Доступ к персональным данным имеет не только кадровик, но и бухгалтер. Обращение с такой информацией жестко регламентировано законом.
Нарушения законодательства в области персональных данных влекут ответственность по статье 13.11 Кодекса об административных правонарушениях. С 1 июля 2017 года эта статья действует в новой, расширенной редакции, а размер штрафов по ней многократно увеличен.
При исполнении должностных обязанностей бухгалтер постоянно имеет дело с персональными данными физических лиц – не только работников компании, но и ее контрагентов (покупателей, заказчиков, подрядчиков и др.). К тому же в небольшой компании бухгалтер зачастую ведет и кадровую работу. А значит, без знаний о правилах обращения с персональными данными ему не обойтись.
Читайте также «Кому выпишут штраф за нарушение Закона о персональных данных?»
Терминология
Для начала предстоит разобраться со специальной терминологией.
Отношения, связанные с обработкой персональных данных, регулирует Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ). Целью данного закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Персональными данными считается любая информация, относящаяся к определенному физическому лицу. А под обработкой персональных данных понимают любое действие (операцию) или совокупность действий (операций), совершаемых с персональными данными. К таким действиям относятся сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 1, 3 ст. 3 Закона № 152-ФЗ).
Очевидно, под определение персональных данных попадают сведения, содержащиеся в справках по форме 2-НДФЛ и в карточках индивидуального учета сумм начисленных выплат и страховых взносов (п. 4 ст. 431 НК РФ). Кроме того, бухгалтеру приходится работать с трудовыми и гражданско-правовыми договорами, содержащими сведения о физических лицах в составе реквизитов (паспортные данные, контактные телефоны). Условия трудового договора и информация о сделках гражданина также признаются его персональными данными. Обработку персональных данных осуществляет и кассир, поскольку расходный кассовый ордер содержит номер, дату и место выдачи документа, удостоверяющего личность получателя наличных денег.
Представить себе осуществление финансово-хозяйственной деятельности без обработки персональных данных невозможно. Поэтому всякую компанию или любого индивидуального предпринимателя нужно считать операторами (п. 2 ст. 3 Закона № 152-ФЗ).
Законодатель определил и специальные действия с персональными данными. В частности:
- распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц (п. 5 ст. 3 Закона № 152-ФЗ);
- предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц (п. 6 ст. 3 Закона № 152-ФЗ).
Надзорный орган
Контроль и надзор за соблюдением требований Закона № 152-ФЗ осуществляет Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Этот орган привлекает к административной ответственности лиц, виновных в нарушении Закона № 152-ФЗ. Полномочия Роскомнадзора на местах осуществляют его территориальные органы.
На основании статьи 22 Закона № 154-ФЗ оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о своем намерении осуществлять такую обработку. Без такого уведомления можно осуществлять обработку персональных данных:
- в соответствии с трудовым законодательством;
- полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора.
Предположим, компания поручает ведение кадрового бухгалтерского учета сторонней организации. В результате персональные данные физлиц-контрагентов компании попадут к новому оператору, который должен предупредить о предстоящей обработке Роскомнадзор.
Кроме того, часть 3 статьи 6 Закона № 154-ФЗ устанавливает специальные требования к такому договору об оказании услуг, а также обязывает работодателя получить согласие работников на передачу их персональных данных. Содержание согласия работника должно быть конкретным и включать информацию, позволяющую однозначно сделать вывод о целях, способах обработки с указанием действий, совершаемых с персональными данными, объеме обрабатываемых персональных данных. Согласие работника может быть как оформлено в виде отдельного документа, так и закреплено в тексте трудового договора (п. 5 Разъяснений Роскомнадзора от 24.12.2012 «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»).
Читайте также «Как оформить согласие работника на обработку персональных данных»
Навязчивый маркетинг – вне закона
Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только при условии предварительного согласия субъекта персональных данных (ч. 1 ст. 15 Закона № 152-ФЗ). Эта норма касается рассылки сообщений рекламного характера.
Ответственность бухгалтера
Из статьи 13.11 Кодекса об административных правонарушениях непосредственно бухгалтера касается часть 2. Она устанавливает:
обработка персональных данных без согласия в письменной форме субъекта персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством, либо обработка персональных данных с нарушением установленных законодательством требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, – влечет наложение штрафа на должностных лиц – от 10 000 до 20 000 рублей, на юридических лиц – от 15 000 до 75 000 рублей.
Размеры санкций впечатляют. Между тем в прежней редакции названной статьи административные штрафы для должностных лиц сставляли от 500 до 1000 рублей.
Попасть под эти санкции несложно – достаточно запросить у работника документы, удостоверяющие право на льготы (например, в целях предоставления стандартных вычетов по НДФЛ или материальной помощи в связи со смертью члена семьи), не заручившись его согласием на обработку соответствующих персональных данных. Персональными данными будут и сведения о документе, удостоверяющем личность потребителя, возвращающего некачественный товар. Будьте бдительны!
Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности (ч. 4 ст. 9 Закона № 152-ФЗ):
- фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
- срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
- подпись субъекта персональных данных.
В заключение напомним, что различные «персональные неприятности» грозят бухгалтеру в случае, если он без согласия сотрудника разгласил его зарплату, премию, вознаграждение по договору; оставил на столе без присмотра или вынес с рабочего места справки, расчетные листки, другие документы с персональными данными; потерял эти документы; разместил копию заявления человека в качестве образца на стенде с образцами других заявлений; отказался уничтожить персональные данные сотрудника, если они устаревшие, неточные.
Читайте также «Журналы учета персональных данных»