Организация заключила договор о ведении бухгалтерского учета со сторонним бухгалтером. При этом текст договора не содержит условия об обеспечении конфиденциальности и безопасности персональных данных работников при их обработке, перечня действий с персональными данными, которые будут совершаться бухгалтером

Является ли неуказание данных условий в договоре нарушением Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных"?

Ответ: Если при заключении организацией договора со сторонним бухгалтером в текст договора не включены условия об обеспечении конфиденциальности и безопасности персональных данных работников при их обработке, перечень действий с персональными данными, которые будут совершаться бухгалтером, имеет место нарушение Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ).

Обоснование: В соответствии с ч. 4 ст. 9 Закона N 152-ФЗ в случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности: фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе; фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных); наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных.

Согласно ч. 3 ст. 6 Закона N 152-ФЗ оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со ст. 19 Закона N 152-ФЗ.

В представленном случае оператором не было принято мер по защите персональных данных работников при их передаче стороннему бухгалтеру, что является нарушением Закона N 152-ФЗ. Указанные выводы подтверждаются Постановлением ФАС Северо-Западного округа от 29.04.2013 N А44-5910/2012.

А. А.Филонов

Центр методологии бухгалтерского учета

и налогообложения

17.06.2014