Защита персональных данных для бухгалтерского аутсорсинга
Бухгалтерский аутсорсер обрабатывает персональные данные работников своих клиентов — по заданию клиента-оператора. Это делает его обработчиком ПДн со своими обязанностями. Разберём требования 152-ФЗ.
Знакомые ситуации
- •Ведём зарплату и кадры для клиентов — чьи это данные и кто отвечает.
- •Нужно правильно оформить отношения с каждым клиентом.
- •Храним данные в 1С и облачных сервисах — как обеспечить защиту.
Что нужно по 152-ФЗ
Договор-поручение с каждым клиентом
Обработка ПДн работников клиента ведётся по поручению оператора; оформляется договор-поручение с перечнем данных, действий, целей и требований к безопасности (часть 3 статьи 6 152-ФЗ).
Роль обработчика и ответственность
Аутсорсер выступает обработчиком: перед субъектами отвечает оператор (клиент), а обработчик отвечает перед оператором (часть 5 статьи 6). При этом обработчик обязан соблюдать конфиденциальность и требования безопасности данных (статья 19).
Собственные ПДн
В отношении данных своих работников и контрагентов аутсорсер — самостоятельный оператор: нужны уведомление РКН, политика и меры защиты.
Меры защиты ИСПДн
Данные обрабатываются в ИСПДн (1С, облачные сервисы); определить уровень защищённости и реализовать меры по приказу ФСТЭК №21; при облаке — поручение провайдеру.
Локализация
При сборе данных граждан РФ обеспечить их запись и хранение в базах на территории России (часть 5 статьи 18 152-ФЗ).
Частые вопросы
Бухгалтерский аутсорсер — оператор или обработчик персональных данных?
В отношении данных работников клиентов он обработчик (действует по поручению клиента-оператора), а в отношении данных собственных сотрудников и контрагентов — самостоятельный оператор.
Что оформить с клиентом на аутсорсинге бухгалтерии?
Договор-поручение на обработку ПДн с перечнем данных, действий и целей обработки, обязанностью соблюдать конфиденциальность и обеспечивать безопасность (часть 3 статьи 6, статья 19 152-ФЗ).
Подробнее в Базе знаний
Материал носит информационный характер и не заменяет индивидуальную оценку. Требования применяются с учётом целей обработки и особенностей организации.