Персональные данные – «подводные камни» для бухгалтера. То, что вы не знали и не хотели бы знать

Сегодня работа в бухгалтерской сфере является одной из наиболее привлекательных для соискателей и востребованной работодателями. Для того, чтобы постичь азы бухгалтерской сферы и начать реализовывать себя на этом поприще, достаточно уметь владеть компьютером, закончить краткосрочные курсы – и тебе открывается огромный рынок трудоустройства. Многие бухгалтеры обслуживают одновременно несколько организаций. Это говорит о том, что сегодня работа бухгалтера стала гораздо проще и легче, чем несколько лет назад. Это связано с двумя моментами.

 

Дышать стало легче

 

С одной стороны, законодательство в бухгалтерской сфере существенно упростилось. Стало гораздо меньше форм отчетности и налоговых сборов, установленных государством. Появился Единый социальный налог, тогда как в 90-х взносы платились отдельно в каждый внебюджетный фонд: ФСС, ФОМС и т.д. Уменьшился объем отчетов по налогам с заработной платы. Раньше эти отчеты заполнялись от руки и сдавались в бумажном виде, ведь электронных способов взаимодействия с налоговыми органами еще не было. Банковские платежки приходилось набирать на пишущей машинке, везти в банк и стоять в очереди. Деньги контрагентам могли идти неделю.

 

Технологии рулят!

 

Большим подспорьем в облегчении сегодняшней работы бухгалтера является компьютеризация. Современные технологии дают огромные возможности. То, что раньше казалось невозможным, сейчас воспринимается как данность.

 

Если раньше бухгалтеры совсем не пользовались глобальной информационной сетью Интернет, то сегодня Всемирная паутина позволяет специалистам общаться и обмениваться информацией в режиме онлайн, помогая быстро «набирать» компетенцию. Десятки тысяч бухгалтеров ежедневно посещают различные сайты бухгалтерской направленности и пользуются специализированными интернет-форумами.

 

Всего несколько лет назад оформление каждого документа и ручное ведение учета требовало достаточно много времени, и вести бухгалтерский учет с использованием компьютеров могли лишь немногие «продвинутые» специалисты. Сегодня вряд ли можно встретить бухгалтера, который не использует со-временные технологии. Многие специалисты не представляют свою работу не только без компьютера, но и без интернета, который является незаменимым инструментом в работе. Платежи, бухгалтерскую и налоговую отчетность теперь можно отправлять, не выходя из дома. Всего несколько лет назад это казалось чем-то фантастическим.

 

Обратная сторона медали

 

Однако, у этой приятной тенденции есть и отрицательный момент. Такая интеграция технологий с бухгалтерской сферой несет в себе не только новые возможности, но и новые угрозы, связанные с появлением возможностей утечки информации по каналам связи.

 

Данные, с которыми работает бухгалтер, можно условно разделить на две большие категории: информация, связанная с текущей деятельностью организации (базы данных контрагентов, подрядчиков, клиентов, данные о финансовых потоках и т.д.) и информация о сотрудниках организации.

 

Все прекрасно понимают, что информацию первой категории нужно хранить «как зеницу ока» потому, что их потеря, несанкционированное изменение или распространение приведет к репутационным и финансовым издержкам, что может стать непоправимым ударом для бизнеса. В случае подобного инцидента первым «под удар» попадает именно бухгалтер как лицо, работающее с этими данными.

 

Однако, одного только желания сохранить эту информацию «подальше от лишних глаз» недостаточно. Бывают случаи, когда руководитель, чтобы защитить активы своей фирмы, дает задание установить в бухгалтерии антивирусные средства, находясь в полной уверенности, что теперь его данные защищены. Это, мягко говоря, не так. В некоторых компаниях информационной безопасностью занимаются по остаточному принципу, либо вообще не осознают ее важности. Одним словом, данная сфера полностью отдана на откуп владельцев бизнеса.

 

Что это за «зверь»?


Совсем по-другому дело обстоит со второй категорией информации. Мало того, что информация о сотрудниках (в правовом поле такая информация называется «персональные данные») нередко воспринимается как «второстепенная», которая «никому не нужна», некоторые работодатели не считают нужным позаботиться, чтобы эти данные не были распространены.

Под персональными данными в широком смысле можно понимать любую информацию, прямо или косвенно относящуюся к определенному физическому лицу (субъекту персональных данных). Данное понятие введено Федеральным законом от 27.07.2006г. №152-ФЗ. Примерами такой информации может быть фамилия, имя, отчество, дата и место рождения, место проживания и т. д.  Персональные данные сотрудников – это любая информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного сотрудника (п.1 ст.3 152-ФЗ).

 

Что и кому нужно делать?

 

Контроль за обеспечением защиты персональных данных государство взяло на себя. В соответствии со 152-ФЗ, на все организации, которые обраба-тывают персональные данные (в частности, своих сотрудников), возложена обязанность их защищать. Т.о., под действие данного закона подпадают все организации, в которых работает более одного сотрудника!

 

Регулятором в данной сфере был назначен Роскомнадзор. Ежегодно со-ставляется план проверок организаций на предмет соблюдения законодатель-ства (проверки проходят в соответствии с Административным регламентом, утвержденным Приказом Минкомсвязи России от 14.11.2011г. №312). Отсут-ствие компании в плане – не повод расслабляться, так как проверки могут быть и внеплановыми. Клиент, сотрудник или просто «доброжелатель», чьи персо-нальные данные обрабатываются в организации, может обратиться в Роском-надзор за защитой своих прав, если, по его мнению, обработка происходит с нарушением. В этом случае назначается проверка, и представители регулято-ра, появившись на предприятии, особенно любят «заглядывать» в такие под-разделения, как бухгалтерия и кадры.

 

При этом, регулятор проверяет как документационное оформление (в компании должен быть подготовлен внушительный перечень документов и ут-серждающих приказов – Политика обработки персональных данных, Перечень лиц, допущенных к персональным данным, назначен ответственный и т.д.), так и сами процессы обработки персональных данных – с использованием инфор-мационных систем (например, информационная система 1С и ее «зарплатные» конфигурации) и без их участия (хранение документов на бумажных носите-лях).

 

А что, если…?

 

На сегодняшний день уже не представляется возможным закрыть глаза на обеспечение защиты персональных данных потому, что установлены конкрет-ные виды ответственности за неисполнение законодательства в сфере защиты персональных данных.

 

За нарушение порядка получения, обработки, хранения и защиты персо-нальных данных сотрудников предусмотрена дисциплинарная, материальная, административная и уголовная ответственность (ст. 90 ТК РФ, ч.1 ст.24 152-ФЗ).

 

К дисциплинарной ответственности можно привлечь работников, которые обязаны соблюдать правила работы с персональными данными, но нарушили их (ст.192 ТК РФ) – например, сотрудника бухгалтерии, которому поручена соответствующая работа, и который совершил дисциплинарный проступок при обработке и хранении персональных данных. Наказание применяет работодатель, применив к нему одно из следующих взысканий (ч.1 ст.192 ТК РФ):

  • замечание;
  • выговор;
  • увольнение.

 

Материальная ответственность работника может наступить, если в связи с нарушением правил работы с персональными данными организации причинен ущерб (ст.238 ТК РФ). Предположим, работник отдела кадров допустил грубое нарушение – распространил персональные данные сотрудников в сети Интернет. Последние, узнав об этом, подали на работодателя в суд, который постановил: «выплатить пострадавшим работникам денежную компенсацию – 50 000 рублей каждому». В такой ситуации работодатель имеет возможность возложить на виновного сотрудника ограниченную материальную ответственность в пределах его среднего месячного заработка (ст.241 ТК РФ), либо полную материальную ответственность, когда сотрудник должен будет полностью возместить организации всю сумму ущерба, возникшего в связи с нарушением (ст. 242 и 243 ТК РФ). Но, как правило, на работников полную материальную ответственность не возлагают.

 

Дисциплинарную и материальную ответственность работодатель применяет исключительно по своему усмотрению. Регулятор в этом процессе участия не принимает.

 

За нарушение порядка сбора, хранения, использования или распространения персональных данных работодателя и должностных лиц контролирующие органы могут привлечь к административной ответственности в виде штрафов:

  • для должностных лиц (генерального директора, главного бухгалтера, кадровика или индивидуального предпринимателя): 500-1000 рублей;
  • для организации: 5000-10 000 рублей.

 

Отдельный штраф для должностных лиц за разглашение персональных данных в связи с исполнением служебных или профессиональных обязанностей составляет 4000-5000 рублей (ст.13.11 и 13.14 КОАП).

 

Уголовная ответственность для директора, главного бухгалтера или начальника отдела кадров компании или другого лица, ответственного за работу с персональными данными, может наступить за незаконные действия:

  • по сбору или распространению сведений о частной жизни сотрудника, составляющих его личную или семейную тайну, без его согласия;
  • по распространению сведений о работнике в публичном выступлении, публично демонстрирующемся произведении или СМИ.

 

За такие нарушения допускаются следующие меры уголовной ответственности:

  • штраф до 200 000 рублей (или в размере доходов осужденного за период до 18 месяцев);
  • обязательные работы до 360 часов;
  • исправительные работы до 1 года;
  • принудительные работы до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью до 3 лет или без такового;
  • арест до 4 месяцев;
  • лишение свободы до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью до 3 лет.

 

Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются жестче:

  • штрафом 100 000-300 000 рублей (или в размере доходов осужденного за период от 1 до 2 лет);
  • лишением права занимать определенные должности или заниматься определенной деятельностью на срок от 2 до 5 лет;
  • принудительными работами на срок до 4 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет или без такового;
  • арестом на срок от 4 до 6 месяцев;
  • лишением свободы на срок до 4 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет (ст.137 УК РФ).

 

Ответом на эти угрозы вызовы должно стать создание в компании адекватной системы защиты персональных данных – в первую очередь обрабатываемых в бухгалтерии и в кадрах. Это ряд организационных, физических и технических мероприятий, которые призваны свести к минимуму все риски.

 

Таким образом, чтобы работать спокойно, нужно выполнить как формальные условия защиты персональных данных (для регулятора), так и обеспечить реальную ее защиту в целях развития бизнеса и исключения инцидентов.

 

Скупой платит дважды

 

У компании есть три варианта действий:

 

1. Ничего не делать. Организация продолжает обрабатывать персональные данные, как и раньше, надеясь на «авось». Но, в случае проверки, если в фирме отсутствует даже видимость работ по защите персональных данных, можно ожидать самых строгих санкций. Отрицательный результат проверки подорвет репутацию компании, вызовет недоверие со стороны клиентов, партнеров и сотрудников, что приведет к оттоку клиентов, финансовым потерям и внесет нервозность в работу коллектива. Самым печальным может оказаться принудительная приостановка обработки персональных данных, что может привести к параличу работы.

 

2. Минимум затрат на защиту персональных данных. Формальный подход – «по-быстрому» разработать пакет нужных документов, но никаких реальных мероприятий не предпринимать. Такая видимость работ на некоторое время позволит избежать санкций со стороны регулятора, незначительно повысит шанс прохождения проверки, но не сделает его высоким. Так или иначе, информация останется незащищенной и уязвимой для злоумышленников.

 

3. Выполнение требований. В этом случае компания четко представляет, что выполнение требований закона решает вопросы прохождения проверок, реально повышает защищенность информационных активов, снижает риски поступления жалоб со стороны граждан и претензий со стороны регулятора.

 

Любитель или профессионал?

 

Представим, что решение о необходимости создания системы защиты персональных данных в компании принято. Во весь рост встает вопрос, кому доверить это важное дело. Хорошо, если в штате компании есть грамотные и опытные сотрудники, знающие толк в данной сфере. Но это большая редкость. Поэтому данный процесс лучше доверить профессионалам, и вот почему.

 

1. Тематика по защите персональных данных очень широка и разнообразна. Даже изучив необходимый массив документов, качественно спроектировать, построить, подобрать необходимые решения, внедрить их и осуществить настройку системы, не имея достаточно опыта за спиной, нереально.

 

2. В ходе проекта на каждом этапе необходимо строго выполнять требования, отраженные в законодательстве. 152-ФЗ является лишь верхушкой айсберга и отражет только общие положения по защите персональных данных. Чтобы разобраться во всех требованиях, необходимо изучить большой массив подзаконных актов (постановления, приказы, методические документы, стандарты и проч.). Решений этого вопроса может быть несколько:

— обучение собственных сотрудников (очень долго и достаточно затратно),
— найм специалистов с нужными знаниями (достаточно долго, очень затратно, невыгодно их держать после окончания проекта);
— приглашение сторонней организации для выполнения работ (предпочтительно с точки зрения времени и затрат).

 

3. Внедрение системы защиты персональных данных в среду компании повлияет на сложившийся порядок документооборота, информационных потоков и бизнес-процессов. В таких условиях встраивание новых решений не всегда встречает одобрение со стороны руководства и сотрудников компании. Для сохранения деловых отношений лучше, чтобы этой работой занимались специалисты сторонней компании.

 

Скромно о себе

 

Инжиниринговый центр «Региональные системы» обладает необходимым опытом, который позволяет при построении систем защиты персональных данных находить правильный баланс, когда стоимость системы минимизируется при сохранении требуемого уровня защищенности информационных активов предприятия. Мы занимается проектированием, внедрением и сопровождением систем защиты информации и знаем, как удовлетворить требования заказчика.

 

Наш профессионализм и опыт по проведению аудита информационной безопасности и защищенности персональных данных, проектирования и внедрения соответствующих систем позволит вашей компании уверенно смотреть в завтрашний день! Просто продолжайте заниматься любимым делом! А мы со-храним то, что для вас ценно!

 

 

Руденко Дмитрий ,
Руководитель отдела комплексных систем защиты информации,
Департамента системной интеграции.

 

P.S. И да, к чему все это! Сегодня 21 апреля, по народному календарю сегодня день Главного бухгалтера! Ураа! От себя лично и от нашей компании в целом, хотелось бы поздравить всех бухгалтеров с этим праздником. Для каждого предприятия ваша работа первостепенна, особенно в период отчетности и дня выдачи ЗП 🙂  С праздником! 

Назад

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *