ГрамотаИБ ГрамотаИБ

Защита персональных данных для бухгалтерского аутсорсинга

Бухгалтерский аутсорсер обрабатывает персональные данные работников своих клиентов — по заданию клиента-оператора. Это делает его обработчиком ПДн со своими обязанностями. Разберём требования 152-ФЗ.

Знакомые ситуации

  • Ведём зарплату и кадры для клиентов — чьи это данные и кто отвечает.
  • Нужно правильно оформить отношения с каждым клиентом.
  • Храним данные в 1С и облачных сервисах — как обеспечить защиту.

Что нужно по 152-ФЗ

Договор-поручение с каждым клиентом

Обработка ПДн работников клиента ведётся по поручению оператора; оформляется договор-поручение с перечнем данных, действий, целей и требований к безопасности (часть 3 статьи 6 152-ФЗ).

Роль обработчика и ответственность

Аутсорсер выступает обработчиком: перед субъектами отвечает оператор (клиент), а обработчик отвечает перед оператором (часть 5 статьи 6). При этом обработчик обязан соблюдать конфиденциальность и требования безопасности данных (статья 19).

Собственные ПДн

В отношении данных своих работников и контрагентов аутсорсер — самостоятельный оператор: нужны уведомление РКН, политика и меры защиты.

Меры защиты ИСПДн

Данные обрабатываются в ИСПДн (1С, облачные сервисы); определить уровень защищённости и реализовать меры по приказу ФСТЭК №21; при облаке — поручение провайдеру.

Локализация

При сборе данных граждан РФ обеспечить их запись и хранение в базах на территории России (часть 5 статьи 18 152-ФЗ).

Частые вопросы

Бухгалтерский аутсорсер — оператор или обработчик персональных данных?

В отношении данных работников клиентов он обработчик (действует по поручению клиента-оператора), а в отношении данных собственных сотрудников и контрагентов — самостоятельный оператор.

Что оформить с клиентом на аутсорсинге бухгалтерии?

Договор-поручение на обработку ПДн с перечнем данных, действий и целей обработки, обязанностью соблюдать конфиденциальность и обеспечивать безопасность (часть 3 статьи 6, статья 19 152-ФЗ).

Подробнее в Базе знаний

Материал носит информационный характер и не заменяет индивидуальную оценку. Требования применяются с учётом целей обработки и особенностей организации.