Все это — онлайн, с заботой о вас и по отличным ценам.
Кто в данном случае несёт ответственность?
Добрый день! Я зарегистрирован в качестве ИП и оказываю бухгалтерские услуги различным юридическим лицам и ИП по гражданско-правовым договорам. В рамках этих договоров мне иногда передают данные работников этих компаний для составления отчетности. Вопросы по персональным данным:
1. Должен ли я находиться в реестре операторов персональных данных?
2. Возникает ли ответственность у моих контрагентов, если они передали мне данные своих сотрудников, но я не являюсь оператором персональных данных? Кто в данном случае несёт ответственность?
Добрый день.
В рамках этих договоров мне иногда передают данные работников этих компаний для составления отчетности.
Вы эти данные в дальнейшем отправляете в гос.учреждения или обратно в подготовленных отчетах контрагенту пересылаете?
Если вы получаете от клиентов персональные данные их работников и обрабатываете их для целей отчетности по договору, вы являетесь оператором персональных данных в части той обработки, которую осуществляете сами (вы определяете действия с данными: получение, хранение, систематизация, передача в ФНС/ПФР и т.п., способы обработки и меры защиты в своей системе).
Закон требует до начала обработки уведомить Роскомнадзор об осуществлении обработки ПДн.
Оператор обязан до начала обработки сообщить в Роскомнадзор в силу ст. 22 ФЗ «О персональных данных». Отсутствие уведомления влечёт административную ответственность.
1. Должен ли я находиться в реестре операторов персональных данных?
На мой взгляд, да должны. Как ИП, получающий ПДн работников клиентов для бухгалтерских целей, вы подпадаете под требования к операторам ПДн, в т.ч. уведомление Роскомнадзора и выполнение организационно-технических мер защиты.
Кирилл, добрый день.
Согласно ст. 3 ФЗ-152 «О персональных данных»
1) персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Таким образом персональные данные — это любая информация, позволяющая прямо или косвенно идентифицировать человека.
Согласно все той же статьи 3, обработкой персональных данных является:
3) обработка персональных данных — любое действие… с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
То есть если ведете учет этих данных и обработку, то Вы становитесь оператором в соответствии с ФЗ О персональных данных, так согласно ст. 3 ФЗ О персональных данных:
2) оператор — … юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных...
В этом случае Вам требуется подать в РКН уведомление о начале обработки ПД это следует из ч. 1 ст. 22 ФЗ О персональных данных.
Однако, если в ходе Вашей деятельности Вы осуществляете обработку ПДн, то случаи, когда оператор может осуществлять обработку ПДн без уведомления содержаться в части 2 указанной статьи 22 ФЗ О персональных данных, в частности к ним относятся:
2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
— учет персональных данных ведется на бумаге (без средств автоматизации);
— организация включена в государственные информационные системы и работает с персональными данными, размещенными в этих государственных информационных системах;
— компания работает с персональными данными в сфере транспортной безопасности.
Полагаю к Вам эти исключения не применимы т.к. я сильно сомневаюсь, что обработку Вы осуществляете без средств автоматизации.
1. Должен ли я находиться в реестре операторов персональных данных?
Да должны.
2. Возникает ли ответственность у моих контрагентов, если они передали мне данные своих сотрудников, но я не являюсь оператором персональных данных? Кто в данном случае несёт ответственность?
Да ответственность может быть.
Помимо прочего Вашим контрагентам при подаче своего уведомления в РКН следует указывать, что они осуществляют передачу ПДН Вам и Вы осуществляете их обработку.
Плюс к этому обработка ПДн третьим лицом (аустсорсером)
— возможна только с согласия самого субъекта ПД
— у вас должен быть договор с заказчиком, содержащий такое поручение на обработку ПДн.
Согласно ч. с ст. 6 ФЗ-152:
3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе
При возникновении вопросов обращайтесь.
Плюс к этому обработка ПДн третьим лицом (аустсорсером)
— возможна только с согласия самого субъекта ПД
— у вас должен быть договор с заказчиком, содержащий такое поручение на обработку ПДн.
Согласно ч. с ст. 6 ФЗ-152:
3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора,
…
В поручении оператора должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных,
Рекомендую полностью ознакомиться с данной частью по ссылке
При возникновении вопросов обращайтесь.
Добрый день.
Согласно п. 2 ст. 3 Федерального закона № 152-ФЗ:
Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Давайте примерим это определение на вашу ситуацию:
Вы (ИП) — получаете от клиентов персональные данные их сотрудников (ФИО, паспортные данные, ИНН, размер зарплаты, семейное положение и т.д.).
Вы — осуществляете их обработку (вносите в бухгалтерские программы, рассчитываете, храните, формируете отчетность для фондов и Налоговой).
Вы — самостоятельно определяете, в какой программе, каким образом и с помощью каких средств защиты вы все это делаете.
Важный момент: Тот факт, что вы делаете это по договору оказания услуг, не лишает вас статуса оператора. В рамках закона вы являетесь оператором, который обрабатывает данные по поручению другого оператора (вашего клиента). Это прямо предусмотрено законом.
Относитель уведомления роскомнадзора и реестра сообщаю, что общее правило из ст. 22 Закона № 152-ФЗ гласит: оператор до начала обработки обязан уведомить Роскомнадзор, и его вносят в реестр.
Однако есть исключения, перечисленные в ч. 2 ст. 22. Наиболее релевантные для вас:
Уведомление не требуется, если обработка осуществляется:
...4) операторами, которым в соответствии с федеральными законами установлены требования соблюдения конфиденциальности персональных данных (например, адвокаты, нотариусы).
Бухгалтеры и ИП, оказывающие бухгалтерские услуги, под это исключение НЕ ПОДПАДАЮ. Требование о конфиденциальности бухгалтерской и налоговой информации есть (ст. 102 НК РФ), но Роскомнадзор и судебная практика трактуют этот пункт узко — именно как профессиональную тайну, аналогичную адвокатской.
Практический вывод: Поскольку вы не адвокат и не нотариус, вам необходимо подать уведомление в Роскомнадзор о начале обработки персональных данных. Это делается бесплатно через портал госуслуг или сайт Роскомнадзора.
Возникает ли ответственность у моих клиентов, которые передали мне данные?
Да, возникает, и она первостепенная.
Ваш клиент (юрлицо) тоже является оператором. Передавая вам данные, он должен сделать это законно. Ключевое требование содержится в ч. 3 ст. 6 Закона № 152-ФЗ:
Если обработка поручается другому лицу, ответственность перед субъектом персональных данных (перед сотрудником) несет оператор, передавший данные. Лицо, осуществляющее обработку по поручению (то есть вы), несет ответственность перед оператором.
Простыми словами: Если произойдет утечка данных по вашей вине, и сотрудник клиента подаст жалобу, то отвечать перед этим сотрудником будет его работодатель (ваш клиент). А уже потом ваш клиент, по условиям договора с вами, будет взыскивать с вас понесенные убытки.
Ответственность несете как Вы, так и юр лио, которое у Вас на спровождении.
Может возникнуть, поскольку передающая сторона (ваш контрагент) также является оператором ПДн своих работников и несёт ответственность за законность передачи.
Передача третьему лицу без соответствующего правового основания и уведомления работников недопустима.
В трудовом законодательстве прямо указано: работодатель не вправе сообщать ПДн работника третьей стороне без письменного согласия работника, за исключением случаев, предусмотренных ТК РФ или иными федеральными законами (например, исполнение обязанностей по учёту и отчётности) и при соблюдении цели передачи и режима конфиденциальности.