Я затрону актуальную тему: проблемные вопросы обработки персональных данных сотрудников силами бухгалтерии компаний. Бухгалтеры имеют непосредственное отношение к персональным данным сотрудников.
Я построю семинар на разборе вопросов, которые задают бухгалтеры. Также буду касаться претензий, с которыми сталкиваются компании при проверках соблюдения законодательства о защите персональных данных. То есть материал актуальный и практически направленный. Я уверена, что он пригодится бухгалтерам.
Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций, или по-другому Роскомнадзор, – это уполномоченный орган по защите прав субъектов персональных данных. Ведомство проводит проверки компаний на предмет правильности работы с персональными данными работников.
В случае с коммерческими организациями под субъектами персональных данных понимаются их сотрудники и некоторые другие граждане, которые взаимодействуют с компанией – например, соискатели на вакансии.
Уведомление Роскомнадзора
Один из наиболее проблемных вопросов – подготовка и направление уведомлений об обработке персональных данных. Часто в случаях, когда компания подает в Роскомнадзор уведомление, она забывает прописать такое направление деятельности, как ведение бухгалтерского учета. Организация упоминает только, к примеру, ведение кадрового учета. Хотя именно бухгалтерия обрабатывает основную часть персональных данных сотрудников. Ошибки бухгалтерии в работе с персональными данными, штраф компании.
Поэтому я рекомендую операторам персональных данных, то есть компаниям, дополнить уведомление в Роскомнадзор. Туда надо включить информацию о деятельности бухгалтерской службы в разделе «Цели обработки персональных данных».
Кстати, тем, кто только начинает работать с защитой персональных данных, советую ознакомиться с разъяснениями чиновников. Роскомнадзор подготовил рекомендации по заполнению уведомления об обработке персональных данных. Их можно найти в приказе Роскомнадзора от 19 августа 2011 г. № 706.
Бухгалтеров интересует, нужно ли направлять в Роскомнадзор уведомление, если компания обрабатывает персональные данные только в рамках трудовых отношений со своими сотрудниками или работниками по гражданско-правовым договорам. В этом случае направлять уведомления не надо.Фактически данные работников компания никому не передает.
Другая ситуация, когда компания оформляет сотрудникам полисы ДМС или банковские карточки для перечисления зарплаты, то есть передает персональные данные другому оператору. Тогда уведомление надо обязательно направить.
Важно понимать, что, даже если компания не передает данные своих сотрудников другим операторам, она все равно обязана соблюдать требования по защите персональных данных. Отсутствие необходимости направлять уведомление в Роскомнадзор не означает, что персональные данные можно не защищать.
Перечень ответственных сотрудников
Переходим ко второму распространенному нарушению. Положениями Федерального закона от 27 июля 2006 г. № 152-ФЗ и подзаконных актов установлено требование к компаниям письменно определить перечень работников, которые либо сами обрабатывают персональные данные, либо имеют к ним доступ. Замечу, что, в принципе, обязанность соблюдать конфиденциальность для работников, ответственных за работу с персональными данными, должна быть отражена в их трудовых договорах или в должностных инструкциях, если в договорах есть на них ссылка.
Как я уже говорила, зачастую перечень, утверждаемый компанией, сводится лишь к работникам кадровой службы. Бухгалтеры часто в этот список не входят. Это неправильно. Советую проверить списки сотрудников, имеющих доступ к персональным данным.
Если при проверке Роскомнадзор обнаружит, что бухгалтеров в этом перечне нет, это будет зафиксировано как нарушение. Штрафы для компаний, нарушающих законодательство в области персональных данных, предусмотрены статьями 13.11 и 19.7 КоАП РФ. Вполне вероятно, что в будущем размер штрафов за нарушение законодательства о защите персональных данных будет увеличен. В Роскомнадзоре считают, что существующий сейчас максимальный размер штрафа (10 тыс. руб.) не соответствует ущербу, который наносится субъектам персональных данных.
Согласие на обработку персональных данных
Я неоднократно слышала от клиентов, что в Роскомнадзор обращаются сотрудники компании с жалобами о том, что у них работодатель не взял согласия на обработку персональных данных. Или, наоборот, жалуются, что такое согласие берут в случаях, не предусмотренных законодательством.
Действительно, компании нередко допускают ошибки в части получения согласия на обработку персональных данных. Организации сомневаются, когда именно необходимо получение такого согласия со стороны работников или других лиц.
Бухгалтерии не нужно согласие работников на обработку их персональных данных для передачи сведений в Пенсионный фонд и ФСС РФ, налоговые инспекции, другие государственные ведомства. Это не сторонние операторы, которым компания передает сведения о работниках. Обязанность по передаче данных работников, которая возложена на компанию законодательством, не ведет к необходимости получения согласия.
В законе № 152-ФЗ, кстати, перечислены все случаи, когда у работников надо брать именно письменное согласие на обработку персональных данных. Это, к примеру, обработка биометрических, специальных категорий персональных данных, данных о несовершеннолетних (то есть детях работников), о передаче данных сторонним организациям, их включении в общедоступные источники информации.
Я уже упоминала про необходимость направления уведомления в Роскомнадзор в случае, если компания оформляет сотрудникам ДМС или банковские карты. В этих ситуациях надо брать у работников письменное согласие.
Хотелось бы подчеркнуть: бухгалтерии компании надо различать два случая оформления зарплатного банковского проекта для работников.
Первый – когда договор с банком заключает сама компания. В рамках этого договора от лица своих работников компания передает банку информацию о них. Здесь компания выступает представителем своих сотрудников. Тогда согласие на обработку персональных данных брать надо.
Второй случай – когда банк заключает с работником организации индивидуальный договор на получение зарплатной карты. В этом случае дополнительное согласие от работника не требуется.
Также надо помнить, что договор с банком по зарплатному проекту обязательно должен содержать обязательство по обеспечению требований по конфиденциальности и безопасности данных. Если таких условий нет, Роскомнадзор посчитает это нарушением законодательства в области персональных данных. Компанию могут оштрафовать.
Стандартные вычеты и удержание алиментов
Бухгалтеры часто спрашивают, как правильно работать с персональными данными, если с сотрудника удерживаются алименты. Нужно ли в этом случае получать согласие бывшей жены работника?
Аналогичные вопросы возникают по сотрудникам, которые имеют право на получение стандартных налоговых вычетов на детей (о новых правилах по таким вычетам см. статью , опубликованную в . – Примеч. ред.). Встает вопрос: нужно ли получать согласие ребенка?
Если взыскание алиментов с работника производится в соответствии с Федеральным законом от 2 октября 2007 г. № 229-ФЗ «Об исполнительном производстве», налоговые вычеты – в соответствии с Налоговым кодексом РФ, то получать согласие не требуется.
Бухгалтерия на аутсорсинге
Отдельно хотелось бы остановиться на ситуации, когда компания нанимает бухгалтеров по аутсорсингу. Как правильно оформить защиту персональных данных при такой схеме работы?
Бухгалтерия на аутсорсинге – это сторонний оператор персональных данных. Значит, в соответствии со статьей 6 закона № 152-ФЗ у работников компании надо получить письменное согласие на обработку их персональных данных. Это первое, о чем необходимо помнить.
Второе условие – в договоре с аутсорсинговой компанией обязательно должен присутствовать пункт о соблюдении конфиденциальности при работе с персональными данными. Также в договоре должны быть перечислены конкретные меры по обеспечению безопасности персональных данных работников компании-заказчика.
При аутсорсинге бухгалтерии также возникает вопрос о дальнейшей передаче персональных данных в налоговые инспекции и внебюджетные фонды. Дополнительного согласия брать у сотрудников не требуется.
Единственное, надо быть осторожным и проверять, не привлекает ли аутсорсинговая компания еще какие-то организации для работы по договору. Например, для ведения бухгалтерского учета в автоматизированных системах. Нужно четко понимать следующее. Если компания привлекает аутсорсеров для ведения бухгалтерии – это одно. Как защитить персональные данные в этом случае, я уже рассказала. Но если при проверке выяснится, что аутсорсинговая компания привлекала другого оператора, это будет прямым нарушением законодательства.
Срок обработки и хранения персональных данных
Вопросы о нарушениях, связанных со сроками обработки и хранения персональных данных, также часто возникают при проверках Роскомнадзора.
Бывает, что уволившийся из компании сотрудник пишет в Роскомнадзор или бывшему работодателю о том, что он отзывает согласие на обработку его персональных данных. Человек просит уничтожить его персональные данные ввиду прекращения трудовых отношений с компанией. В этой ситуации у большинства бухгалтеров возникает вопрос: как практически произвести такое уничтожение? Частью 4 статьи 21 закона № 152-ФЗ предусмотрено, что в случае достижения цели обработки персональных данных (например, увольнение сотрудника), она должна быть прекращена. Правда, в этой норме есть уточнение про основания других федеральных законов. По Федеральному закону от 21 ноября 1996 г. № 129-ФЗ «О бухгалтерском учете» (о том, как новый закон о бухучете в следующем году повлияет на работу бухгалтера, см. статью , опубликованную в . – Примеч. ред.) установлен срок на хранение сведений пять лет. Поэтому даже в случае, если работник уволился, компания может обрабатывать сведения о нем в течение пяти лет.
Если вернуться к аутсорсингу, то после завершения договорных отношений нанятая организация должна удалить все сведения, переданные заказчиком. Все возможные документы аутсорсеры должны передать. В итоге после окончания работы по договору у аутсорсинговой бухгалтерии не должно остаться никакой информации с персональными данными.
Контрагента можно проверить еще одним способом
Все операторы, которые осуществляют обработку персональных данных, включаются в реестр, доступный в Интернете. Посмотреть, какие компании отправили уведомления, можно на портале персональных данных , который ведет Роскомнадзор. Поиск там можно осуществлять по названию компании или ее ИНН. В принципе, проверить, соблюдает ли контрагент законодательство о защите персональных данных, никогда не будет лишним. При отстаивании своей позиции в споре с налоговиками любая информация пригодится.
Архив
Бухгалтеры постоянно интересуются, как быть с архивами. В том числе что делать с помещаемыми туда сведениями по уволившимся сотрудникам.
Некоторые работодатели по документам после истечения пятилетнего срока в своих автоматизированных системах делают архив. Сведения помещаются в отдельный информационный сегмент. Компании мотивируют свои действия положениями Федерального закона от 22 октября 2004 г. № 125-ФЗ «Об архивном деле», на который закон о персональных данных не распространяется.
Да, закон № 152-ФЗ действительно не распространяется на отношения, связанные с архивным хранением. Но есть важный нюанс. В законодательстве об архивном деле нет такого понятия, как электронный архив. Архив создается только на бумажных носителях. Значит, создание «архива» в электронных системах учета в части защиты персональных данных неправомерно.
Следовательно, обработка информации, которую компания «архивирует» в автоматизированных системах учета, является неправомерной. При проверке Роскомнадзор обязательно потребует удалить эти сведения.
О лекторе
Ольга Степановна Макаркина, налоговый консультант и аттестованный аудитор. В 1994 году окончила Московскую финансовую академию.
Темы: