Подключите бератор по выгодной цене
при подписке вам будут доступны:
материалы бератора «Практическая энциклопедия бухгалтера»
материалы журналов «Нормативные акты для бухгалтера» и «Практическая бухгалтерия»
онлайн-сервисы бератора и полезные PDF-издания на важные темы
доступ на 6 месяцев
32 200 ₽ 16 800 ₽
Зарегистрируйтесь на сайте и читайте дальше
Вы бесплатно получите доступ на 3 дня ко всем разделам и возможностям бератора.
Если вы являетесь платным клиентом бератора, просто войдите в свой аккаунт.
Персональные данные: ответственность бухгалтера
Доступ к персональным данным имеет не только кадровик, но и бухгалтер. Обращение с такой информацией жестко регламентировано законом.
Нарушения законодательства в области персональных данных влекут ответственность по статье 13.11 Кодекса об административных правонарушениях. С 1 июля 2017 года эта статья действует в новой, расширенной редакции, а размер штрафов по ней многократно увеличен.
При исполнении должностных обязанностей бухгалтер постоянно имеет дело с персональными данными физических лиц – не только работников компании, но и ее контрагентов (покупателей, заказчиков, подрядчиков и др.). К тому же в небольшой компании бухгалтер зачастую ведет и кадровую работу. А значит, без знаний о правилах обращения с персональными данными ему не обойтись.
Терминология
Для начала предстоит разобраться со специальной терминологией.
Отношения, связанные с обработкой персональных данных, регулирует Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ). Целью данного закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Важно
Оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных (ч. 1 ст.22.1 Федерального закона «О персональных данных»).
Персональными данными считается любая информация, относящаяся к определенному физическому лицу. А под обработкой персональных данных понимают любое действие (операцию) или совокупность действий (операций), совершаемых с персональными данными. К таким действиям относятся сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п.п. 1, 3 ст. 3 Закона № 152-ФЗ).
На заметку
На основании статьи 86 Трудового кодекса РФ обработка персональных данных работника может осуществляться исключительно в целях: обеспечения соблюдения законов и иных нормативных правовых актов; содействия работникам в трудоустройстве, получении образования и продвижении по службе; обеспечения личной безопасности работников; контроля количества и качества выполняемой работы и обеспечения сохранности имущества
Очевидно, под определение персональных данных попадают сведения, содержащиеся в справках по форме 2-НДФЛ и в карточках индивидуального учета сумм начисленных выплат и страховых взносов (п. 4 ст. 431 НК РФ). Кроме того, бухгалтеру приходится работать с трудовыми и гражданско-правовыми договорами, содержащими сведения о физических лицах в составе реквизитов (паспортные данные, контактные телефоны). Условия трудового договора и информация о сделках гражданина также признаются его персональными данными. Обработку персональных данных осуществляет и кассир, поскольку расходный кассовый ордер содержит номер, дату и место выдачи документа, удостоверяющего личность получателя наличных денег.
Представить себе осуществление финансово-хозяйственной деятельности без обработки персональных данных невозможно. Поэтому всякую компанию или любого индивидуального предпринимателя нужно считать операторами (п. 2 ст. 3 Закона № 152-ФЗ).
Законодатель определил и специальные действия с персональными данными. В частности:
-
распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц (п. 5 ст. 3 Закона № 152-ФЗ);
-
предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц (п. 6 ст. 3 Закона № 152-ФЗ).
Надзорный орган
Контроль и надзор за соблюдением требований Закона № 152-ФЗ осуществляет Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Этот орган привлекает к административной ответственности лиц, виновных в нарушении Закона № 152-ФЗ. Полномочия Роскомнадзора на местах осуществляют его территориальные органы.
Обратите внимание!
Обработка персональных данных осуществляется с согласия субъекта персональных данных (п. 1 ч. 1 ст.6 Федерального закона «О персональных данных»).
На основании статьи 22 Закона № 154-ФЗ оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о своем намерении осуществлять такую обработку. Без такого уведомления можно осуществлять обработку персональных данных:
-
в соответствии с трудовым законодательством;
-
полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора.
Предположим, компания поручает ведение кадрового бухгалтерского учета сторонней организации. В результате персональные данные физлиц-контрагентов компании попадут к новому оператору, который должен предупредить о предстоящей обработке Роскомнадзор.
Актуально
Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом (ст. 7 Федерального закона «О персональных данных»).
Кроме того, часть 3 статьи 6 Закона № 154-ФЗ устанавливает специальные требования к такому договору об оказании услуг, а также обязывает работодателя получить согласие работников на передачу их персональных данных. Содержание согласия работника должно быть конкретным и включать информацию, позволяющую однозначно сделать вывод о целях, способах обработки с указанием действий, совершаемых с персональными данными, объеме обрабатываемых персональных данных. Согласие работника может быть оформлено как в виде отдельного документа, так и закреплено в тексте трудового договора (п. 5 Разъяснений Роскомнадзора от 24.12.2012 «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»).
Навязчивый маркетинг - вне закона
Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только при условии предварительного согласия субъекта персональных данных (ч. 1 ст. 15 Закона № 152-ФЗ). Эта норма касается рассылки сообщений рекламного характера.
Ответственность бухгалтера
Из статьи 13.11 Кодекса об административных правонарушениях непосредственно бухгалтера касается часть 2. Она устанавливает:
обработка персональных данных без согласия в письменной форме субъекта персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством, либо обработка персональных данных с нарушением установленных законодательством требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, - влечет наложение штрафа на должностных лиц - от 10 000 до 20 000 рублей, на юридических лиц - от 15 000 до 75 000 рублей.
Размеры санкций впечатляют. Между тем в прежней редакции названной статьи административные штрафы для должностных лиц составляли от 500 до 1000 рублей.
На заметку
Все персональные данные работника следует получать у него самого. Если же персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие (п. 3 ст. 86 ТК РФ).
Попасть под эти санкции несложно – достаточно запросить у работника документы, удостоверяющие право на льготы (например, в целях предоставления стандартных вычетов по НДФЛ или материальной помощи в связи со смертью члена семьи), не заручившись его согласием на обработку соответствующих персональных данных. Персональными данными будут и сведения о документе, удостоверяющем личность потребителя, возвращающего некачественный товар. Будьте бдительны!
Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности (ч. 4 ст. 9 Закона № 152-ФЗ):
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
3) цель обработки персональных данных;
4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
6) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
7) подпись субъекта персональных данных.
Сергей Данилов, корреспондент «ПБ»
