Захист персональних даних що треба знати бухгалтеру - бухгалтерія онлайн

Ось уже більше року, як закон про захист персональних даних працює в повній мірі, без будь-яких застережень і винятків. А контролюючі органи, які активно підключилися до перевірок щодо дотримання закону, не скупляться на штрафи. Про те, як не допустити порушень, за які покладені штрафи, ми Погоріла в цій статті.

Про перевіряючих і розмір штрафів

Відповідальність за порушення в сфері охорони персональних даних законодавець віднесений до адміністративної. Значить, санкції за подібні вчинки треба шукати в Кодексі про адміністративні правопорушення. Зазирнувши туди, ми виявимо, що штрафи не так вже й високі. Згідно зі статтею 13.11 КоАП України вони становлять 5-10 тисяч рублів для організації і 500-1000 рублів для її керівника, якщо в порушенні є його вина.

Однак треба враховувати, що цей штраф може накладатися за кожне допущене порушення. А правил для тих, хто працює з персональними даними, законодавці встановили дуже багато (них ми детально поговоримо трохи нижче). Так що 10 тисяч рублів штрафу легко можуть перетворитися в 50 або 100 тисяч рублів навіть в рамках однієї перевірки. А за рік ці суми можуть виявитися ще значніше.

Раз вже ми торкнулися питання перевірок, то відразу скажемо, що відомством, повноважним контролювати дотримання режиму персональних даних, є Федеральна служба з нагляду в сфері зв'язку, інформаційних технологій і масових комунікацій (скорочено - Роскомнадзор). Однак права накладати і стягувати штрафи у цій організації немає. Всі матеріали по тим перевіркам, де виявлені порушення, Роскомнадзор передає в прокуратуру. Прокурор уповноважений приймати рішення про порушення провадження у адміністративному правопорушенню (п. 1 ст. 28.4 КоАП України). Питання ж про накладення штрафів вирішується суддею (п. 1 ст. 23.1 КоАП України).

Результатами цих перевірок стали більш ніж 4500 приписів про усунення виявлених порушень, і 7591 протокол про адміністративні правопорушення.

запасаємося паперами

Отже, з відповідальністю за порушення правил роботи з персональними даними ми розібралися. Давайте тепер подивимося, що ж треба зробити організації, щоб уникнути штрафів.

Треба відзначити, що правила, встановлені Федеральним законом від 27.07.06 № 152-ФЗ «Про персональних даних». стосуються не тільки тих організацій, які мають справу з клієнтськими базами даних. Дотримуватися вимоги цього закону повинні всі організації, в яких є хоча б один працівник. Пов'язано це з тим, що до персональних даних законодавці серед іншого віднесли і ті відомості, які підприємство отримує від своїх співробітників, приймаючи їх на роботу. А це означає, що організація зобов'язана їх захищати в повній відповідності з законом.

Відзначимо, що закон не робить якихось відмінностей між тим, на яких носіях в організації існують документи, що містять персональні дані. Так що, і той роботодавець, який впровадив високотехнологічні інформаційні системи, і той, який веде роботу з кадровими документами на папері, зобов'язані прийняти ряд організаційних і технічних заходів щодо захисту персональних даних співробітників. Саме формальне виконання цих заходів в більшості випадків і контролюють фахівці Роскомнадзора.

Перше, що захочуть побачити перевіряючі, - це наказ керівника про призначення відповідального за роботу з персональними даними та забезпеченні їх захисту. Таким відповідальним може бути як конкретна особа (зразок наказу можна завантажити тут), так і підрозділ (зразок наказу можна завантажити тут). В останньому випадку особисту відповідальність несе керівник такого підрозділу.

Далі буде потрібно затвердити документ, що містить перелік персональних даних (зразок наказу можна завантажити тут), які реально використовуються в діяльності організації. Складаючи такий документ, не забудьте включити в нього всі відомості, які працівник письмово повідомляє про себе під час вступу на роботу, а також використовувані в подальшому при оформленні кадрової документації.

У цьому переліку повинні бути:

заява про прийом на роботу;
анкета співробітника;
особова картка;
особиста справа;
трудовий договір;
накази;
трудова книжка;
матеріали атестаційних комісій.

Це один розділ переліку. Якщо ж в організації є внутрішній документообіг, який містить відомості про співробітників (наприклад, звіти і матеріали, які складаються для акціонерів, засновників, головної організації і т.п.), то ці звіти теж потрібно включити в перелік.

Крім цього, в переліку повинні бути вказані документи, що містять ті відомості про співробітників, які організація представляє в різні державні органи (податкову і трудову інспекції, органи статистики).

Наступний етап роботи - підготовка та затвердження списку осіб, допущених до роботи з персональними даними. Цей документ затверджується наказом керівника і доводиться під підпис до всіх зазначених у ньому співробітників (зразок наказу можна завантажити тут).

Ще один документ, який потрібно підготувати і затвердити - Положення про роботу з персональними даними (приблизний зразок Положення см. Тут; на підставі цього зразка потрібно скласти своє Положення, доповнивши його особливостями збору, обробки та використання персональних даних працівників вашої компанії). У Положенні про роботу з персональними даними потрібно детально прописати всі вимоги до отримання, зберігання, комбінування, передачі і будь-якого іншого використання персональних даних, а також гарантії щодо їх захисту. З Положенням потрібно під підпис ознайомити всіх співробітників, включених до списку осіб, допущених до роботи з персональними даними.

Що ж повинно бути зафіксовано в Положенні про персональні дані? На практиці такий документ зазвичай складається з розділів, що описують яким саме чином в організації повинен відбуватися збір та обробка персональних даних; хто і в якому порядку має доступ до цих даних; які заходи вживаються для запобігання розголошенню персональних даних.

Далі може слідувати розділ «Доступ до персональних даних». У ньому послідовно описується порядок доступу до таких даних працівників організації і третіх осіб (окремо родичів, державних органів, представників інших організацій). При необхідності тут можна ввести рівні доступу в залежності від посади співробітника. Наприклад, директор і апарат дирекції мають доступ до всіх персональних даних; працівники бухгалтерії - тільки до тих відомостей, які за необхідне для розрахунку заробітної плати і податків; представники кадрової служби - до відомостей, необхідних для оформлення кадрової документації і т.п.

Продовжить Положення розділ «Порядок обробки та передачі даних». Тут треба зафіксувати правила для передачі даних про співробітників певним органам або особам. У випадках, коли передача даних регулюється законодавчо (податкові органи, органи статистики, Пенсійний фонд і т.п.) досить зробити посилання на порядок передачі відомостей, встановлений законодавством. Але при цьому слід обов'язково зафіксувати, хто і в якому порядку має право готувати дані відомості для передачі в держоргани.

А ось родичам, членам сім'ї, страховим компаніям, банкам, благодійним організаціям, недержавним пенсійним фондам і т. П. Персональні дані надаються тільки при наявності письмової згоди працівника на кожен конкретний факт передачі даних.

Чи обов'язково повідомляти Роскомнадзор?

Є ще один важливий момент. Йдеться про повідомлення Роскомнадзора про те, що організація працює з персональними даними. Ситуація тут вкрай неоднозначна.

Цитата (Ірина Ковель): У тесті можливо є помилка, тому що проводити перевірки дотримання правил роботи з персональними даними має право не тільки Роскомсвязьнадзор і і прокуратура (по ФЗ "Про прокуратуру" має повноваження на перевірку дотримання законності всіма).

Формально - так, ви праві. За скаргою може відпрацювати проверочку і прокуратура.

На жаль, прокуратура у нас просто мега-перевіряльників всього і всіх і при наявності бажання можуть "запроверять". Але щоб перевіряти треба бути фахівцем у перевіреній області. Тому такі скарги на практиці просто переправляються в уповноважений орган. В даному випадку в Роскомнадзор.

У тесті можливо є помилка, тому що проводити перевірки дотримання правил роботи з персональними даними має право не тільки Роскомсвязьнадзор і і прокуратура (по ФЗ "Про прокуратуру" має повноваження на перевірку дотримання законності всіма).