Бухгалтерский аутсорсинг не освобождает работодателя от обязанностей оператора персональных данных. Даже если фактически обработку осуществляет внешняя компания, юридическую ответственность перед Роскомнадзором несёт именно работодатель.
На практике большинство нарушений в этой сфере связано не с самой передачей данных, а с отсутствием корректного документального оформления и контроля за действиями аутсорсера. Формальный договор на бухгалтерские услуги не означает автоматического соблюдения требований 152-ФЗ.
Является ли передача данных бухгалтерии передачей ПДн
Даже если бухгалтерия работает по договору и действует «в интересах работодателя», передача данных ей всё равно считается передачей персональных данных третьему лицу.
Какие данные передаются бухгалтерии
При бухгалтерском обслуживании аутсорсеру обычно передаются:
-
паспортные данные сотрудников;
-
ИНН, СНИЛС;
-
сведения о заработной плате и удержаниях;
-
банковские реквизиты;
-
данные о стаже, больничных, отпусках.
Все эти сведения прямо относятся к конкретным физическим лицам и являются персональными данными.
Почему это считается передачей ПДн
С точки зрения 152-ФЗ передача персональных данных — это любое предоставление доступа к ним третьему лицу, независимо от:
-
формы взаимодействия;
-
наличия договора;
-
того, действует ли получатель данных «по поручению».
Бухгалтерия на аутсорсе юридически является отдельным оператором либо обработчиком ПДн, а не частью работодателя.
Кто несёт ответственность
Даже если данные обрабатывает бухгалтерия, работодатель остаётся оператором персональных данных, поскольку:
-
именно он определяет цели обработки;
-
именно он принимает решение о передаче данных;
-
именно он обязан обеспечить законность такой передачи.
Когда передача данных аутсорсеру допустима
Передача персональных данных сотрудников бухгалтерии на аутсорсе допустима только при наличии законных оснований и соблюдении принципов обработки ПДн.
Исполнение обязанностей работодателя
Передача данных допустима, если она осуществляется для:
-
расчёта заработной платы;
-
ведения бухгалтерского и налогового учета;
-
выполнения обязанностей по социальному страхованию;
-
исполнения требований трудового и налогового законодательства.
В этих случаях правовым основанием обработки является закон и трудовые отношения, а не согласие работников.
Когда согласие сотрудников не требуется
Согласие работников не требуется, если передача данных осуществляется:
-
в рамках исполнения трудового договора;
-
для выполнения обязанностей работодателя, установленных законом;
-
в пределах целей кадрового и бухгалтерского учета.
Использование согласия вместо законных оснований в этих случаях является ошибкой.
Когда передача становится незаконной
Передача данных бухгалтерии на аутсорсе становится нарушением, если:
-
передаются данные, не связанные с бухгалтерскими целями;
-
отсутствуют правовые основания обработки;
-
данные используются аутсорсером в собственных целях;
-
передаются избыточные сведения.
Ограничение по объему данных
Бухгалтерии должны передаваться только те персональные данные, которые необходимы для выполнения её функций. Передача «всего массива данных» без анализа целей обработки нарушает принцип минимизации.
Какие документы обязательны при передаче данных на аутсорс
Даже законная по цели передача персональных данных становится нарушением, если она не оформлена документально в соответствии с требованиями 152-ФЗ.
Договор с бухгалтерией
В договоре на бухгалтерское обслуживание обязательно должны быть предусмотрены положения о персональных данных, включая:
-
цели обработки персональных данных;
-
перечень передаваемых данных;
-
обязанность использовать данные только по поручению работодателя;
-
меры по обеспечению конфиденциальности и безопасности;
-
запрет на передачу данных третьим лицам без согласия оператора.
Формальный договор без этих условий не защищает от ответственности.
Условия обработки ПДн по поручению
Если бухгалтерия действует по поручению работодателя, это должно быть прямо зафиксировано:
-
в договоре;
-
либо в отдельном соглашении о поручении обработки ПДн.
Именно эти условия подтверждают, что аутсорсер не использует данные в собственных целях.
Соглашение о конфиденциальности
Дополнительно оформляются:
-
соглашения о неразглашении;
-
либо специальные разделы в договоре.
Это подтверждает, что работодатель принял меры по защите данных работников.
Внутренние документы работодателя
Со стороны работодателя должны быть оформлены:
-
регламенты передачи данных;
-
приказы о допуске бухгалтерии к ПДн;
-
перечни передаваемых данных.
Для формирования полного и корректного комплекта разрабатывается организационно-распорядительная документация по защите персональных данных.
Именно ошибки в передаче данных на бухгалтерский аутсорс чаще всего становятся причиной штрафов, даже если сама идея передачи законна.
Отсутствие условий по ПДн в договоре
Одна из самых распространённых ошибок — договор на бухгалтерские услуги без положений о персональных данных.
В результате:
-
не определены цели обработки;
-
не ограничено использование данных;
-
не закреплена обязанность по защите информации.
Такой договор не подтверждает законность передачи ПДн.
Передача избыточных данных
Часто бухгалтерии передаются:
-
копии личных дел;
-
медицинские сведения;
-
данные, не связанные с расчетом зарплаты и налогов.
Передача избыточных данных нарушает принцип минимизации и признаётся самостоятельным нарушением.
Отсутствие контроля за аутсорсером
Работодатель не проверяет:
-
какие меры защиты применяет бухгалтерия;
-
кто имеет доступ к данным;
-
где и как они хранятся.
Фактически это означает утрату контроля над персональными данными работников.
Передача без правовых оснований
Передача данных осуществляется:
-
без анализа целей обработки;
-
без связи с обязанностями работодателя;
-
без учета требований трудового законодательства.
Отсутствие внутренних регламентов
Если у работодателя нет:
-
регламента передачи ПДн;
-
перечней передаваемых данных;
-
приказов о допуске,
передача данных считается неуправляемой и незаконной.
Как безопасно выстроить передачу данных на аутсорс
Безопасность передачи персональных данных сотрудников бухгалтерии зависит не столько от аутсорсера, сколько от того, как работодатель выстроил систему работы с персональными данными.
Провести аудит передаваемых данных
Первый шаг — определить:
-
какие именно данные передаются бухгалтерии;
-
для каких целей;
-
на каких правовых основаниях.
Это позволяет исключить избыточные и необоснованные передачи.
Настроить договорную модель
Необходимо:
-
включить в договор условия обработки ПДн;
-
определить цели и объём передачи данных;
-
закрепить обязанности аутсорсера по защите информации;
-
предусмотреть ответственность и порядок реагирования на инциденты.
Выстроить внутренние регламенты
Со стороны работодателя должны быть оформлены:
-
регламент передачи персональных данных;
-
перечни передаваемых данных;
-
приказы о допуске аутсорсера к ПДн.
Без внутренних документов даже идеальный договор не защищает от претензий проверяющих.
Контролировать действия бухгалтерии
Работодатель должен:
-
периодически проверять меры защиты у аутсорсера;
-
контролировать соблюдение условий договора;
-
фиксировать результаты контроля.
Обеспечить взаимодействие при инцидентах
Необходимо заранее определить:
-
порядок уведомления о нарушениях;
-
сроки реакции;
-
действия сторон при утечке данных.
На практике
На практике бухгалтерский аутсорсинг не освобождает работодателя от ответственности за персональные данные работников. Формальный договор и отсутствие системы контроля — прямой путь к штрафам. Рабочая система передачи данных, основанная на анализе, документах и контроле, позволяет легально использовать аутсорсинг без риска нарушений.
