Согласно Федеральному закону № 152-ФЗ компании обязаны реализовывать правовые, организационные и технические меры для защиты прав субъектов персональных данных. И чаще всего ответственность за выполнение требований закона ложится на плечи бухгалтера.
Суть требований 152-ФЗ
К персональным данным законодатели отнесли любую информацию о конкретном физическом лице, в том числе те сведения, которые предприятие получает от своих сотрудников, принимая их на работу. А это значит, что соблюдать требования данного закона должны все компании.
Чтобы выполнить требования 152-ФЗ, нужно разработать внутренние документы и провести ряд мероприятий. Например, каждая компания должна определить свою политику в отношении обработки персональных данных. В некоторых случаях нужно получить согласие сотрудников и клиентов на обработку их персональных данных и включить соответствующие положения в договора с ними. Необходимо прописать, кто из сотрудников используют персональные данные в своей деятельности, назначить ответственного за организацию их обработки. И это лишь небольшая часть обязательных мероприятий.
Ответственность за невыполнение
При проведении документарных проверок (аналог камеральных налоговых проверок) Роскомнадзор запрашивает у компании копии внутренних документов, разработанных в соответствии с 152-ФЗ. Во время выездных проверок не только изучаются документы, но и контролируется, как их выполняют работники компании на практике.
За каждое допущенное нарушение компанию могут оштрафовать. На данный момент максимальная сумма штрафа — 10 тысяч рублей. В ноябре Роскомнадзор предложил увеличь его в 70 раз! И при этом не нужно забывать, что на устранение выявленных нарушений потребуются дополнительные расходы.
Оптимальное решение
У небольших компаний, как правило, недостаточно собственных ресурсов и компетенций, чтобы выполнить все требования закона, а оплачивать услуги консалтинговой компании очень дорого. Для таких компаний мы разработали веб-сервис «Контур.Безопасность».
Игорь Луканин, руководитель веб-сервиса «Контур — Персональные данные», обладатель статуса CISSP