Ukkaskadgel.ru

Документооборот онлайн
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Защита персональных данных какие сведения не вправе разглашать бухгалтер

Персональные данные – «подводные камни» для бухгалтера.

В наш век тотальной компьютеризации вопросы информационной безопасности на предприятии в той или иной мере касаются практически всех сотрудников и подразделений. Особенно это касается ключевых подразделений, от которых напрямую зависит деятельность предприятия, и бухгалтерия является именно таким.

Многие бухгалтеры обслуживают одновременно несколько организаций. Это говорит о том, что сегодня работа бухгалтера стала гораздо проще и легче, чем несколько лет назад. Это связано с двумя моментами.

Дышать стало легче

С одной стороны, законодательство в бухгалтерской сфере существенно упростилось. Стало гораздо меньше форм отчетности и налоговых сборов, установленных государством. Появился Единый социальный налог, тогда как в 90-х взносы платились отдельно в каждый внебюджетный фонд: ФСС, ФОМС и т.д. Уменьшился объем отчетов по налогам с заработной платы. Раньше эти отчеты заполнялись от руки и сдавались в бумажном виде, ведь электронных способов взаимодействия с налоговыми органами еще не было. Банковские платежки приходилось набирать на пишущей машинке, везти в банк и стоять в очереди. Деньги контрагентам могли идти неделю.

Большим подспорьем в облегчении сегодняшней работы бухгалтера является компьютеризация. Современные технологии дают огромные возможности. То, что раньше казалось невозможным, сейчас воспринимается как данность.

Если раньше бухгалтеры совсем не пользовались глобальной информационной сетью Интернет, то сегодня Всемирная паутина позволяет специалистам общаться и обмениваться информацией в режиме онлайн, помогая быстро «набирать» компетенцию. Десятки тысяч бухгалтеров ежедневно посещают различные сайты бухгалтерской направленности и пользуются специализированными интернет-форумами.

Всего несколько лет назад оформление каждого документа и ручное ведение учета требовало достаточно много времени, и вести бухгалтерский учет с использованием компьютеров могли лишь немногие «продвинутые» специалисты. Сегодня вряд ли можно встретить бухгалтера, который не использует со-временные технологии. Многие специалисты не представляют свою работу не только без компьютера, но и без интернета, который является незаменимым инструментом в работе. Платежи, бухгалтерскую и налоговую отчетность теперь можно отправлять, не выходя из дома. Всего несколько лет назад это казалось чем-то фантастическим.

Обратная сторона медали

Однако, у этой приятной тенденции есть и отрицательный момент. Такая интеграция технологий с бухгалтерской сферой несет в себе не только новые возможности, но и новые угрозы, связанные с появлением возможностей утечки информации по каналам связи.

Данные, с которыми работает бухгалтер, можно условно разделить на две большие категории: информация, связанная с текущей деятельностью организации (базы данных контрагентов, подрядчиков, клиентов, данные о финансовых потоках и т.д.) и информация о сотрудниках организации.

Все прекрасно понимают, что информацию первой категории нужно хранить «как зеницу ока» потому, что их потеря, несанкционированное изменение или распространение приведет к репутационным и финансовым издержкам, что может стать непоправимым ударом для бизнеса. В случае подобного инцидента первым «под удар» попадает именно бухгалтер как лицо, работающее с этими данными.

Однако, одного только желания сохранить эту информацию «подальше от лишних глаз» недостаточно. Бывают случаи, когда руководитель, чтобы защитить активы своей фирмы, дает задание установить в бухгалтерии антивирусные средства, находясь в полной уверенности, что теперь его данные защищены. Это, мягко говоря, не так. В некоторых компаниях информационной безопасностью занимаются по остаточному принципу, либо вообще не осознают ее важности. Одним словом, данная сфера полностью отдана на откуп владельцев бизнеса.

Что это за «зверь»?

Совсем по-другому дело обстоит со второй категорией информации. Мало того, что информация о сотрудниках (в правовом поле такая информация называется «персональные данные») нередко воспринимается как «второстепенная», которая «никому не нужна», некоторые работодатели не считают нужным позаботиться, чтобы эти данные не были распространены.

Под персональными данными в широком смысле можно понимать любую информацию, прямо или косвенно относящуюся к определенному физическому лицу (субъекту персональных данных). Данное понятие введено Федеральным законом от 27.07.2006г. №152-ФЗ. Примерами такой информации может быть фамилия, имя, отчество, дата и место рождения, место проживания и т. д. Персональные данные сотрудников – это любая информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного сотрудника (п.1 ст.3 152-ФЗ).

Что и кому нужно делать?

Контроль за обеспечением защиты персональных данных государство взяло на себя. В соответствии со 152-ФЗ, на все организации, которые обраба-тывают персональные данные (в частности, своих сотрудников), возложена обязанность их защищать. Т.о., под действие данного закона подпадают все организации, в которых работает более одного сотрудника!

Регулятором в данной сфере был назначен Роскомнадзор. Ежегодно со-ставляется план проверок организаций на предмет соблюдения законодатель-ства (проверки проходят в соответствии с Административным регламентом, утвержденным Приказом Минкомсвязи России от 14.11.2011г. №312). Отсут-ствие компании в плане – не повод расслабляться, так как проверки могут быть и внеплановыми. Клиент, сотрудник или просто «доброжелатель», чьи персо-нальные данные обрабатываются в организации, может обратиться в Роском-надзор за защитой своих прав, если, по его мнению, обработка происходит с нарушением. В этом случае назначается проверка, и представители регулято-ра, появившись на предприятии, особенно любят «заглядывать» в такие под-разделения, как бухгалтерия и кадры.

При этом, регулятор проверяет как документационное оформление (в компании должен быть подготовлен внушительный перечень документов и ут-серждающих приказов – Политика обработки персональных данных, Перечень лиц, допущенных к персональным данным, назначен ответственный и т.д.), так и сами процессы обработки персональных данных – с использованием инфор-мационных систем (например, информационная система 1С и ее «зарплатные» конфигурации) и без их участия (хранение документов на бумажных носите-лях).

На сегодняшний день уже не представляется возможным закрыть глаза на обеспечение защиты персональных данных потому, что установлены конкрет-ные виды ответственности за неисполнение законодательства в сфере защиты персональных данных.

За нарушение порядка получения, обработки, хранения и защиты персо-нальных данных сотрудников предусмотрена дисциплинарная, материальная, административная и уголовная ответственность (ст. 90 ТК РФ, ч.1 ст.24 152-ФЗ).

К дисциплинарной ответственности можно привлечь работников, которые обязаны соблюдать правила работы с персональными данными, но нарушили их (ст.192 ТК РФ) – например, сотрудника бухгалтерии, которому поручена соответствующая работа, и который совершил дисциплинарный проступок при обработке и хранении персональных данных. Наказание применяет работодатель, применив к нему одно из следующих взысканий (ч.1 ст.192 ТК РФ):

  • замечание;
  • выговор;
  • увольнение.

Материальная ответственность работника может наступить, если в связи с нарушением правил работы с персональными данными организации причинен ущерб (ст.238 ТК РФ). Предположим, работник отдела кадров допустил грубое нарушение – распространил персональные данные сотрудников в сети Интернет. Последние, узнав об этом, подали на работодателя в суд, который постановил: «выплатить пострадавшим работникам денежную компенсацию – 50 000 рублей каждому». В такой ситуации работодатель имеет возможность возложить на виновного сотрудника ограниченную материальную ответственность в пределах его среднего месячного заработка (ст.241 ТК РФ), либо полную материальную ответственность, когда сотрудник должен будет полностью возместить организации всю сумму ущерба, возникшего в связи с нарушением (ст. 242 и 243 ТК РФ). Но, как правило, на работников полную материальную ответственность не возлагают.

Дисциплинарную и материальную ответственность работодатель применяет исключительно по своему усмотрению. Регулятор в этом процессе участия не принимает.

За нарушение порядка сбора, хранения, использования или распространения персональных данных работодателя и должностных лиц контролирующие органы могут привлечь к административной ответственности в виде штрафов:

  • для должностных лиц (генерального директора, главного бухгалтера, кадровика или индивидуального предпринимателя): 500-1000 рублей;
  • для организации: 5000-10 000 рублей.

Отдельный штраф для должностных лиц за разглашение персональных данных в связи с исполнением служебных или профессиональных обязанностей составляет 4000-5000 рублей (ст.13.11 и 13.14 КОАП).

Уголовная ответственность для директора, главного бухгалтера или начальника отдела кадров компании или другого лица, ответственного за работу с персональными данными, может наступить за незаконные действия:

  • по сбору или распространению сведений о частной жизни сотрудника, составляющих его личную или семейную тайну, без его согласия;
  • по распространению сведений о работнике в публичном выступлении, публично демонстрирующемся произведении или СМИ.

За такие нарушения допускаются следующие меры уголовной ответственности:

  • штраф до 200 000 рублей (или в размере доходов осужденного за период до 18 месяцев);
  • обязательные работы до 360 часов;
  • исправительные работы до 1 года;
  • принудительные работы до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью до 3 лет или без такового;
  • арест до 4 месяцев;
  • лишение свободы до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью до 3 лет.

Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются жестче:

  • штрафом 100 000-300 000 рублей (или в размере доходов осужденного за период от 1 до 2 лет);
  • лишением права занимать определенные должности или заниматься определенной деятельностью на срок от 2 до 5 лет;
  • принудительными работами на срок до 4 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет или без такового;
  • арестом на срок от 4 до 6 месяцев;
  • лишением свободы на срок до 4 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет (ст.137 УК РФ).

Ответом на эти угрозы вызовы должно стать создание в компании адекватной системы защиты персональных данных – в первую очередь обрабатываемых в бухгалтерии и в кадрах. Это ряд организационных, физических и технических мероприятий, которые призваны свести к минимуму все риски.

Таким образом, чтобы работать спокойно, нужно выполнить как формальные условия защиты персональных данных (для регулятора), так и обеспечить реальную ее защиту в целях развития бизнеса и исключения инцидентов.

Скупой платит дважды

У компании есть три варианта действий:

1. Ничего не делать. Организация продолжает обрабатывать персональные данные, как и раньше, надеясь на «авось». Но, в случае проверки, если в фирме отсутствует даже видимость работ по защите персональных данных, можно ожидать самых строгих санкций. Отрицательный результат проверки подорвет репутацию компании, вызовет недоверие со стороны клиентов, партнеров и сотрудников, что приведет к оттоку клиентов, финансовым потерям и внесет нервозность в работу коллектива. Самым печальным может оказаться принудительная приостановка обработки персональных данных, что может привести к параличу работы.

Читать еще:  План счетов бухгалтерского учета на 2021 – 2021 годы

2. Минимум затрат на защиту персональных данных. Формальный подход – «по-быстрому» разработать пакет нужных документов, но никаких реальных мероприятий не предпринимать. Такая видимость работ на некоторое время позволит избежать санкций со стороны регулятора, незначительно повысит шанс прохождения проверки, но не сделает его высоким. Так или иначе, информация останется незащищенной и уязвимой для злоумышленников.

3. Выполнение требований. В этом случае компания четко представляет, что выполнение требований закона решает вопросы прохождения проверок, реально повышает защищенность информационных активов, снижает риски поступления жалоб со стороны граждан и претензий со стороны регулятора.

Любитель или профессионал?

Представим, что решение о необходимости создания системы защиты персональных данных в компании принято. Во весь рост встает вопрос, кому доверить это важное дело. Хорошо, если в штате компании есть грамотные и опытные сотрудники, знающие толк в данной сфере. Но это большая редкость. Поэтому данный процесс лучше доверить профессионалам, и вот почему.

1. Тематика по защите персональных данных очень широка и разнообразна. Даже изучив необходимый массив документов, качественно спроектировать, построить, подобрать необходимые решения, внедрить их и осуществить настройку системы, не имея достаточно опыта за спиной, нереально.

2. В ходе проекта на каждом этапе необходимо строго выполнять требования, отраженные в законодательстве. 152-ФЗ является лишь верхушкой айсберга и отражет только общие положения по защите персональных данных. Чтобы разобраться во всех требованиях, необходимо изучить большой массив подзаконных актов (постановления, приказы, методические документы, стандарты и проч.). Решений этого вопроса может быть несколько:

– обучение собственных сотрудников (очень долго и достаточно затратно),
– найм специалистов с нужными знаниями (достаточно долго, очень затратно, невыгодно их держать после окончания проекта);
– приглашение сторонней организации для выполнения работ (предпочтительно с точки зрения времени и затрат).

3. Внедрение системы защиты персональных данных в среду компании повлияет на сложившийся порядок документооборота, информационных потоков и бизнес-процессов. В таких условиях встраивание новых решений не всегда встречает одобрение со стороны руководства и сотрудников компании. Для сохранения деловых отношений лучше, чтобы этой работой занимались специалисты сторонней компании.

Инжиниринговый центр «Региональные системы» обладает необходимым опытом, который позволяет при построении систем защиты персональных данных находить правильный баланс, когда стоимость системы минимизируется при сохранении требуемого уровня защищенности информационных активов предприятия. Мы занимается проектированием, внедрением и сопровождением систем защиты информации и знаем, как удовлетворить требования заказчика.

Наш профессионализм и опыт по проведению аудита информационной безопасности и защищенности персональных данных, проектирования и внедрения соответствующих систем позволит вашей компании уверенно смотреть в завтрашний день! Просто продолжайте заниматься любимым делом! А мы со-храним то, что для вас ценно!

Руденко Дмитрий ,
Руководитель отдела комплексных систем защиты информации,
Департамента системной интеграции.

Политика ЗАО «ТаксНет» в отношении обработки персональных данных и реализуемых требованиях к защите персональных данных

Политика ЗАО «ТаксНет» в отношении обработки персональных данных и реализуемых требованиях к защите персональных данных

1. Общие положения

1.1. Настоящая Политика ЗАО «ТаксНет» в отношении обработки персональных данных и реализуемых требованиях к защите персональных данных (далее – Политика)разработана в целях соблюдения законодательства в области защиты персональных данных, защиты от несанкционированного доступа и разглашения персональных данных, обрабатываемых ЗАО «ТаксНет».

1.2. Настоящая Политика действует в отношении информации, относящейся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

1.3. Политика действует бессрочно после утверждения единоличным исполнительным органом ЗАО «ТаксНет» и подлежит изменению в случае появления новых законодательных актов и специальных нормативных документов, касающихся обработки персональных данных.

1.4. Перечень действий с персональными данными, общее описание используемых способов обработки персональных данных: смешанная обработка персональных данных с передачей по внутренней сети (информация доступна лишь для строго определенных сотрудников ЗАО «ТаксНет»).

2. Основные понятия

2.1. Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

2.2. Оператор — ЗАО «ТаксНет», организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

2.3. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.4. Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

2.5. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

2.6. Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

3. Условия обработки персональных данных

3.1. Обработка персональных данных осуществляется на законной основе, правовыми основаниями обработки являются:

  • Конституция Российской Федерации;
  • Трудовой кодекс Российской Федерации;
  • Гражданский кодекс Российской Федерации;
  • Налоговый кодекс Российской Федерации;
  • Федеральный закон от 27.07.2006г. № 152-ФЗ «О персональных данных»;
  • Федеральный закон от 06.04.2011г. № 63-ФЗ «Об электронной подписи»;
  • Федеральный закон от 04.05.2011г. № 99-ФЗ «О лицензировании отдельных видов деятельности»;
  • Федеральный закон от 07.07.2003г. № 126-ФЗ «О связи»;
  • Федеральный закон от 01.04.1996г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
  • Федеральный закон от 29.12.2012 N 273-ФЗ «Об образовании в Российской Федерации»;
  • Устав ЗАО «ТаксНет»;
  • Регламент Удостоверяющего центра ЗАО «ТаксНет».

3.2. Категории персональных данных, обрабатываемых ЗАО «ТаксНет»: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, ИНН, паспортные данные, пенсионное удостоверение, страховое свидетельство, гражданство,а также фотографии и другие категории персональных данных, обрабатываемые оператором, не указанные в настоящем пункте.

3.3. Категории субъектов персональных данных: работники (субъекты), находящиеся в трудовых отношениях с ЗАО «ТаксНет», контрагенты.

4. Право субъекта персональных данных на доступ к его персональным данным

4.1. Субъект персональных данных имеет право на получение следующих сведений:

  • подтверждение факта обработки персональных данных оператором;
  • правовые основания и цели обработки персональных данных;
  • цели и применяемые оператором способы обработки персональных данных;
  • наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
  • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

  • сроки обработки персональных данных, в том числе сроки их хранения;
  • порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом;
  • информацию об осуществленной или о предполагаемой трансграничной передаче данных;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
  • иные сведения, предусмотренные Федеральным законом или другими федеральными законами.
  • 4.2. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

    4.3. Указанные в пункте 1 настоящего Порядка сведения должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

    4.4. Указанные в пункте 1 настоящего Порядка сведения предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

    4.5. В случае, если сведения, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

    4.6. Субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения указанных в п. 1 настоящего Порядка сведений, а также в целях ознакомления с обрабатываемыми персональными данными до истечения 30 дней, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос должен содержать обоснование направления повторного запроса.

    4.7. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным п. 4 и 5 настоящего Порядка. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.

    Читать еще:  Списание брака документы отражение в бухгалтерском учете Причины брака

    4.8. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

    5. Меры, применяемые для защиты персональных данных

    5.1. ЗАО «ТаксНет» принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных субъектов.

    К таким мерам, в частности, ЗАО «ТаксНет» относит:

    • назначение сотрудника, ответственного за организацию обработки персональных данных;
    • осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону от 27.07.2006г. № 152-ФЗ «О персональных данных»;
    • ознакомление работников ЗАО «ТаксНет», непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, с требованиями к защите персональных данных, с документами, определяющими политику ЗАО «ТаксНет» в отношении обработки персональных данных, локальными документами по вопросам обработки персональных данных;
    • определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных ЗАО «ТаксНет»;
    • применение прошедшей в установленном порядке процедуры оценки соответствия средств защиты информации;
    • систематическое осуществление оценки эффективности принимаемых мер по обеспечению безопасности персональных данных;
    • осуществление учета машинных носителей персональных данных;
    • установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных;
    • контроль над принимаемыми мерами по обеспечению безопасности персональных данных и уровнями защищенности информационных систем персональных данных.

    6. Методы защиты персональных данных

    6.1. Методами защиты персональных данных являются:

    • реализация разрешительной системы допуска к обработке персональных данных;
    • ограничение доступа в помещения, где размещены технические средства, осуществляющие обработку персональных данных, а также хранятся носители информации;
    • разграничение доступа к персональным данным;
    • регистрация действий сотрудников, контроль несанкционированного доступа к персональным данным;
    • использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
    • резервное копирование информации для возможности восстановления;
    • использование защищенных каналов связи.

    Понятие персданных, согласие, общедоступные данные

    Что такое персональные данные ?

    Персональные данные сотрудников – любая информация, необходимая администрации в связи с трудовыми отношениями и касающаяся конкретного сотрудника (п. 1 ст. 3 Закона от 27 июля 2006 г. № 152-ФЗ).

    ФИО и любая другая информация о физическом лице – это персональные данные. Если у вас есть сотрудники или вы храните персональные данные соискателей, клиентов или других физических лиц, вы должны выполнять требования закона о персональных данных №152-ФЗ от 27-06-2006 г.

    В бухгалтерии и кадровой службе хранятся документы, в которых персональные данные сотрудников, – ведомости по зарплате, личные карточки, личные дела и другие. Все персональные данные сотрудника можно получить только от него самого. Если персональные сведения возможно получить только от третьих лиц, то сначала уведомите об этом сотрудника и получите от него письменное согласие. Cообщите сотруднику о целях, предполагаемых источниках и способах получения персональных данных. Кроме того, известите его о характере подлежащих получению персональных данных и о последствиях отказа сотрудника дать согласие на их получение.

    Важно! — сведения о зарплате – также персональные данные. Об этом сказано в письме Роскомнадзора от 07.02.2014 № 08КМ-3681. За то, что бухгалтер неправильно хранит или защищает данные о начислениях и выплатах сотрудникам, предусмотрена ответственность. Например, без согласия сотрудника нельзя сообщать его бывшей жене информацию о зарплате.

    Организация не вправе собирать персональные данные, которые не относятся напрямую к трудовой деятельности сотрудника, например, сведения о вероисповедании, политических пристрастиях, жилищных условиях и т. п. Эти сведения составляют личную или семейную тайну гражданина, которую он вправе никому не разглашать. Об этом сказано в пункте 4 части 1 статьи 86 ТК и статье 10 Закона от 27.07.2006 № 152-ФЗ.

    Получив персональные данные, работодатель обязуется их не распространять и не раскрывать третьим лицам без согласия на то сотрудника (ст. 7 Закона от 27.07.2006 № 152-ФЗ).

    Работодатель хранит копии у сотрудников

    паспорта, военного билета, свидетельства о заключении брака, рождении ребенка, проверяющие из Роскомнадзора могут квалифицировать как обработку персональных данных, которые избыточны по отношению к заявленным целям их обработки. Есть суды, которые поддерживают такую позицию (постановления ФАС Северо-Кавказского округа от 21.04.2014 № А53-13327/2013, от 11.03.2014 № А53-10287/2013). В этом случае организации и ее должностным лицам грозит ответственность.

    Положение о Защите персональных данных, Приказ о назначении ответственного

    Чтобы не допустить разглашения персональных данных, нужно создать надежную систему их защиты. Порядок получения, обработки, передачи и хранения таких сведений установите в локальном акте организации, например в положении о работе с персональными данными сотрудников (.docx 52Кб) . Положение утверждает руководитель организации. Ознакомьте сотрудников с документом под подпись (ст. 8, п. 8 ч. 1 ст. 86, 87 ТК, п. 2 ч. 1 ст. 18.1 Закона от 27.07.2006 № 152-ФЗ).

    Чтобы избежать санкций, смотрите в памятке, за какие действия с персональными данными могут наказать бухгалтера.

    Нужно назначить ответственного по работе с персональными данными. Как правило, таким сотрудником является работник службы персонала, поскольку именно он в ходе своей работы чаще всего сталкивается с персональными данными сотрудников. Ответственного за работу с персональными данными назначьте приказом (.docx 36Кб) в произвольной форме (ч. 5 ст. 88 ТК).

    При обработке персональных данных в информационной системе необходимо обеспечить защиту и безопасность персональных данных. При этом угрозой безопасности персональных данных является совокупность условий и факторов, создающих опасность несанкционированного (в т. ч. случайного) доступа к персональным данным при их обработке в системе, результатом которого могут стать:

    • уничтожение;
    • изменение;
    • блокирование;
    • копирование;
    • предоставление;
    • распространение;
    • иные неправомерные действия с персональными данными.

    Для контроля защищенности персональных данных при их обработке работодатель или уполномоченное им лицо не реже одного раза в три года осуществляет контрольные проверки, конкретные сроки которых работодатель определяет самостоятельно. При необходимости к проведению проверки на договорной основе можно привлечь организации или индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации (п. 17 требований, утв. постановлением Правительства от 01.11.2012 № 1119).

    Согласие на обработку персональных данных

    По ходу деятельности у работодателя возникает необходимость в обработке персональных данных сотрудников. Обработка таких данных за исключением отдельных случаев происходит только с письменного согласия сотрудников. При этом согласие должно включать в себя следующую информацию:

    • фамилию, имя, отчество, адрес сотрудника, реквизиты паспорта (иного документа, удостоверяющего его личность), в том числе сведения о дате выдачи документа и выдавшем его органе;
    • наименование или фамилию, имя, отчество и адрес работодателя (оператора), получающего согласие сотрудника;
    • цель обработки персональных данных;
    • перечень персональных данных, на обработку которых дается согласие;
    • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению работодателя, если обработка будет поручена такому лицу;
    • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных;
    • срок, в течение которого действует согласие сотрудника, а также способ его отзыва, если иное не установлено федеральным законом;
    • подпись сотрудника.

    При недееспособности сотрудника письменное согласие на обработку его персональных данных дает его законный представитель: родитель, опекун (ч. 6 ст. 9 Закона от 27.07.2006 № 152-ФЗ).

    Сотрудник может в любое время отозвать согласие на обработку своих персональных данных, направив работодателю отзыв в произвольной форме. В такой ситуации организация вправе продолжить обработку персональных данных без согласия сотрудника с учетом ограничений из пунктов 2–11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона от 27.07.2006 № 152-ФЗ. Например, чтобы совершить правосудие или защитить жизнь либо здоровье самого сотрудника. Об этом говорится в части 2 статьи 9 Закона от 27.07.2006 № 152-ФЗ.

    При возникновении спора обязанность представить доказательства того, что согласие сотрудника на обработку его персональных данных получено, возлагается на работодателя (ч. 3 ст. 9 Закона от 27.07.2006 № 152-ФЗ).

    С согласия сотрудника организация вправе также поручить обработку персональных данных другому лицу (ч. 3 ст. 6 Закона от 27.07.2006 № 152-ФЗ). В этом случае ответственность перед сотрудником за действия указанного лица по-прежнему будет нести работодатель, а кто непосредственно обрабатывает персональные данные по поручению работодателя, будет отвечать непосредственно перед работодателем (ч. 5 ст. 6 Закона от 27.07.2006 № 152-ФЗ).

    Согласие на обработку персональных данных работодатель должен получать не только от работников, с которыми есть трудовые отношения, но и от соискателей, а также от людей, с которыми заключены в организации гражданско-правовые договоры. Об этом сказано в пункте 5 разъяснений Роскомнадзора от 14.12.2012.

    Нужно ли получать у работника согласие на обработку персональных данных при трудоустройстве

    Все зависит от того, какую информацию организация хочет получить.

    Работодатель может получать, хранить и передавать только ту информацию о сотруднике, которая необходима для исполнения трудового договора (п. 2, 5 ч. 1 ст. 6 Закона от 27.07.2006 № 152-ФЗ, далее – Закон № 152-ФЗ, абз. 1, 2 разъяснений Роскомнадзора от 14.12.2012, далее – Разъяснения). Сотрудник выступает стороной трудового договора, поэтому получать у него согласие на обработку персональных данных нужно не во всех случаях. Например, работодатель вправе без согласия сотрудника обрабатывать персональные данные, которые получил:

    • по результатам обязательного предварительного медосмотра (ст. 69 ТК, п. 3 Разъяснений);
    • из документов, которые работник предъявил при заключении трудового договора (ст. 65 ТК);
    • от кадрового агентства, действующего от имени соискателя (абз. 12 п. 5 Разъяснений);
    • из резюме кандидата в сети Интернет, доступного неограниченному кругу лиц (п. 10 ч. 1 ст. 6 Закона № 152-ФЗ, абз. 12 п. 5 Разъяснений).

    Не требуется согласие и на обработку данных в объеме, который предусмотрен личной карточкой. В том числе можно запросить у работника информацию о его близких родственниках (п. 2 Разъяснений).

    Согласие нужно, когда хотите получить от соискателя какую-то дополнительную информацию, которая не нужна для исполнения трудового договора. Например, адрес личной электронной почты или номер телефона. Также получите согласие, если будете передавать личные данные сотрудника третьим лицам. Например, охранной организации, которая следит за пропускным режимом на территории вашей компании, или сторонней организации, которая ведет учет вашей компании (п. 5 Разъяснений).

    Читать еще:  Как составить изменить учетную политику для целей бухгалтерского учета

    Нужно ли получать согласие на обработку персональных данных сотрудника для изготовления ему бейджика

    Ответ на вопрос зависит от цели изготовления бейджика. Согласие потребуется, если эта процедура не подпадает под случаи, когда обработка данных не требуется.

    Персональные данные сотрудника – это информация, необходимая организации и относящаяся к определенному физическому лицу, то есть конкретному сотруднику. Примерами такой информации могут быть в том числе фамилия, имя, отчество сотрудника. Об этом говорится в пункте 1 статьи 3 Закона от 27.07.2006 № 152-ФЗ.

    В общем случае на обработку персональных данных сотрудника требуется его согласие (п. 2–11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 Закона от 27.07.2006 № 152-ФЗ). Вместе с тем, в законе предусмотрены исключительные случаи, когда получать согласие не нужно. Например, если обработка данных связана с выполнением сотрудником должностных обязанностей, в том числе при его командировании. Или если обработка персональных данных проводится при осуществлении пропускного режима на территории служебных зданий и помещений работодателя при условии, что организацию пропускного режима работодатель осуществляет самостоятельно. Об этом говорится в пунктах 1–5 разъяснений Роскомнадзора от 14.12.2012.

    Таким образом, если изготовление бейджа исходя из цели подпадает под указанные исключения, то получать дополнительное согласие работника не нужно. Если же не подпадает и изготовление бейджа относится к разовой процедуре, не связанной напрямую с трудовой деятельностью работника, то получить согласие нужно.

    Дисциплинарная, материальная, административная и уголовная Ответственность за нарушения в работе с персданными

    За нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников предусмотрена дисциплинарная, материальная, административная и уголовная ответственность (ст. 90 ТК, ч. 1 ст. 24 Закона от 27.07.2006 № 152-ФЗ).

    К дисциплинарной ответственности

    могут быть привлечены только те сотрудники, которые приняли на себя обязательства соблюдать правила работы с персональными данными и нарушили их.

    может наступить, если в связи с нарушением правил работы с персональными данными организации причинен прямой действительный ущерб (ст. 192, ст. 238 ТК).

    За нарушение порядка сбора, хранения, использования или распространения персональных данных организацию и ее должностных лиц оштрафуют. В рамках одной проверки Роскомнадзор может обнаружить несколько разных нарушений. Тогда он взыщет сразу несколько штрафов.

    Размеры штрафов зависят от вида совершенного правонарушения. Так, должностных лиц могут оштрафовать на сумму от 3000 до 20 000 руб., ИП – на сумму от 5000 до 20 000 руб., организацию – на сумму от 15 000 до 75 000 руб.

    Согласно статьи 137 УК для руководителя организации или иного ответственного за работу с персональными данными может наступить, если незаконно:

    • собирать или распространять сведения о частной жизни сотрудника, составляющие его личную или семейную тайну, без его согласия;
    • распространять сведения о жизни сотрудника в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации.

    За указанные нарушения предусмотрены следующие меры ответственности:

    • штраф в размере до 200 000 руб. (или в размере доходов осужденного за период до 18 месяцев);
    • обязательные работы на срок до 360 часов;
    • исправительные работы на срок до одного года;
    • принудительные работы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового;
    • арест на срок до четырех месяцев;
    • лишение свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.

    Если в результате нарушений, допущенных работодателем при работе с персональными данными, ущемляются права сотрудника, то он вправе также потребовать с организации компенсацию морального вреда. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и иных понесенных сотрудником убытков. Об этом говорится в части 2 статьи 24 Закона от 27.07.2006 № 152-ФЗ. Порядок возмещения морального вреда регулируется гражданским законодательством (ст. 1099 ГК).

    ИНН – это не персональные данные

    Каждому налогоплательщику присваивается единый на всей территории РФ по всем видам налогов и сборов ИНН. Оно формируется как цифровой код, состоящий из последовательности цифр, характеризующих код налогового органа (4 знака), порядковый номер записи о лице в ЕГРН (6 знаков) и контрольное число (2 знака).

    ИНН фактически является номером записи о лице в Едином государственном реестре налогоплательщиков и не является информацией, входящей в перечень персональных данных, применяется исключительно в целях упорядочения учета налогоплательщиков внутри системы налоговых органов, а также служит только для ускорения обработки огромного потока информации в интересах соблюдения прав налогоплательщиков.

    Защита персональных данных какие сведения не вправе разглашать бухгалтер

    Защита прав субъектов персональных данных

    Ответы на вопросы в сфере защиты прав субъектов персональных данных

    Вопрос: Что такое Уполномоченный орган по защите прав субъектов персональных данных и на кого возложена реализация этих функций?

    Ответ: Уполномоченный орган — федеральный орган исполнительной власти, осуществляющий функции контроля и надзора в сфере информационных технологий и связи. В настоящее время, в соответствии с постановлением Правительства от 16 марта 2009 г. № 228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций» данная функция возложена на Роскомнадзор.

    Вопрос: Кто может являться оператором персональных данных?

    Ответ: В соответствии п. 2 ст. 3 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

    При этом операторами указанные органы и лица являются независимо от включения в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор.

    Вопрос: Что включает в себя понятие конфиденциальности?

    Ответ: В соответствии со ст. 7 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

    Вопрос: В каких случаях оператор вправе осуществлять обработку персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных?

    Ответ: В соответствии ч. 1 ст. 22 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных. Исключение составляют случаи, предусмотренные ч. 2 настоящей статьи, при обработке персональных данных:

    1) обрабатываемых в соответствии с трудовым законодательством;

    2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

    3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;

    4) разрешенных субъектом персональных данных для распространения при условии соблюдения оператором запретов и условий, предусмотренных статьей 10.1 настоящего Федерального закона

    5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;

    6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

    7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

    8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;

    9) обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

    Вопрос: Распространяются ли требования Федерального закона «О персональных данных» на юридическое лицо иностранного государства?

    Ответ: Требования Федерального закона «О персональных данных» распространяются на представительства юридических лиц иностранных государств, осуществляющих деятельность по обработке персональных данных на территории Российской Федерации.

    Вопрос: Является ли веб-сайт информационной системой обработки персональных данных?

    Ответ: Согласно пункту 10 части 1 статьи 3 Федерального закона «О персональных данных» информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

    В случае соответствия веб-сайта указанным требованиям он является информационной системой.

    Вопрос: Как документально оформить факт уничтожения персональных данных субъекта?

    Ответ: Порядок документальной фиксации уничтожения персональных данных субъекта определяется оператором персональных данных самостоятельно. Уничтожение персональных данных субъекта осуществляется комиссией либо иным должностным лицом, созданной (уполномоченным) на основании приказа Оператора. Наиболее распространенными способами документальной фиксации уничтожения персональных данных субъекта является оформление соответствующего акта о прекращении обработки персональных данных либо регистрация факта уничтожения персональных данных в специальном журнале. Типовая форма акта и журнала утверждаются самим Оператором.

    Оцените содержание раздела:

    Низкое Ниже среднего Среднее Выше среднего Высокое Оценить

    Время публикации: 26.11.2010 14:02
    Последнее изменение: 11.08.2021 12:41

    голоса
    Рейтинг статьи
    Ссылка на основную публикацию
    ВсеИнструменты
    Adblock
    detector