2019-3-12 16:01 |
Вступившие в силу 25 мая 2018 года новые правила защиты персональных данных повлекли за собой дополнительные обязанности в том числе для тех предпринимателей, которые оказывают услуги по ведению бухгалтерского учета, – например, обязанность составлять обзор обработки персональных данных, а иногда и назначать специалиста по защите данных.
Обработка персональных данных
Персональные данные – это сведения о физических, физиологических, генетических, психических, экономических, культурных и социальных особенностях физического лица.
Поскольку бухгалтер обрабатывает данные о заработных платах и социальном страховании работников, то можно сказать, что обработка персональных данных входит в основную деятельность бухгалтера.
В процессе учета заработной платы обрабатываются экономические данные работников. Помимо этого, бухгалтеры занимаются вопросами медицинского страхования, налогов и взносов по страхованию, то есть данными, которые касаются:
социального налога,
медицинского страхования,
подоходного налога,
взносов по страхованию от безработицы,
платежей по накопительной пенсии.
В целях социального страхования работников бухгалтеры обрабатывают данные об их здоровье, например, информацию, касающуюся:
отпуска по уходу за ребенком,
отпуска по беременности и родам,
основного отпуска работника с частичной или отсутствующей трудоспособностью,
отпуска родителя ребенка с ограниченными возможностями,
сохранения среднего вознаграждения за труд за перерывы в работе для грудного вскармливания ребенка,
оплаты отцовского отпуска.
Таким образом, можно утверждать, что специалисты по ведению бухгалтерского учета являются обработчиками персональных данных.
Информация особой категории
Персональные данные разделяются на обычные персональные данные и персональные данные особой категории.
К особой категории персональных данных относится информация, позволяющая определить расовое или этническое происхождение, политические взгляды, религиозные либо философские убеждения, членство в профессиональных союзах, генетические данные, используемые для идентификации физического лица биометрические данные, данные о состоянии здоровья, сведения, касающиеся сексуальной жизни или сексуальной ориентации физического лица.
Данные, которые бухгалтер собирает в целях социального страхования (например, выясняя, кто является работником с частичной трудоспособностью, родителями детей с ограниченными возможностями и тому подобное), тоже причисляются к особым.
Данные особой категории разрешается обрабатывать только в том случае, если человек четко выражает на это свое согласие или если их обработка необходима в связи с исполнением обязанностей и особых прав ответственного обработчика либо субъекта данных в сфере трудового права, социального страхования, социальной защиты или трудовой медицины.
Поскольку бухгалтер обрабатывает данные особой категории только для исполнения вытекающих из законов обязанностей, то ему не надо испрашивать у работника согласия на обработку таких данных. В то же время бухгалтер может обрабатывать персональные данные только в том объеме, который необходим для исполнения обязанности по налогам.
Когда без ответственного лица не обойтись?
Обработчики данных, основная деятельностью которых заключается в масштабной обработке данных особой категории, должны назначать специалистов по защите данных и извещать об этом посредством портала предпринимателя общественность, а также Инспекцию по защите данных.
Критериями для назначения специалиста по защите данных является то, что действия по обработке персональных данных входят в состав основной деятельности предприятия и обработка данных является масштабной.
Под понятием «основная деятельность» подразумевается ключевая деятельность обработчика данных, без которой он не может выполнять свои ежедневные основные задачи. Например, основной задачей больницы является оказание медицинских услуг. Больница не может этого делать без обработки персональных данных пациентов. Подобно больнице, бухгалтеры тоже не могут совершать свои действия без обработки персональных данных. Следовательно, обработка персональных данных – это ключевая деятельность предприятий, оказывающих бухгалтерские услуги (далее также – бухгалтерские компании).
При определении масштабности обработки данных Инспекция по защите данных исходит прежде всего из того, данные какого количества человек отслеживаются (например, на основании базы данных клиентов). В случае данных особой категории масштабными считаются данные в объеме 5000 и более человек.
Таким образом, обработка персональных данных является масштабной, если бухгалтерская компания ведает данными особой категории касательно более 5000 человек. При этом важно отметить, что обязанность обработки таких данных действует в отношении не всякого работника. К примеру, если у работника нет потребности в возмещении по социальному страхованию, то и обрабатывать связанные с этим данные не нужно.
Данными особой категории не являются сведения, представляемые Больничной кассе, так как на выданном семейным врачом листе нетрудоспособности не отмечаются данные о состоянии здоровья работника (указываются данные лишь о том, что работник временно нетрудоспособен, диагноза же работодатель не видит).
Специалист по защите данных должен быть назначен теми обработчиками данных, в распоряжении которых находится информация, отражающая экономическое положение (например, данные о налогах, заработной плате и кредитном рейтинге, за исключением публичных данных) свыше 10 000 человек. В данном случае риск обработки данных считается высоким, и этому сопутствует обязанность назначить ответственное за их обработку лицо.
Из этого следует, что специалиста по защите данных должны назначать такие бухгалтерские компании, клиентская база которых содержит данные более 10 000 работников.
Если в клиентской базе такого предприятия насчитывается не более 5000 работников, то оно не обязано назначать специалиста по защите данных. Если же в компании насчитывается от 5000 до 10 000 работников, то следует оценить, в каком объеме обрабатываются персональные данные особой категории.
Для специалиста по защите данных – как и для бухгалтера – не утвержден диплом или иные формальные квалификационные требования. Тем не менее, рекомендуется, чтобы такой специалист прошел соответствующее обучение.
Обзор процесса обработки данных
Кроме назначения специалиста по защите данных бухгалтерская компания должна фиксировать свои процессы обработки данных независимо от объема клиентской базы. Такие обзоры должны составлять как ответственные, так и доверенные обработчики.
Предприятие, оказывающее услуги по бухгалтерскому учету и учету персонала, является доверенным обработчиком своих договорных партнеров. Обзор обработки данных доверенного обработчика должен содержать по меньшей мере следующую информацию:
имя и контактные данные самого доверенного обработчика, ответственного(-ых) обработчика(-ов), других доверенных обработчиков (если они имеются), своего специалиста по защите данных (если он назначен);
категории обработки, производимые от имени ответственного обработчика (легче всего это описать путем ссылок на наименования услуг – например, услуга по хранению данных, услуга по бухгалтерскому учету, услуга по логистике, услуга инкассо и так далее);
если персональные данные отправляются в третью страну, то информация об этом вместе с названием страны;
прочая информация о представлении данных и мерах защиты;
общее описание мер безопасности.
Инспекция по защите данных вправе потребовать от обработчика данных представления обзора, поэтому необходимо позаботиться о том, чтобы электронную форму обзора можно было копировать и открывать. На сайте фирмы GDPR Register приведены образцы обзора обработки данных.
Оценка влияния
Приступая к широкомасштабной обработке деликатных персональных данных, бухгалтерская компания должна оценить влияние обработки в задокументированном виде. Обработчик оценивает и описывает:
для достижения каких целей, на каком основании, какие персональные данные и какими методами обрабатываются;
насколько запланированные для обработки выборочные данные необходимы и уместны для достижения поставленной цели;
анализ рисков, определение их уровня (например, высокий, средний, низкий уровень);
какие гарантии и меры защиты применяются в отношении рисков.
Меры включают в себя правила организации труда, физические и информационно-технологические решения. Важнейшая цель оценки влияния заключается в ответе на вопрос: являются ли меры по защите данных достаточными, чтобы полностью снизить, или по крайней мере смягчить до приемлемого уровня вероятные риски.
При определении обязанности оценки влияния применяют два критерия – такие же, как и в случае обязанности назначения специалиста по защите данных:
систематичность обработки данных и
масштабность.
Иными словами, обязанность оценки влияния аналогична обязанности назначения специалиста по защите данных.
Оценивать влияние обработки данных должны те бухгалтерские компании, которые владеют данными касательно более 10 000 работников или в которых обрабатываются персональные данные особой категории в отношении более 5000 работников.
Оценивать влияние обработки данных не должны предприятия, которые действовали на рынке до 25 мая 2018 года. Однако от проведения такой оценки не освобождаются те бухгалтерские компании, которые действовали на рынке до указанной даты, но у которых после 25 мая 2018 года существенно изменился объем и способ обработки персональных данных (например, в базе клиентов стало насчитываться свыше 10 000 работников).
Нарушения
В случае нарушений, связанных с персональными данными, у обработчиков данных возникают четыре обязанности:
каждое нарушение следует документировать;
если нарушение подвергает опасности права и свободу субъектов персональных данных (приводит к причинению вреда), то ответственный обработчик должен представить Инспекции по защите данных извещение о нарушении;
если в результате нарушения был или будет причинен большой вред субъекту персональных данных, то ответственный обработчик должен известить об этом в том числе самого субъекта персональных данных;
доверенный обработчик должен извещать о нарушениях ответственного обработчика.
Поскольку бухгалтерские компании обрабатывают персональные данные особой категории, а также экономическую информацию (данные о заработной плате работников), то в случае утечки персональных данных (например, кибератаки на бухгалтерскую программу) компания должна известить своих клиентов и содействовать организации извещения об этом Инспекции по защите данных и работников клиента.
В случае обязанности представления извещения о нарушении под риском подразумевается не общий риск, а фактически полученный или потенциальный вред. Обязанность представления извещения о нарушении не зависит от того, сколько человек или какой объем данных этот риск затрагивает.
.Подробнее читайте на rup.ee ...
| Источник: rup.ee | Рейтинг новостей: 168 |
