Нужно ли соблюдать ФЗ-152 при аутсорсинге бухгалтерии?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Да, при передаче бухгалтерии на аутсорсинг требования ФЗ-152 остаются в силе. В такой ситуации компания-заказчик остаётся оператором персональных данных, а аутсорсер (бухгалтерская фирма) выступает обработчиком. Это означает, что ответственность за организацию защиты ПДн несёт именно заказчик, а обработчик действует строго в рамках поручения.

Ключевые моменты:

компания-заказчик не освобождается от обязанностей по ФЗ-152, даже если передала часть функций внешнему подрядчику;
аутсорсинговая бухгалтерия может работать с ПДн только на основании письменного договора или поручения оператора;
в договоре должны быть закреплены условия обработки ПДн: цели, перечень данных, права и обязанности сторон, требования к обеспечению безопасности.

Обоснование по законодательству

• Ст. 3 ФЗ-152 — оператор ПДн — лицо, которое организует и (или) осуществляет обработку ПДн, а также определяет цели и содержание обработки.
• Ст. 6, ч. 3 ФЗ-152 — обработка ПДн может поручаться другому лицу на основании договора или поручения, при этом ответственность перед субъектом несёт оператор.
• Ст. 19 ФЗ-152 — оператор обязан обеспечить принятие необходимых мер для защиты ПДн, в том числе при их передаче третьим лицам.
• Ст. 13.11 КоАП РФ — нарушение требований при передаче ПДн влечёт административную ответственность.

Позиция Роскомнадзора и практика

Роскомнадзор неоднократно подчёркивал: при аутсорсинге бухгалтерии заказчик не может «переложить» на подрядчика обязанности по защите ПДн.

Например, в одной из проверок компания передала бухгалтерские документы с персональными данными сотрудников в стороннюю организацию, но не заключила договор поручения обработки. Роскомнадзор квалифицировал это как нарушение ФЗ-152 и привлёк к ответственности именно заказчика, а не подрядчика.

В другом случае бухгалтерская фирма допустила утечку данных. Несмотря на то, что формально нарушителем был подрядчик, ответственность перед субъектами и регулятором понёс оператор, поскольку он не обеспечил надлежащее оформление передачи.

На что обратить внимание компаниям

Аутсорсинг бухгалтерии всегда связан с обработкой ПДн (ФИО сотрудников, паспортные данные, СНИЛС, ИНН, зарплата и др.). Поэтому:

• передача данных должна сопровождаться договором о поручении обработки ПДн;
• оператор обязан проверить, что у подрядчика есть организационные и технические меры защиты;
• все риски и зоны ответственности нужно зафиксировать документально.

Рекомендации и выводы

Соблюдать ФЗ-152 при аутсорсинге бухгалтерии необходимо. Чтобы действовать законно, компании следует:

1. Заключить договор с бухгалтерской фирмой, где прописать условия обработки ПДн.
2. Утвердить перечень передаваемых данных и цели обработки.
3. Проверить, как подрядчик обеспечивает защиту ПДн.
4. Включить порядок работы с аутсорсерами в комплект документов по 152-ФЗ.

Компания ICTech поможет вашей организации правильно оформить передачу данных при аутсорсинге бухгалтерии: подготовить договоры, регламенты и весь пакет документов по ФЗ-152. Это защитит от претензий Роскомнадзора и снизит риск утечек.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге