Должны ли бухгалтеры на аутсорсе соблюдать ФЗ-152?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Да, бухгалтеры, работающие на аутсорсе, обязаны соблюдать ФЗ-152. В своей деятельности они обрабатывают персональные данные сотрудников и клиентов компаний: ФИО, паспортные данные, ИНН, СНИЛС, сведения о заработной плате, больничных листах, отпускных, а также данные о налогах и взносах. Такая информация является персональными данными, а в отдельных случаях — относится к специальной категории (например, сведения о здоровье в больничных листах).

Роль бухгалтера-аутсорсера в системе обработки ПДн:

• компания-заказчик выступает оператором персональных данных;
• бухгалтер-аутсорсер является обработчиком персональных данных (он действует по поручению оператора и в рамках договора).

Обоснование по законодательству

• Ст. 3 ФЗ-152 — оператор и лицо, обрабатывающее данные по поручению, обязаны соблюдать требования закона.
• Ст. 6 ФЗ-152, ч. 3 — обработка ПДн может поручаться другому лицу на основании договора; такое лицо обязано соблюдать конфиденциальность и обеспечивать безопасность данных.
• Ст. 19 ФЗ-152 — закрепляет обязанность оператора и обработчика принимать меры по защите ПДн.
• Трудовой кодекс РФ, ст. 86 — устанавливает правила работы работодателя с персональными данными работников, к которым имеет доступ бухгалтер.

Практика и позиция Роскомнадзора

Роскомнадзор подчёркивает: при передаче бухгалтерии на аутсорсинг организация остаётся оператором ПДн и несёт ответственность перед государством, но обработчик (аутсорсер) обязан соблюдать меры защиты и использовать данные только по поручению.

Пример: компания заключила договор с бухгалтерской фирмой, но не прописала в нём условия обработки ПДн. Проверка РКН признала это нарушением — оператор не обеспечил выполнение требований.
В другом случае в договор были включены пункты о целях обработки, перечне данных и мерах защиты. Проверка подтвердила соответствие требованиям ФЗ-152.

Важный момент для бухгалтеров и их клиентов

Аутсорсинговая бухгалтерия не вправе использовать полученные персональные данные для собственных целей. Она должна работать только в пределах договора с оператором.

Рекомендации и выводы

Да, бухгалтеры на аутсорсе обязаны соблюдать ФЗ-152. Чтобы избежать нарушений:

1. Оператору (компании-заказчику) необходимо заключить договор с бухгалтером, включив в него условия обработки ПДн.
2. Аутсорсер обязан принять меры по защите данных (ограничение доступа, пароли, шифрование).
3. Данные должны использоваться строго в рамках договора, без передачи третьим лицам.
4. Обе стороны должны иметь комплект документов по ФЗ-152.

Компания ICTech поможет как организациям, так и бухгалтерам-аутсорсерам: подготовить корректные договоры обработки ПДн, регламенты и полный пакет документов, чтобы пройти проверку Роскомнадзора без штрафов.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге