Алексей Ветров
Эксперт по защите данных IC-TECH
Бухгалтерские фирмы в процессе работы получают персональные данные сотрудников и клиентов: ФИО, паспортные данные, ИНН, СНИЛС, сведения о доходах, банковские реквизиты, данные о семье для налоговых вычетов и пр. Вся эта информация относится к ПДн и должна храниться по правилам ФЗ-152.
Хранение данных делится на два направления:
- Бумажные носители (договоры с клиентами, налоговые декларации, кадровые документы, первичка) — должны храниться в закрытых шкафах или сейфах с ограниченным доступом. Вход в архив должен быть разрешён только назначенным сотрудникам.
- Электронные документы (бухгалтерские программы, облачные сервисы учёта, базы клиентов) — должны располагаться на серверах в России. Системы защиты включают пароли, разграничение доступа, шифрование, резервное копирование и защиту каналов связи.
Обоснование по законодательству
- ФЗ-152, ст. 19 — оператор обязан обеспечить защиту ПДн при хранении.
- Постановление Правительства РФ № 1119 — устанавливает требования к защите ПДн в ИСПДн.
- Налоговый кодекс РФ — требует ведения и хранения налоговой отчётности.
- Трудовой кодекс РФ — определяет порядок хранения данных сотрудников.
Практика проверок и позиция Роскомнадзора
РКН в ходе проверок бухгалтерских фирм обращает внимание на:
- хранение копий паспортов и СНИЛС без письменного согласия;
- передачу данных клиентов через незащищённые почтовые сервисы;
- использование зарубежных облаков (Google Drive, Dropbox), что нарушает требования о локализации.
Роскомнадзор рекомендует вести отдельные регламенты по хранению клиентских и кадровых данных, а также фиксировать все передачи ПДн в договорах с подрядчиками.
Что важно учитывать бухгалтерским фирмам
- Документы клиентов должны храниться только в течение сроков, установленных налоговым законодательством.
- Бумажные архивы должны быть защищены физически (сейфы, доступ по приказу).
- Электронные базы должны находиться в российских дата-центрах.
- При передаче ПДн заказчиков третьим лицам (например, аутсорсинговым сервисам) нужен договор поручения.
- Обязательно ведение журналов доступа и уничтожения документов по истечении сроков хранения.
Рекомендации и выводы
Чтобы бухгалтерская фирма соответствовала требованиям ФЗ-152:
- Организуйте защищённое хранение бумажных архивов.
- Используйте российские ИТ-сервисы и шифрование данных.
- Разработайте регламенты хранения и уничтожения ПДн.
- Назначьте ответственного за работу с ПДн и оформите внутренние приказы.
- Обучите сотрудников правилам защиты данных.
Компания ICTech поможет вашей бухгалтерской фирме оформить полный пакет документов по защите ПДн, внедрить регламенты хранения и обеспечить соответствие требованиям Роскомнадзора.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
