28.10.2025
Бухгалтеры ежедневно используют в работе личную информацию сотрудников, контрагентов и учредителей. За малейшие нарушения при хранении или передаче таких сведений предусмотрены крупные штрафы, которые грозят не только компании, но и должностным лицам.
Разберемся, как правильно организовать работу с персональными данными, избежать ошибок и претензий со стороны Роскомнадзора. Расскажем о частых нарушениях и дадим практические советы по защите информации.
Какие персональные данные обрабатывает бухгалтер?
Персональные данные (ПД) – это набор сведений, с помощью которых можно идентифицировать конкретного человека. Причем в законе нет исчерпывающего перечня такой информации.
В процессе работы бухгалтер регулярно сталкивается с различными видами персональных данных. Мы собрали их в таблицу.
В небольших фирмах бухгалтерия часто выполняет функции отдела кадров. Тогда дополнительно обрабатываются сведения:
- об образовании и квалификации;
- о предыдущей трудовой деятельности.
Вся перечисленная информация необходима для исполнения обязанностей налогового агента и обязательств перед деловыми партнерами, подготовки платежных поручений и составления отчетности, а также для корректного ведения кадрового учета.
Документы содержащие персональные данные
Компания получает о человеке личные сведения на этапе рассмотрения кандидатов на вакантную должность, при приеме на работу и в процессе трудовой деятельности.
Информация содержится в следующих документах.
Правила работы с персональными данными
В соответствии с законом 152-ФЗ, предприниматели обязаны защищать частную информацию сотрудников и контрагентов. Наши эксперты подготовили пошаговую инструкцию, которая поможет организовать обработку таких сведений с соблюдением установленных требований.
1. Создание нормативной базы. Компания должна подготовить и утвердить внутренние документы, которые регулируют процессы обработки информации о физических лицах. Правила выстроенной системы необходимо строго соблюдать.
В таблице мы собрали перечень обязательных нормативных актов.
2. Назначение ответственного. Им может быть любой сотрудник, обладающий достаточной квалификацией и полномочиями. Его задача – обеспечить исполнение требований законодательства в сфере защиты сведений личного характера и взаимодействовать с Роскомнадзором. Ответственного назначает руководитель с помощью приказа.
В небольших фирмах такие обязанности часто возлагают на главного бухгалтера, когда в штате нет юриста и кадровика.
3. Подача уведомления в Роскомнадзор. Это необходимо сделать до того, как фирма приступит к работе с частной информацией.
4. Утверждение перечня лиц, имеющих доступ к ПД. Здесь должен быть дифференцированный подход. То есть сотрудники получают разный уровень доступа в зависимости от своих должностных обязанностей.
Со всеми работниками, внесенными в список, следует заключить обязательство о неразглашении ПД.
5. Получение согласия на обработку. Перед какими-либо действиями с личными сведениями необходимо оформить письменное разрешение сотрудника, контрагента или соискателя на вакантную должность.
Применяемый шаблон документа должен содержать четкие цели, способы обработки данных и срок действия. Например, человек разрешает передать сведения о себе для оформления карты в рамках зарплатного проекта в конкретный банк.
При изменении условий работы документы необходимо обновлять.
Обратите внимание! Согласие работника не требуется при сдаче отчетности и при ответе на запросы прокуратуры, органов МВД и других государственных учреждений.
Разрешение человека необходимо получить, если относительно него поступил запрос от родственников, коллекторов или будущих работодателей.
6. Организация внутреннего контроля. Он нужен для общей оценки выполнения законодательных требований, выявления ошибок, определения степени защищенности ПД и порядка доступа к ним третьих лиц.
Каждая компания обязана проводить такой аудит минимум один раз в три года. Если представители Роскомнадзора придут с проверкой, им следует предъявить комплект документов по внутреннему контролю.
7. Информирование Роскомнадзора в случае утечки. Это необходимо сделать в течение суток с момента, как стало известно о происшествии. Кроме того, фирма обязана провести внутреннее расследование и через 72 часа сообщить о его результатах.
Нарушения при обработке персональных данных
1. Несоблюдение правил хранения. В бухгалтерии на видном месте могут оказаться документы или открытые файлы, которые содержат ИНН, номера телефонов и банковские реквизиты работников.
Например, бухгалтер оставил на столе распечатанные зарплатные ведомости и ушел на обед. За это время с ними ознакомился сотрудник другого отдела.
Крайне важно держать бумаги в запирающемся шкафу, убирать рабочий стол и использовать флеш-накопители с паролем.
2. Размещение в открытом доступе ПД человека без его согласия. Заявление, написанное сотрудником, может содержать личные сведения. Размещение такого документа в качестве образца на корпоративном портале без письменного согласия является нарушением. Гораздо проще использовать для таких целей вымышленные имена.
3. Отправка ПД через запрещенные ресурсы. На практике работник может отправить файл с информацией личного характера с помощью ненадежного мессенджера.
Помните, что использование зарубежной IT-инфраструктуры для деловых целей грозит предприятию существенными штрафами.
4. Передача ПД третьим лицам без разрешения. Допустим, в компании работала супружеская пара, которая вскоре развелась. Теперь бывшая жена просит бухгалтера сообщить о величине заработка бывшего мужа, чтобы знать, какие алименты она сможет потребовать. Такие сведения раскрывать запрещено.
5. Хранение лишних документов. Если в личных делах и других папках обнаружат бумаги, которые обработаны и больше не нужны, фирму ждет штраф. В группе риска – копии паспортов, дипломов и свидетельств о рождении детей. В личном деле хранят только трудовой договор, приказы руководителя, служебные записки и заявления сотрудника.
Безопасный вариант – проверить оригиналы документов, внести информацию в базу и сразу вернуть бумаги их владельцу.
Обеспечение защиты персональных данных в организации
Сведения могут храниться в бумажном или электронном формате. Бумажные документы должны находиться в специально оборудованном помещении или сейфе.
Следить за сохранностью компьютерных баз лучше поручить специалистам.
Несколько советов, которые позволяют минимизировать риск утечки данных.
1. Использование паролей. Регулярно обновляйте и усложняйте пароли для входа в рабочие программы и никому их не передавайте.
2. Резервирование сведений. Своевременно создавайте резервные копии бухгалтерской базы и проверяйте их целостность.
3. Охрана помещений. Ограничьте доступ в кабинеты, где находятся бумажные носители с ПД и серверы.
Не храните базы и документы на личном ноутбуке! Устройство может не иметь защиты. Тогда при взломе произойдет утечка конфиденциальных сведений и придется заплатить крупный штраф.
4. Ограничение доступа сотрудников к информации. Для этого воспользуйтесь учетными записями, наделением полномочий и паролями.
5. Обучение персонала. Со всеми специалистами, работающими с ПД, регулярно проводите инструктаж и проверку знаний. Это повысит осведомленность сотрудников и снизит риск ошибок.
6. Использование защищенных каналов связи. Передавайте данные только через корпоративные сервисы. Использование личной почты следует запретить.
Закон разрешает хранить ПД исключительно на серверах, расположенных на территории РФ.
После завершения обработки или истечения сроков хранения носители информации требуется уничтожить без возможности восстановления. Для такой процедуры создается специальная комиссия.
Помните! Защита персональных данных – это непрерывный процесс. Он требует не только регулярного обновления программного обеспечения, но и общей вовлеченности. Необходимо проводить обучение персонала и объяснять возможные последствия ошибок. В противном случае обеспечить сохранность информации будет крайне сложно.
Работа с ПД находится под пристальным вниманием со стороны контролирующих органов. Правила постоянно меняются, а штрафные санкции при этом возрастают.
Специалисты аутсорсинговой компании проинформируют о нововведениях, подскажут, как внести изменения в систему обработки данных, и помогут актуализировать внутренние регламенты и шаблоны документов.
