В 2025 году вступили в силу новые правила в работе с персональными данными. Нарушения в обработке, хранении и передаче персданных могут привести к крупным штрафам — миллионам рублей, а иногда и к уголовной ответственности. В статье рассмотрим неочевидные, но и очень опасные ошибки, которые могут стать причиной ответственности бухгалтеров, и расскажем, как их не допустить.
Оглавление
- Оставили документы с персданными на рабочем столе
- Передали персданные в облачное хранилище без согласия
- Выдали расчетный листок жене или маме работника
- Разместили копию заявления в качестве образца без согласия
- Использовали личные устройства для обработки и хранения персональных данных
- Не уничтожили персональные данные после истечения срока хранения
Оставили документы с персданными на рабочем столе
Ошибка. Многие бухгалтеры работают в офисах, где документы с персональными данными могут случайно оказаться на видном месте. Даже кратковременное оставление файла или бумажки с именами, номерами телефонов, ИНН или банковскими реквизитами на столе — нарушение требований по защите данных. Например, бухгалтер распечатал зарплатные ведомости и оставил их на столе, сам ушел на обед. За это время: коллеги могли подсмотреть чужие зарплаты, уборщица случайно задела стопку документов, и они разлетелись по офису.
Ответственность. Если персональные данные станут известны за пределами компании и о нарушении узнает Роскомнадзор, бухгалтера оштрафуют за обработку персданных — от 8 000 до 20 000 рублей, ИП — от 20 000 до 40 000 рублей, а организацию — от 50 000 до 100 000 рублей, если допустили утечку данных до 1000 человек (ч. 6 ст. 13.11.КоАП). Если утечка данных свыше 1000 человек, штрафы будут выше (ч. 12, 13, 14 ст. 13.11 КоАП).
Как избежать. Чтобы вас не привлекли к ответственности за нарушения работы с персданными:
храните бумажные документы в сейфе — папки с персданными должны находиться в закрывающемся шкафу или сейфе, ключи от которого есть только у ответственных лиц;
убирайте рабочий стол перед уходом — сканы паспортов, расчетные листки и другие ведомости нельзя оставлять даже на пять минут;
используйте зашифрованные USB-носители — если переносите данные, применяйте запароленные флешки.
Как в целом выстроить работу по обработке персональных данных читайте в отдельной статье.
Передали персданные в облачное хранилище без согласия
Ошибка. Бухгалтеры часто допускают ошибку, когда передают данные в облачные хранилища без необходимого согласия. Облачное хранилище считается третьим лицом. Например, бухгалтер загрузил сканы паспортов сотрудников в Google Drive, Яндекс.Диск или Mail.ru Облако без их письменного согласия.
Ответственность. Если Роскомнадзор узнает о нарушении, бухгалтера оштрафуют — от 100 000 до 300 000 рублей. Организации грозит штраф в таком случае в размере — от 300 000 до 700 000 рублей (ч. 2 ст. 13.11. КоАП).
Как избежать. Чтобы не допустить этой ошибки:
получите письменное согласие, где будет указано, что данные можно хранить в облаке;
используйте только российские облачные сервисы — СберОблако, Яндекс.Диск (с настройкой приватности). Базы данных сервисов Google находятся за пределами территории РФ, поэтому использовать сервисы Google нельзя.
включите двухфакторную аутентификацию.
Выдали расчетный листок жене или маме работника
Ошибка. Расчетные листки содержат не только зарплату, но и налоговые сведения, реквизиты банковских счетов, а также другие персональные данные. Передача их родственникам без согласия — нарушение конфиденциальности. Некоторые бухгалтеры считают, что родственники имеют право знать о доходах, особенно если это касается совместного бюджета. Однако по закону, такие сведения считаются конфиденциальными и требуют согласия. Например, работник может попросить передать расчетный листок жене. Бухгалтер отдал документ без письменного согласия.
Ответственность. Если сотрудник не давал согласие или доверенность, это нарушение. Роскомнадзор узнает о нарушении и оштрафует бухгалтера, если он ответственный за обработку персданных — от 100 000 до 300 000 рублей, организацию — от 300 000 до 700 000 рублей (ч. 2 ст. 13.11 КоАП).
Как избежать. Чтобы не допустить этой ошибки:
выдавайте документы только лично по паспорту;
требуйте письменную доверенность, если получают документы третьи лица;
не обсуждайте зарплаты и персданные — только при личной встрече или через защищенные каналы.
За нарушения в работе с персональными данными бухгалтеру грозит только административная ответственность?
Нет, за нарушения в работе с персональными данными бухгалтера могут привлечь и к уголовной, гражданско-правовой, дисциплинарной ответственности.
Бухгалтера привлекут к уголовной ответственности, если он умышленно собирал и распространял сведения о личной жизни другого лица (ст. 272.1 УК). К дисциплинарной ответственности привлекут, если лицо нарушило регламент по обработке персональных данных в своей организации. Работодатель в таком случае может уволить, сделать замечание или выговор. Детальнее об ответственности писали в новости на сайте Консоль.
К гражданско-правовой ответственности привлекут, если из-за утечки организацию оштрафуют (ст. 238 ТК) или, если из-за нарушения пострадал человек, он может взыскать компенсацию морального вреда через суд. К тому же не забываем и об административной ответственности, в случае, если бухгалтер хранил, записывал персональные данные без согласия другого лица.
Разместили копию заявления в качестве образца без согласия
Ошибка. Образцы заявлений могут содержать персональные данные. Размещать их в открытом доступе без согласия лица, нарушение закона. Многие считают, что размещение образцов для внутреннего использования или обучения не несет рисков. Однако, если такие образцы разместили хоть где-то, это уже нарушение. Например, бухгалтер выложил в корпоративный чат скан заявления на отпуск с реальными Ф.И.О. и подписью работника, чтобы остальные знали, как заполнять документ.
Ответственность. Если сотрудник не давал согласие или доверенность, это нарушение. Роскомнадзор узнает о нарушении и оштрафует бухгалтера, если он ответственный за обработку персданных, от 100 000 до 300 000 рублей, а организацию — от 300 000 до 700 000 рублей (ч. 2 ст. 13.11 КоАП).
Как избежать. Чтобы не допустить ошибки:
получайте согласие на публикацию образцов;
уберите персональные данные в образцах, например, используйте вымышленные имена;
ограничьте доступ к внутренним документам.
Использовали личные устройства для обработки и хранения персональных данных
Ошибка. Работа с персональными данными на личных ноутбуках или смартфонах без мер безопасности увеличивает риск утечки. Такие устройства могут быть заражены вредоносным ПО или не иметь защиты. Например, бухгалтер работал с конфиденциальными данными на личном ноутбуке, который был взломан. В результате утекли данные нескольких сотен сотрудников, и компания заплатила крупный штраф.
Ответственность. Если допустили утечку данных до 1000 человек, бухгалтера оштрафуют от 8 000 до 20 000 рублей, организацию — от 50 000 до 100 000 рублей, а ИП — от 20 000 до 40 000 рублей (ч. 6 ст. 13.11 КоАП). За утечку данных свыше 1000 человек размеры штрафов выше.
Как избежать. Чтобы не допустить ошибки:
используйте корпоративные устройства с установленными средствами защиты;
ведите учет устройств, на которых обрабатываете персональные данные.
Не уничтожили персональные данные после истечения срока хранения
Ошибка. Закон требует уничтожать или обезличивать персональные данные, если они больше не нужны для целей обработки. Их хранение после окончания срока — нарушение. Иногда бухгалтеры держат годами в архивах сканы паспортов, расчетные листки уволенных сотрудников, даже не подозревая, что так нельзя. Например, бухгалтер не чистил базу 1С: ЗУП, и в системе остались данные сотрудников, которые уволились 7 лет назад. При утечке информации компания получила штраф 500 000 рублей.
Ответственность. Если бухгалтер не уничтожил персональные данные, его оштрафуют от 8 000 до 20 000 рублей, а организацию — от 50 000 до 90 000 рублей (ч. 5 ст. 13.11 КоАП).
Как избежать. Чтобы не допустить ошибки:
внедрите автоматизированные системы контроля сроков хранения;
регулярно проводите аудит баз данных.
Даже если данные никто не использует, сам факт их хранения сверх срока — нарушение. Роскомнадзор проверяет архивы при плановых проверках.
Подробнее о всех изменениях в сфере персональных данных для самозанятых, читайте в статье «Увеличили штрафы за неподачу уведомления в Роскомнадзор: что делать самозанятым» .
Памятка для бухгалтера
Советы, как правильно хранить персональные данные
Минимизируйте сбор персональных данных. Собирайте только те персональные данные, которые нужны для компании. Не собирайте информацию, которая не имеет прямого отношения к компании.
Обеспечьте хранение разных категорий персональных данных в отдельных системах или папках, чтобы снизить риск их несанкционированного доступа.
Не создавайте и не храните профили клиентов или сотрудников без объективной необходимости. Удаляйте данные, как только они перестают быть актуальными или достигнута цель их обработки.
Внедряйте современные технологии и программные средства для защиты данных: шифрование, антивирусное программное обеспечение, системы контроля доступа.
После выполнения целей обработки, например, после увольнения сотрудника, уничтожайте персональные данные в соответствии с установленными сроками и процедурами.
Если выявили признаки или факты неправомерного распространения персональных данных, своевременно сообщайте об этом в Роскомнадзор согласно установленным срокам.
В течение 24 часов — направьте первичное уведомление в Роскомнадзор о нарушении.
В течение 72 часов — направьте уведомление о результатах внутреннего расследования.
Популярное по теме за месяц
WONDER LAB: автоматизировали документооборот и привлекли больше тысячи блогеров
Анализ рынка для бизнес-плана: пошаговая инструкция, примеры и инструменты
Субсидии на бизнес: как самозанятому получить деньги от государства в 2025 году
