19 июл. 2016 г. в 17:13 Защита персональных данных

Что нужно знать бухгалтеру про персональные данные

В 2016 году большинство организаций ждет не только увеличение количества проверок со стороны Роскомнадзора, но и ужесточение штрафов за нарушение норм закона «О персональных данных».

Что случилось?

1 сентября 2015 года вступили в силу поправки к закону "О персональных данных", требующие локализации персональных данных на территории России. Если главный бухгалтер назначен ответственным за организацию обработки персональных данных, он согласно ТК РФ, несет ответственность за соблюдение закона. Нам кажется, что в 2016 году большинство организаций ждет не только увеличение количества проверок со стороны Роскомнадзора, но и ужесточение штрафов за нарушение норм закона.

Клерк.Ру попросил разобраться в проблеме эксперта по информационной безопасности и директора сервиса выполнения закона о персональных данных Б-152 Максима Лагутина

Почему бухгалтера чаще всего назначают ответственным за организацию обработки персональных данных в организациях?

Бухгалтер, по мнению руководителей, является тем человеком, который «хранит все персональные данные клиентов и сотрудников» в 1С и имеет необходимую квоту доверия от руководства. Это является важным фактором назначения бухгалтера ответственным за вопрос по соответствию хранения информации Закону о персональных данных. Помимо этого у большинства компаний малого и среднего бизнеса нет иных сотрудников, которые бы знали все процессы обработки персональных данных внутри организации так, как их знает бухгалтер.

Почему почти каждой организации нужно подавать уведомление об обработке персональных данных в Роскомнадзор?

Если не подать уведомление из-за неверной трактовки исключений (когда подавать не требуется) или боязни, что придет проверка, то может быть наложен штраф как на организацию, так и на ответственное лицо. В настоящее время организации, согласно новым требованиям законодательства ("Закон о запрете хранить персональные данные за пределами России" №242-ФЗ), обязаны отправить в Роскомнадзор уведомление с указанием адреса местонахождения баз персональных данных

Какая ответственность за неисполнение или нарушение закона?

За неисполнение, неправильное исполнение или нарушение требования законодательства в области персональных данных предусмотрена ответственность как для организаций, так и для ответственных должностных лиц. Штрафы небольшие, от 5 000 до 10 000 рублей за нарушение. Но таких нарушений может в ходе проверки накопиться несколько и суммы будут уже совсем иными. А должностное лицо может получить штраф до 20 000 рублей, дисквалификацию и расторжение трудового договора. Кроме того, в следующем году грядет многократное увеличение штрафов.

Что бухгалтеру необходимо сделать для выполнения закона?

Все требования закона можно разделить на 3 группы:

подготовка пакета организационно-распорядительной документации (в среднем 35 документов);
подписание документов с работниками, контрагентами и отправка уведомления в Роскомнадзор;
защита персональных данных техническими мерами.

Особенно важно выполнить первые 2 группы, т.к. их проверяют гораздо чаще и ответственность за них существенная.

Кто осуществляет проверки по персональным данным и как они проходят?

Проверки осуществляют 3 госоргана – Роскомнадзор, ФСТЭК России и ФСБ России. Малому и среднему бизнесу стоит бояться именно проверок Роскомнадзора, которые он проводит как планово, так и внепланово. В ходе проверок как раз и проверяется наличие необходимых документов, поданного уведомления и подписанных документов с контрагентами и работниками. ФСТЭК России и ФСБ России проверяют техническую защиту, применение криптографии и обработку биометрических персональных данных, но проверки проводят крайне редко. Для малого и среднего бизнеса риск попасть под их проверку крайне мал. О плановой проверке вы можете узнать на сайте контролирующего органа, списки организаций там публикуются в общем доступе. Чаще всего проводятся выездные проверки, когда представители Роскомнадзора приезжают и очно проверяют выполнение требований в течение нескольких дней.

Список нормативных актов, регулирующих сферу хранения и обработки персональных данных

Федеральный закон №152-ФЗ «О персональных данных»
Федеральный закон №261-ФЗ (вносит существенные изменения, действует с 01.07.2011)
Федеральный закон №242-ФЗ (вносит существенные изменения, действует с 01.09.2015)
Федеральный закон №149-ФЗ «Об информации, информационных технологиях и о защите информации»
Федеральный закон №294-ФЗ «О защите юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»

Кроме того, есть ряд постановлений Правительства РФ и приказов регуляторов, имеющих непосредственное отношение к проведению проверок, еще ряд подзаконных нормативных актов находятся в разработке. Для более детально изучения всех вопросов, связанных с персональными данными, рекомендуем ознакомиться с информацией по следующим ссылкам:

Полномочия и зона ответственности Роскомнадзора	http://rkn.gov.ru/about/credentials/
Перечень НПА, регулирующих проведение проверок	http://rkn.gov.ru/p582/p585/
Ответственность за нарушения	http://expert.ru/ratings/table_560648/
Порядок обжалования решений Роскомнадзора	http://rkn.gov.ru/chamber-of-commerce/p455/

Светлана 20 июл. 2016 г. в 08:44

Полностью с Вами согласна.
Светлана 21 июл. 2016 г. в 12:02

Самое интересное, что все ТСЖ, ЖСК и Управляющие компании обязаны по ФЗ до 01.01.2017 г. на сайте ГИС ЖКХ разместить информацию по л/с всех собственников МКД, а именно ФИО, дата рождения, паспортные данные и даже СНИЛС(штраф 200 000 за неразмещение этой информации)Получается, что в этом случае закон о защите персональных данных не работает?
Светлана 21 июл. 2016 г. в 15:16

Законы половинчатые, но всегда найдут кого за это оштрафовать, смешно.