юридической компании, которой вы доверяете, есть необходимые знания по информационной безопасности.

Для подготовки документов по персональным данным, помимо знания самого закона, необходимо знать также подзаконные акты технического содержания и уметь регламентировать технические моменты.

При выборе такого варианта уточняйте у юриста — какие именно документы он будет разрабатывать, будет ли отображать в них технические моменты и имеет ли он опыт работы с Роскомнадзором.

Выполнение закона с привлечением системного интегратора

К системным интеграторам, как правило, обращаются большие компании и крупные государственные учреждения.

Плюсы: высокий уровень оказываемых услуг по информационной безопасности, гарантии, работа под ключ (разработка документации по персональным данным и внедрение технической защиты).

Минусы: высокая стоимость (в большинстве случаев — переваливающая за 1 000 000 рублей) и долгий срок реализации проекта, связанный с негибкостью бизнес-процессов.

«Ждать, когда грянет гром»

Единственные плюсы: отсутствие любых затрат в краткосрочной перспективе.

Минусы: рано или поздно закон придется выполнить. И лучше это сделать, пока требования не ужесточились окончательно.

Работа по ужесточению штрафных санкций Роскомнадзором ведется — в первом чтении уже принят законопроект о повышении штрафов до минимальных 30 000 рублей и максимальных 300 000 рублей за одно нарушение.

Выполнение закона с помощью сервисов автоматизированной подготовки документов по персональным данным

Плюсы: простота и доступность людям, не являющимся специалистами по информационной безопасности; невысокая стоимость; оперативная подготовка документов и консультации экспертов по безопасности.

Некоторые из сервисов также предоставляют финансовые гарантии с возмещением штрафов Роскомнадзора и помощь в прохождениях проверок.

Явные минусы: способ не подойдет крупным государственным компаниям и не поможет с полноценным внедрением системы защиты персональных данных, проверяемой в госсекторе ФСТЭК России и ФСБ России.

Почему стоит решить вопрос с выполнением требований закона «О персональных данных» именно сейчас

Это не только обязанность каждой частной или государственной компании, обрабатывающей персональные данные сотрудников и клиентов.

Заказчики (особенно иностранные) стали запрашивать не только учредительные документы, но и документы по персональным данным, чтобы подтвердить выполнение закона.

Закон стали использовать в качестве рычага давления не только органы исполнительной власти, но и конкуренты.

Какой способ вы бы ни выбрали, важно в итоге выполнить требования закона, снизив риски для компании и должностных лиц.

Источник картинки на тизере: Flickr

Источник: https://www.cossa.ru/152/116858/

Закон о защите персональных данных можно ли сообщать информацию сотрудниках банку

Как бухгалтеру выполнять требования закона о персональных данных

Например, уволить уборщицу за то, что она нашла в бухгалтерии на полу листок с размерами премий, и обсудила эти размеры с подружками – нельзя. Это бухгалтер не защитил информацию, он-то и должен отвечать. А уборщица не имеет дело с конфиденциальными данными.

Только тех сотрудников, которые по работе имеют дело с личными данными других

работников.

Напрямую это касается: Важно: нельзя увольнять по статье за разглашение личных данных, если на их передачу получено письменное разрешение сотрудника.

Разглашение чужой информации – это нарушение дисциплины. Поэтому нужно действовать по 193 статье ТК. Но сначала должно быть основание , ведь вы откуда-то должны были узнать, что дисциплина нарушена .

Что нового в законе о защите персональных данных

В среднем штраф составляет от 500 до 1000 руб. с оператора, или же от 5000 до 10 000 руб. с организации. Одна годовая проверка документации может выявить огромное количество нарушений, каждое из которых будет оштрафовано и обойдется юридическому лицу немалой суммой из бюджета организации.

Оператора, который был назначен ответственным за работу над личными данными, могут привлечь к административной ответственности, дисциплинарной, материальной, гражданско-правовой или даже к уголовной.

Что значит федеральный закон о страховых пенсиях 400? Ответ здесь. ФЗ №152 в его новой редакции обязывает хранить все персональные данные, касающиеся граждан РФ, на серверах, которые находятся на территории России.

Операторы, работающие с личными данными граждан, должны вести соответствующие записи, собирать информацию и дополнять ее при необходимости только информацией, собранной на территории РФ и хранить ее тоже только на территории РФ.

Онлайн журнал для бухгалтера

Персональные данные работников – это любая информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного сотрудника (п.

1 ст. 3 Федерального закона от 27 июля 2006 № 152-ФЗ «О персональных данных»).

За нарушение порядка сбора, хранения, использования или распространения персональных данных работодателя и должностных лиц контролирующие органы могут привлечь к административной ответственности в виде штрафов, которые могут составлять:

  • для должностных лиц (например, генерального директора, главного бухгалтера, кадровика или индивидуального предпринимателя): от 500 до 1000 рублей;
  • для организации: от 5000 до 10 000 рублей.

Уголовная ответственность для директора, главного бухгалтера или начальника отдела кадров компании или другого лица, ответственного за работу с персональными данными, может наступить за незаконные действия:

  • сбор или распространение сведений о частной жизни сотрудника, составляющих его личную или семейную тайну, без его согласия;
  • распространение сведений о работнике в публичном выступлении, публично демонстрирующемся произведении или СМИ.

За такие нарушения в части обращения с персональными данными допускаются следующие меры уголовной ответственности: Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются жестче:

Защита персональных данных: какие сведения не вправе разглашать бухгалтер

В пункте 4 разъяснений от 14.12.2012 специалисты Роскомнадзора разобрали несколько ситуаций, когда нельзя предоставлять персональные сведения о работнике.

6 ч. 1 ст. 81, ст. 90 и 192 ТК РФ).

Однако если бухгалтер решит оспорить в суде увольнение на основании пункта 6 части 1 статьи 81 Трудового кодекса за разглашение персональных данных другого работника, администрация компании должна будет доказать следующее: — сведения, которые уволенный бухгалтер расчетной части неправомерно разгласил, относятся к персональным данным другого работника; — они стали известны работнику в связи с исполнением им трудовых обязанностей; — уволенный работник дал обязательство не разглашать такие сведения.

Можно ли сообщать персональные данные сотрудников по телефону?

Ситуация: Можно ли сообщать сведения о работе сотрудника в организации по телефону представителям других компаний, например банков Да, можно, но только с письменного согласия самого сотрудника.

заместитель директора департамента медицинского образования и кадровой политики в здравоохранении Минздрава России © Материал из КСС «Система Кадры» Готовые решения для службы персонала на vip.1kadry.ru Дата копирования: 24.05.2016 2.

Ситуация: В каких случаях согласие сотрудника на передачу персональных данных не требуется К таким случаям относится передача сведений в: Кроме того, согласие не требуется в следующих случаях: Об этом говорится в пунктах 1–5 разъяснений Роскомнадзора от 14 декабря 2012 г.

Все возможные случаи, когда согласие на обработку персональных данных не требуется, приведены в пунктах 2–11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона от 27 июля 2006 г.

Как бухгалтеру выполнять требования закона о персональных данных

Правильно ли я понимаю, что мы не должны подавать никаких уведомлений в Роскомнадзор (или еще куда-либо) на основании ст. 22 п. 2, подпункты 1 и 2? Должны ли мы публиковать политику в отношении обработки данных (п.

Какой закон приоритетнее? В вашем случае брать согласие с физического лица для передачи его персональных данных в банки не потребуется. Нет, вопрос был про другой срок.

Вот есть у нас нарушения, например, в октябре, мы их устранили в ноябре. Как долго бояться, что нас накажут за октябрьские нарушения? Наша организация предоставляет услуги по размещению данных заказчика на наших серверах.

Защита персональных данных

Вступление в силу нового положения о защите персональных данных предполагает обеспечение операторами персональных данных: Обработка ИСПДн также может осуществляться по параметру «объем обрабатываемых персональных данных», который предполагает количество субъектов, обрабатываемых в информационной системе, и может принимать следующие значения: Право на защиту своих персональных данных имеет каждый работник (п. 9 ст. 86 ТК РФ). В соответствии со ст. 89 Трудового кодекса РФ свое право на охрану и защиту ПДн каждый работник может реализовать посредством следующих действий: Отметим, что некоторые санкции за нарушение отдельных составов правонарушений распространяются как на физических и должностных лиц, так и на юридических.

В соответствии со ст.150 Гражданского кодекса РФ неприкосновенность частной жизни, личной и семейной тайны относится к числу неотчуждаемых нематериальных прав, находящихся под защитой действующих законов. Нарушение неприкосновенности частной жизни, в частности персональных данных, лицом при использовании своего служебного положения предусматривает наказание в виде:

  • штрафа в размере от 100 до 300 тысяч рублей, заработной платы или иного дохода правонарушителя в течение 1-2 лет;
  • лишения права занимать определенные должности на срок от 2 до 5 лет;
  • ареста на срок от 4 до 6 месяцев.

Ответственность за разглашение персональных данных по статье 137 УК РФ

137 УК РФ наступает с 16-летнего возраста, однако для привлечения к ответственности по ч. 2 указанной статьи необходим специальный признак — использование виновным для разглашения ПД своего служебного положения.

Для примера рассмотрим наказания, которые могут быть назначены за разглашение ПД с использованием служебного положения по ч. 2 ст. 137 УК РФ. Суд вправе назначить: При этом срок дополнительного наказания в 3-м и 5-м случаях начинает течь только после отбытия основного (ч.

Источник: http://credit-helper.ru/zakon-o-zaschite-personalnyh-dannyh-mozhno-li-soobschat-informaciju-sotrudnikah-banku-25741/

Обязаны банку сообщать персональные данные работников организации

Как бухгалтеру выполнять требования закона о персональных данных

Решение по жалобе на приговор, решение, определение и постановление суда может быть обжаловано только вышестоящему прокурору. 2. Поступающие в органы прокуратуры заявления и жалобы, иные обращения рассматриваются в порядке и сроки, которые установлены федеральным законодательством. 3.

Ответ на заявление, жалобу и иное обращение должен быть мотивированным. Если в удовлетворении заявления или жалобы отказано, заявителю должны быть разъяснены порядок обжалования принятого решения, а также право обращения в суд, если таковое предусмотрено законом. 4.

Прокурор в установленном законом порядке принимает меры по привлечению к ответственности лиц, совершивших правонарушения. 5. Запрещается пересылка жалобы в орган или должностному лицу, решения либо действия которых обжалуются. При обнаружении нарушений закона (ст.

24 Закона) или прав и свобод человека и гражданина (ст.

Внимание

Закона обработка персональных данных может осуществляться только с согласия их субъекта, причем под обработкой в частности подразумевается распространение (в том числе передача). Нормами ст. 88 ТК РФ также установлено, что работодатель не вправе сообщать персональные данные третьей стороне без письменного согласия их субъекта.

Подробнее о предоставлении персональных данных читайте здесь: Предоставление персональных данных работника в рамках действующего законодательства РФ возможно: 1) самому работнику, в том числе без письменного запроса о предоставлении данных, поскольку согласие работника отражается проставлением подписи при получении документа; 2) третьим лицам при предъявлении письменного согласия работника; Все о видах персональных данных вы узнаете, если прочитаете материал по ссылке. 3) третьим лицам, обладающим правом получения таких данных в силу закона без согласия работника.

Предоставление персональных данных работника банку

К таким случаям, в частности, можно отнести обязанность работодателя предоставить персональные данные, в объеме, необходимом для исполнения судебным приставом служебных обязанностей в соответствии с законодательством Российской Федерации об исполнительном производстве, по требованию судебного пристава в виде справок, документов и их копий безвозмездно и в установленный им срок (п. 2 ст. 14 Федерального закона от 21.07.1997 № 118-ФЗ «О судебных приставах»). Просьбу сотрудника банка подтвердить те или иные сведения о работнике к таким исключительным случаям законодательство не относит.
Работодатель (работник, имеющий доступ к персональным данным) обязан письменно предупредить лиц, получающих персональные данные работника, о том что они могут использоваться лишь для цели, для которой сообщены. И, как следствие, потребовать от таких лиц подтверждения, что это правило соблюдено (ст. 88 ТК РФ).

Предоставление банкам сведений о работнике

В некоторых случаях, например при необходимости перечисления заработной платы на карту работника в рамках зарплатного проекта (пп. 5 п. 1 ст. 6 Федерального закона № 152-ФЗ), персональные данные работника можно сообщить банку без его согласия.

Однако в данном случае банк требует предоставления информации в отсутствие таких оснований.


Сообщение банку персональных данных работника без его письменного согласия является правонарушением и наказывается предупреждением либо наложением административного штрафа (ст. 13.11 КоАП РФ):

  • на граждан — от 300 до 500 рублей;
  • на должностных лиц — от 500 до 1 500 рублей;
  • на юридических лиц — от 5 000 до 10 000 рублей.

Кроме того, сбор персональных данных о физическом лице может расцениваться как нарушение неприкосновенности его частной жизни. За данное деяние предусмотрена уголовная ответственность по ст. 137 УК РФ.

Личная консультация

  • Станислав, добрый день! В соответствии со ст.88 ТК РФ работодатель не должен передавать персональные данные работников третьим лицам без письменного на то разрешения: При передаче персональных данных работника работодатель должен соблюдать следующие требования: не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами; не сообщать персональные данные работника в коммерческих целях без его письменного согласия; предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.

С уважением,С.Седельников Личная консультация Большое спасибо за развернутый и понятный ответ!

  • Добрый день, Станислав! Работодатель может сообщить о том, что такой работник работает. Но банк не вправе разглашать банковскую тайну. На основании ст. 26 ФЗ О банках и банковской деятельности кредитная организация, Банк России, организация, осуществляющая функции по обязательному страхованию вкладов, гарантируют тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов.

Под персональными данными понимается любая информация, прямо или косвенно относящаяся к определенному физическому лицу (субъекту персональных данных) (ч. 1 ст. 3 Закона от 27 июля 2006 г. № 152-ФЗ).

При этом перечень персональных данных не является исчерпывающим, то есть любая информация, относящаяся к определенному лицу, является его персональными данными.

Таким образом, место работы и сам факт работы, запрашиваемые у организации, например, кредитной организацией для подтверждения факта работы или потенциальным работодателем о бывшем сотруднике, являются персональными данными.

Поэтому передавать данные о сотруднике другим организациям можно только с соблюдением общих требований об обработке персональных данных, то есть только с согласия самого сотрудника (п. 3 ч. 1 ст. 86 ТК РФ, ст. 7 Закона от 27 июля 2006 г. № 152-ФЗ).

Популярные вопросы Таким образом, предоставлять сведения о факте работы сотрудников по телефону неустановленным лицам, в том числе представляющимися специалистами банка, можно, но только с письменного согласия самого сотрудника, независимо от того, продолжает он работать в организации или уже уволился. Нина Ковязина, заместитель директора департамента медицинского образования и кадровой политики в здравоохранении Минздрава России © Материал из КСС «Система Кадры»Готовые решения для службы персонала на vip.1kadry.ruДата копирования: 24.05.2016 2.

Ситуация: В каких случаях согласие сотрудника на передачу персональных данных не требуется В отдельных случаях обработка персональных данных возможна и без согласия сотрудника.

Источник: http://kodeks-alania.ru/obyazany-banku-soobshhat-personalnye-dannye-rabotnikov-organizatsii/

Защита персональных данных: что надо знать бухгалтеру

Как бухгалтеру выполнять требования закона о персональных данных

Ответственность за нарушения в сфере охраны персональных данных законодатель отнесен к административной. Значит, санкции за подобные проступки надо искать в Кодексе об административных правонарушениях.

Заглянув туда, мы обнаружим, что штрафы не так уж и высоки. Согласно статье 13.11 КоАП РФ они составляют 5-10 тысяч рублей для организации и 500-1000 рублей для ее руководителя, если в нарушении есть его вина.

Однако надо учитывать, что этот штраф может налагаться за каждое допущенное нарушение. А правил для тех, кто работает с персональными данными, законодатели установили очень много (них мы подробно поговорим чуть ниже). Так что 10 тысяч рублей штрафа легко могут превратиться в 50 или 100 тысяч рублей даже в рамках одной проверки. А за год эти суммы могут оказаться еще внушительнее.

Раз уж мы затронули вопрос проверок, то сразу скажем, что ведомством, полномочным контролировать соблюдение режима персональных данных, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (сокращенно — Роскомнадзор).

Однако права налагать и взыскивать штрафы у этой организации нет. Все материалы по тем проверкам, где обнаружены нарушения, Роскомнадзор передает в прокуратуру. Прокурор уполномочен принимать решения о возбуждении производства по административному правонарушению (п. 1 ст. 28.4 КоАП РФ).

Вопрос же о наложении штрафов решается судьей (п. 1 ст. 23.1 КоАП РФ).

Статистическая справка

По данным Роскомнадзора, всего с момента возложения на эту организацию полномочий по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации нами (т.е. с ноября 2007 года) проведено 3307 проверок.

Результатами этих проверок стали более чем 4500 предписаний об устранении выявленных нарушений, и 7591 протокол об административных правонарушениях.

В 2011 году проведено 1743 проверки — то есть, более половины от общего числа за 4 года! При этом количество плановых и внеплановых (т.е. тех, которые проводятся по жалобам) проверок примерно равно 954 и 789 соответственно. При этом количество жалоб, поступающих от граждан и организаций, также постоянно растет — с 465 в 2009 году до 3240 на 26 декабря 2011 года.

По результатам проверок в 2011 году в прокуратуру было передано около 900 материалов.

Возросли в прошлом году и суммы взыскиваемых штрафов. Так, за период с 2007 по 2009 год к административной ответственности было привлечено всего 37 организаций и взыскано административных штрафов на общую сумму чуть менее 22 тысяч рублей. А на сегодняшний день эта сумма уже превысила 12,5 миллионов рублей. При этом средний размер штрафа не так уж и велик и составляет 3-5 тысяч рублей.

Источник: сайт Роскомнадзора.

Запасаемся бумагами

Итак, с ответственностью за нарушение правил работы с персональными данными мы разобрались. Давайте теперь посмотрим, что же надо сделать организации, дабы избежать штрафов.

Надо отметить, что правила, установленные Федеральным законом от 27.07.06 № 152-ФЗ «О персональных данных», касаются не только тех организаций, которые имеют дело с клиентскими базами данных.

Соблюдать требования этого закона должны все организации, в которых есть хотя бы один работник. Связано это с тем, что к персональным данным законодатели среди прочего отнесли и те сведения, которые предприятие получает от своих сотрудников, принимая их на работу.

А это значит, что организация обязана их защищать в полном соответствии с законом.

Отметим, что закон не делает каких-то различий между тем, на каких носителях в организации существуют документы, содержащие персональные данные.

Так что, и тот работодатель, который внедрил высокотехнологические информационные системы, и тот, который ведет работу с кадровыми документами на бумаге, обязаны принять ряд организационных и технических мер по защите персональных данных сотрудников.

Именно формальное выполнение этих мер в большинстве случаев и контролируют специалисты Роскомнадзора.

Первое, что захотят увидеть проверяющие, — это приказ руководителя о назначении ответственного за работу с персональными данными и обеспечении их защиты. Таким ответственным может быть как конкретное лицо (образец приказа можно скачать здесь), так и подразделение (образец приказа можно скачать здесь). В последнем случае личную ответственность несет руководитель такого подразделения.

Далее потребуется утвердить документ, содержащий перечень персональных данных (образец приказа можно скачать здесь), которые реально используются в деятельности организации. Составляя такой документ, не забудьте включить в него все сведения, которые работник письменно сообщает о себе при поступлении на работу, а также используемые в дальнейшем при оформлении кадровой документации.

В этом перечне должны быть:

  • заявление о приеме на работу;
  • анкета сотрудника;
  • личная карточка;
  • личное дело;
  • трудовой договор;
  • приказы;
  • трудовая книжка;
  • материалы аттестационных комиссий.

Это один раздел перечня. Если же в организации имеется внутренний документооборот, содержащий сведения о сотрудниках (например, отчеты и материалы, которые составляются для акционеров, учредителей, головной организации и т.п.), то эти отчеты тоже нужно включить в перечень.

Помимо этого, в перечне должны быть указаны документы, содержащие те сведения о сотрудниках, которые организация представляет в различные государственные органы (налоговую и трудовую инспекции, органы статистики).

Здесь заметим, что подготовка такого перечня важна не только для соблюдения требований законодательства. Он позволит упорядочить работу с персональными данными внутри организации. Дело в том, что трудоемкость защиты персональных данных напрямую зависит от степени важности обрабатываемых сведений.

Например, информация о политических и религиозных взглядах, личной жизни человека, здоровье, национальности законом отнесена к категориям информации, которые подлежат более надежным методам и средствам защиты, чем данные, идентифицирующие личность.

Поэтому анализ составленного перечня и исключение из него данных, не являющихся безусловно необходимыми в деятельности организации, позволит существенно удешевить систему защиты персональных данных.

Следующий этап работы — подготовка и утверждение списка лиц, допущенных к работе с персональными данными. Этот документ утверждается приказом руководителя и доводится под подпись до всех указанных в нем сотрудников (образец приказа можно скачать здесь).

Еще один документ, который нужно подготовить и утвердить — Положение о работе с персональными данными (примерный образец Положения см. здесь; на основании этого образца нужно составить свое Положение, дополнив его особенностями сбора, обработки и использования персональных данных работников вашей компании).

В Положении о работе с персональными данными нужно детально прописать все требования к получению, хранению, комбинированию, передаче и любому другому использованию персональных данных, а также гарантии по их защите.

С Положением нужно под подпись ознакомить всех сотрудников, включенных в список лиц, допущенных к работе с персональными данными.

Каким должно быть содержание Положения

Что же должно быть зафиксировано в Положении о персональных данных? На практике такой документ обычно состоит из разделов, описывающих каким именно образом в организации должен происходить сбор и обработка персональных данных; кто и в каком порядке имеет доступ к этим данным; какие меры предпринимаются для предотвращения разглашения персональных данных.

Так что начать Положение мы рекомендуем с раздела «Сбор и обработка персональных данных».

В нем обязательно нужно зафиксировать, что персональные данные в организации можно получить и обрабатывать исключительно на основании письменного согласия работника (образец согласия можно скачать здесь).

А значит, не лишним будет сразу разработать и утвердить форму такого заявления. На подпись такое заявление работнику надо давать сразу при приеме на работу. А по действующим сотрудникам такую работу придется провести сразу же после утверждения Положения.

Далее может следовать раздел «Доступ к персональным данным». В нем последовательно описывается порядок доступа к таким данным работников организации и третьих лиц (отдельно родственников, государственных органов, представителей других организаций).

При необходимости тут можно ввести уровни доступа в зависимости от должности сотрудника.

Например, директор и аппарат дирекции имеют доступ ко всем персональным данным; сотрудники бухгалтерии — только к тем сведениям, которые необходимым для расчета заработной платы и налогов; представители кадровой службы — к сведениям, необходимым для оформления кадровой документации и т.п.

Продолжит Положение раздел «Порядок обработки и передачи данных». Здесь надо зафиксировать правила для передачи данных о сотрудниках определенным  органам или лицам.

В случаях, когда передача данных регулируется законодательно (налоговые органы, органы статистики, Пенсионный фонд и т.п.) достаточно сделать ссылки на порядок передачи сведений, установленный законодательством.

Но при этом следует обязательно зафиксировать, кто и в каком порядке вправе готовить данные сведения для передачи в госорганы.

А вот родственникам, членам семьи, страховым компаниям, банкам, благотворительным организациям, негосударственным пенсионным фондам и т. п. персональные данные предоставляются только при наличии письменного согласия работника на каждый конкретный факт передачи данных.

Закончить Положение лучше разделом «Ответственность». Тут изобретать велосипед не нужно — достаточно будет сделать ссылки (или привести целиком) на нормы Трудового кодекса (увольнение за разглашение персональных данных по статье 81 ТК РФ), Кодекса об административных правонарушениях (уже знакомая нам статья 13.11 КоАП РФ) и, если есть такая необходимость  Уголовного кодекса (ст. 137 УК РФ).

Обязательно ли уведомлять Роскомнадзор?

Есть еще один немаловажный момент. Речь идет об уведомлении Роскомнадзора о том, что организация работает с персональными данными. Ситуация тут крайне неоднозначная.

На первый взгляд, закон освобождает от подачи такого уведомления, если обрабатываются только персональные данные сотрудников.

Однако на практике органы Роскомнадзора зачастую требуют предоставлять уведомление, даже если кроме работы с данными сотрудников организация никакой другой работы с персональными данными не ведет. При этом контрольное ведомство пользуется противоречивостью положений закона.

Статья 22 Закона о персональных данных, которая освобождает от необходимости направлять уведомление в части персональных данных сотрудников организации, сформулирована так, что использование данных сотрудников в отношениях с банком при начислении им заработной платы, а также с государственными органами при предоставлении сведений о работниках формально под это исключение не подпадает. Поэтому во избежание лишних споров и штрафов советуем все же направить уведомление.

Источник: https://www.buhonline.ru/pub/comments/2012/4/5895

Чем грозит несоблюдение закона о персональных данных?

Как бухгалтеру выполнять требования закона о персональных данных

В обычной жизни мы довольно часто сталкиваемся с законодательством о персональных данных.

Это происходит, когда мы подписываем бумаги под названием «Согласие на обработку персональных данных» или ставим галочку, заполняя информацию о себе на сайтах в интернете.

А вот какие требования закон № 152-ФЗ «О персональных данных» предъявляет к компаниям, как их выполнить директору или бухгалтеру, и что произойдет, если их проигнорировать, мы сегодня подробно расскажем.

Возможно, мы вас удивим, но это должна делать каждая компания, независимо от организационно-правовой формы или вида деятельности. Даже совсем небольшие фирмы хранят и используют персональные данные и обязаны соблюдать закон.

Почему? Потому что персональные данные — это любая информация о физическом лице, и в каждой организации при ведении кадрового и бухгалтерского учёта, расчёте заработной платы, подготовке отчётности используются персональные данные работников.

Многие компании предлагают товары и услуги и накапливают информацию о своих клиентах, и так далее.

Как соблюсти требования закона. Пошаговая инструкция

1. Назначьте ответственного. Решите, кто из ваших работников будет заботиться о том, чтобы были выполнены требования закона. Обычно это бухгалтер или руководитель компании.

Если вы — директор фирмы, можете пожалеть бухгалтера и подписать приказ, которым назначите ответственным самого себя. Большой роли это не играет.

2. Определите особенности компании. Разберитесь вот в чем:

  • какие именно персональные данные каких физических лиц (работников, клиентов, соискателей вакансий и т.д.) вы собираете, храните и используете; с какой целью это делаете;
  • убедитесь, что 152-ФЗ или другие законы разрешают вам использовать эти данные;
  • в какие компьютерные программы и бумажные документы вы вносите персональные данные и как именно их храните.

3. Подготовьте комплект документов. Закрепите результаты двух предыдущих этапов в приказах, положениях, актах и подготовьте специальный документ для всех работников и клиентов — политику в отношении обработки персональных данных.

С этим может помочь знакомый юрист: он объяснит на пальцах, что нужно записать в документах, и поможет их составить.

4. Оформите отношения с физическими лицами. Иногда компания должна внести изменения в договоры со своими работниками, клиентами и другими лицами: например, включить туда форму согласия на обработку персональных данных. А Трудовой кодекс требует, чтобы все работники компании были ознакомлены «под роспись» с упомянутыми в предыдущем пункте документами.

Если у вашей компании есть сайт и вы принимаете заказы с его помощью, то дайте клиентам возможность поставить при оформлении заказа отметку, что они согласны предоставить вам свои персональные данные и что вы можете передавать их в курьерскую компанию для доставки заказа. При этом не забудьте поместить на сайт ссылку на «политику в отношении обработки персональных данных».

5. Оформите отношения с другими компаниями. Часто фирма передаёт имеющиеся у неё персональные данные другим компаниям (например, в банк в рамках зарплатного проекта) или получает персональные данные от других компаний. Закон требует включить в договоры с такими компаниями особые положения. Например, о неразглашении переданных персональных данных.

6. Подайте специальное уведомление в Роскомнадзор. Его подготовить несложно: укажите примерно те же сведения, что и в политике в отношении обработки персональных данных.

7. Ведите оперативную деятельность. Некоторые действия нужно выполнять время от времени: уничтожать персональные данные, цель обработки которых достигнута, знакомить новых работников компании с комплектом документов и следить за его актуальностью, вовремя отвечать на обращения субъектов персональных данных и Роскомнадзора и так далее.

Чем грозит несоблюдение закона?

Директору:

  • Штрафом за нарушение законодательства о персональных данных (обычно налагается после проверки, максимальный размер — 10 000 рублей;
  • Штрафом за неустранение нарушений (обычно налагается, если вы нерасторопно реагируете на результаты проверки; максимальный размер — 20000 рублей);
  • Штрафом за непредоставление сведений в Роскомнадзор (максимальный размер — 5000 рублей).
  • Кроме этого, законопроект об изменениях в законе «О персональных данных» ещё в конце 2013 года отправился в Государственную Думу. Он предполагает увеличение максимальной суммы штрафа за невыполнение требования закона до 300 000 рублей.

Бухгалтеру:

Проверка закончится, штраф компания заплатит, но требования закона нужно будет так или иначе соблюсти: в течение 30 дней пройти по 7 шагам, озвученным выше. Потратить изрядное количество времени, нервов и, возможно, денег на консультацию.

Источник: https://e-kontur.ru/blog/13494

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.