Обработка ПДн в бухгалтерии и кадрах: документы по 152-ФЗ

Бухгалтерия и кадровая служба обрабатывают наиболее полный набор персональных данных в организации. Это паспортные данные, ИНН, СНИЛС, адрес регистрации и проживания, банковские реквизиты, сведения о семейном положении, данные об образовании и трудовом стаже.

К специальным категориям относятся сведения о состоянии здоровья (больничные листы, справки об инвалидности), которые обрабатываются для расчета пособий и предоставления льгот. Их обработка регулируется статьей 10 закона 152-ФЗ.

Все эти данные хранятся в кадровых информационных системах, программах расчета зарплаты и передаются в государственные органы: ФНС, СФР, Росстат. Каждая такая передача должна иметь законное основание.

Данные о заработной плате относятся к персональным данным работника. Обработка зарплатных данных для исполнения трудового договора и выполнения обязанностей по ТК РФ не требует согласия работника (п. 5 ч. 1 ст. 6 закона 152-ФЗ).

Однако передача данных для зачисления зарплаты на банковскую карту (зарплатный проект) требует согласия работника, так как это передача третьему лицу — банку. Согласие включается в заявление о перечислении зарплаты на карту.

Расчетные листки содержат ПДн и должны выдаваться лично работнику. Размещение расчетных листков в общедоступных местах или отправка на незащищенную электронную почту является нарушением конфиденциальности персональных данных.

Программы 1С (ЗУП, Бухгалтерия, ERP) являются информационными системами персональных данных (ИСПДн). Организация обязана определить уровень защищенности ИСПДн согласно Постановлению Правительства РФ N 1119 и принять соответствующие меры защиты.

При использовании облачных версий 1С (1С:Фреш, 1С в облаке) данные передаются на обработку третьему лицу. Необходимо заключить поручение на обработку ПДн с поставщиком облачного сервиса и отразить это в политике обработки.

Доступ к базам 1С с персональными данными должен быть разграничен: бухгалтер видит только данные для расчета зарплаты, кадровик — кадровые данные. Логирование доступа к ПДн является рекомендуемой мерой защиты.

Основное правовое основание обработки ПДн работников — исполнение трудового договора (п. 5 ч. 1 ст. 6 закона 152-ФЗ) и выполнение обязанностей работодателя по ТК РФ. Для этих целей отдельное согласие работника не требуется.

Согласие необходимо для целей, не предусмотренных трудовым законодательством: оформление полиса ДМС, передача данных в негосударственный пенсионный фонд, размещение данных на корпоративном сайте, предоставление рекомендаций по запросу третьих лиц.

Работник вправе запросить информацию о своих ПДн: какие данные обрабатываются, кому передаются, на каком основании. Работодатель обязан предоставить ответ в течение 10 рабочих дней.

Передача ПДн в ФНС, СФР и другие государственные органы осуществляется в рамках исполнения законодательных требований (п. 2 ч. 1 ст. 6 закона 152-ФЗ). Согласие работника для этого не требуется, однако работник должен быть уведомлен о таких передачах.

Отчетность по формам 6-НДФЛ, РСВ, СЗВ-ТД, ЕФС-1 содержит персональные данные работников. При передаче по электронным каналам связи данные должны быть защищены средствами криптографической защиты информации.

Важно помнить: передача ПДн в рамках налоговой отчетности не является передачей третьим лицам в понимании 152-ФЗ, а является исполнением обязанности, установленной законом.

Бухгалтерия обрабатывает ПДн представителей контрагентов: ФИО руководителей, контактные данные, доверенности, банковские реквизиты ИП. Для обработки данных контактных лиц юридических лиц правовым основанием является законный интерес оператора.

Обработка данных индивидуальных предпринимателей требует особого внимания: ИП одновременно является и физическим лицом, и субъектом предпринимательской деятельности. Рекомендуется получить согласие ИП на обработку его данных или указать правовое основание в договоре.

При работе с самозанятыми бухгалтерия обрабатывает их ИНН, паспортные данные, банковские реквизиты. Данные хранятся в течение сроков, установленных налоговым законодательством — не менее 5 лет после завершения расчетов.