Защита персональных данных для налогового представителя

[zaratushtra]

Предисловие: пробежал по всем темам подфорума, что сказать слабовато, на самом деле перед бух. фирмой столько проблем, а обсуждается лишь поверхность. Я решил или решился открыть фирму с оказанием такого рода услуг, причем в услуги эти будут входить как услуги по бух учету, так и кадры, охрана труда, защита персональных данных, регистрация, ликвидация, представительство и защита, но сейчас при открытии пока клиентов для бух. учета еще нет я делаю упор на работу в качестве налогового представителя (составление и передача отчетности в НО, ПФ, ФСС) так как в нашей деревне этот рынок услуг еще не до конца захвачен.

Защита персональных данных для меня новшество, попытался освоить прочитав законодательство - получается туго, с комментарием авторитетных издательств хоть что-то стало понятно. С защитой персональных данных у организаций - потенциальных клиентов в принципе все понятно, локальный нормативный акт разработаем, приказ нарисуем, заявление с работников возьмем, а вот как эти данные защитить в самой фирме оказывающей услуги, причем защитить слово для меня в этой сфере с одной стороны смешное, с другой стороны плачевное, так как основной контролер - ФСБ, а с этой конторой просто сталкиваться, не то что конфликтовать геморно и дорого, вспомнить хотя бы их творение в виде ЭКЛЗ для ККТ (это я про дорого )

Собственно вопрос - не могу я понять у организации - налогового представителя (в частности по отчетности в ПФ по персонифицированному учету) что должно быть организовано для осуществления такого рода деятельности, ведь законодательство в нашей стране многоаспектно, а значит есть вариант, что какой-то умник скажет что такие фирмы - есть операторы по работе с персональными данными со всеми вытекающими общениями с ФСБ для присвоения каких-то классов защиты. Завтра выложу схему из которой это следует.

Допускаю что паники нет потому, что паникер один я, тем более что пока только вхожу в этот бизнес и причин тому несколько:
1) руки ФСБ не дотянутся до нас или до большинства из нас
2) как обычно в многоаспектном законодательстве есть петля через ГК РФ, в которой получится следующий выворот: организации ведут бух учет сами или через представителя (то же и про сдачу отчетности только уже со ссылкой на НК), представитель осуществляет полномочия по доверенности и раз работник организации в заявлении дает согласие на обработку перс данных организации то это согласие распространяется и на представителя (хотя лучше наверное в заявлении это указать явным образом). Защита данных при обработке и передаче будет обеспечена оператором, например СКБ "Контур"

Много слов и мыслей, может бестолковых, всем кто осилил текст спасибо, жду отзывов.

[Kantry]

Отвечу кратко. Я директор бух. фирмы с такими же функциями, как у вас. От греха подальше подала уведомление в роскомнадзор о том, что я оператор. С каждого работника клиентов собираю согласие на обработку ПД, где написано, что он конкретно нашей орг-ции позволяет это делать, ну и цели подробно. Есть положение о защите ПД.
Тех. защиту еще не делали. На столе лежит прайс-лист орг-ции, имеющей лицензию на тех. защиту. Цены ужасают!!! Толпы юристов не могут прийти к единому мнению, нужна ли тех. защита.

Вот этот вопрос меня очень интересует, иначе это выливается в копеечку.

[zaratushtra]

Значит проблема все таки есть! С предприятиями стоящими на обслуживании я так и думал делать, правда не знаю что такое техзащита и ее ужасные цены, мне бы денег без кредита хватило открыться с 1-2 работниками впереди еще масса расходов, для кого-то суммы смешные, а для меня сейчас сумма в 100 000р. довольно большая сумма.

Если с организациями стоящими на полном обслуживании все понятно, то что делать с приходящими отчетниками, они моя основная надежда на безубыточный старт и дальнейший базис: это ИП и мелкие ЮЛ с количеством работников 2-7 чел ведущих бухгалтерию сами, им нужно только передать и набить отчетность в том числе перс. по ПФ. Если я их заморочу сбором заявлений с работников, а в соседней конторе (основной конкурент - филиал крупного сетевика с "крышей") ничего такого не требуют, но там очереди даже не знаю к кому пойдет клиент.

[Kantry]

Странно, что в соседней конторе не берут согласия при сдаче в ПФР индивид. сведений. У нас в Курске - это одно из требований самого ПФР. Пр сдаче индивид. сведений мы во-первых заключили договор с ПФР, в кот. это правило прописано (форма договора из ПФР). Во-вторых, заключаем договор с клиентом, он пишет на нас доверенность, собирает с каждого работника согласия по нашей форме. Все это мы несем в ПФР, после чего сдачем отчетность по ТКС. Согласия ПФР не берет, остаются у нас. Клиенты с сотрудниками 150-200 чел. беспрекословно собирают с каждого такие согласия.

Тех. защита - это когда устанавливают особое ПО на каждый комп, на котором осуществляют обработку ПД. Все это сопровождается рядом других работ, подготовкой кучи документации. Делать это могут организации с лицензиями. Стоит ОЧЕНЬ дорого.

[zaratushtra]

Да наверное я погорячился все же что-то берут, не знаю насколько дотошно, думаю ровно настолько сколько сверяет пенсионный фонд.

Мне теперь чтобы этих клиентов переманить, нужно самому набрать эти заявления, чтобы клиент, только собрал подписи.

[zaratushtra]

Вот нашел в интернете интересную схему, и не могу понять в каком ромбике мы на этой схеме

[Kantry]

Спасибо за табличку. У меня по ней получается 2 класс - нижний правый прямоугольник.
У вас - пока нет 1000 человек, будет 3 класс по всей видимости.

[Демидова Татьяна]

Честно говоря мы не заморачивались этим вопросом до сегодняшнего дня. Однако, наверное, стоит. Выясним на днях этот вопрос, скажу что решили мы.

[Kantry]

Если нужно, могу скинуть свое уведомление роскомнадзора. Форма хоть и есть на сайте, но ее еще заполнить надо - очень замороченная.

[zaratushtra]

А кто нибудь звонил в роскомнадзор или вживую общался? Что они сами про нас говорят, там есть телефончик именно по защите перс данных.

[Kantry]

Звонили, они ничего не говорят, кроме "обращайтесь в компанию, которая имеет на это лицензию".

[lubezniy]

Читал в какой-то ведомственной нормативке, что системы III класса можно аттестовывать самостоятельно, а II и I классы уже требуют привлечения организации с лицензиями. Но обосновать это ссылками на НПА пока не могу.

[lubezniy]

UPD: В современной нормативке ФСТЭК требования обязательной аттестации систем 2 и 1 классов сторонней организацией, судя по всему, отменены (это не избавляет от проведения мероприятий по защите, но некоторые вопросы снимает).

[zaratushtra]

Звонили, они ничего не говорят, кроме "обращайтесь в компанию, которая имеет на это лицензию".

а что спрашивали, как аттестовать для 2 класса?

Я позвоню в ближайшее время и спрошу а надо ли вообще подавать уведомление и можно ли аттестоваться для 3 класса самостоятельно. А главное нужны ли специальные компьютерные программы для защиты для нас.

[zaratushtra]

Читал в какой-то ведомственной нормативке, что системы III класса можно аттестовывать самостоятельно, а II и I классы уже требуют привлечения организации с лицензиями. Но обосновать это ссылками на НПА пока не могу.

это очень интересно, думаю что если аттестация нужна и возможна самостоятельно, то в этой теме должен родиться народный порядок ее проведения.

[zaratushtra]

Вообще конечно очень смешно как принимаются законы, особенно новые, а главное лично у меня вырисовывается образ кто их принимает, насколько люди понимают то какая бесполезная работа будет проводится не для реальной защиты чьих-то прав, а для того чтобы избежать штрафа. ИМХО это плоды того что выход во власть закрыть для народа уже давно, а закон нормального распределения работает. Не знаю сколько еще это будет продолжаться, но не до бесконечности это точно.

В этом законе про операторов перс данных работающих с сотрудниками сторонних организаций ладно, возможно и правильно, по крайней мере у организации есть выбор (хоть иногда), но для локальной организации и ее сотрудников скажите мне ЗАЧЕМ это нужно, не обрабатывать данные организация не может, не дать согласие работник вроде тоже не может, так зачем портить бумагу и время, для того чтобы организация не использовала данные не по прямому назначению, неужели нельзя это было прописать прям в законе, а если кому нужны отклонения, то пожалуйста издавайте локальный акт, берите согласие с работника и вперед.

[FA]

У нас ПФР тоже сначала требовал подписку с каждого работника клиента для заключения договора на сдачу по ЭКС. Однако на наш резонный вопрос, что делать, если все работники клиента согласились, а один (2, 3 и т.п.) нет - не нашлись что ответить. В результате мы убрали из текста договора с ПФР фразу про защиту данных и они подписали с нами договор в такой редакции.

Наша логика:
1. работник связан с клиентом трудовыми отношениями, а мы действуем на основании договора с его работодателем. Закон не предоставляем работнику права выбора бухгалтера, а работодателю - предоставляет.
2. Мы не занимаемся обработкой персональных данных, т.к. не осуществляем "сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных".
3. И главное - абсурдность ситуации, когда кто-то из работников НЕ согласен на передачу данных. ПФР первым повесится от таких.

[zaratushtra]

Я о том же - абсурд получается.

Наша логика:
2. Мы не занимаемся обработкой персональных данных, т.к. не осуществляем "сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных".

а вот это Вы ФСБ расскажете, когда они компьютер изымут, а там Иванов Иван Иваныч год рождения, прописка, ИНН, СНИЛС данные за 4 квартал 2010г., а Вы вроде не храните, не накопляете, не систематизируете, вот то что не уничтожили это да

[зОля]

...убийственно... у нас поэтому поводу тоже пока не заморасивались ... походу теперь заморочаться ...

Наша логика:
1. работник связан с клиентом трудовыми отношениями, а мы действуем на основании договора с его работодателем. Закон не предоставляем работнику права выбора бухгалтера, а работодателю - предоставляет.

аналогичное мнение

2. Мы не занимаемся обработкой персональных данных, т.к. не осуществляем "сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных".

и вообще у нас написано в пункте конфидециальность что мы не кому не СКАЖЕМ ...

а вот это Вы ФСБ расскажете, когда они компьютер изымут,

а там про него ничего нет, а вот в печатном виде да лежат, со штампиками о приеме

[zaratushtra]

а там про него ничего нет, а вот в печатном виде да лежат, со штампиками о приеме

предположим Вы работаете не в ЭОНе, а чем то бесплатном, а что когда 2-НДФЛ заполняете базу данных с ФИО каждый раз заново заводите?

[зОля]

а бесплатная программа поятоянно меняется, и люди (работники в основном тоже),

базу данных с ФИО каждый раз заново заводите

так получается (текучка у всех большая, только 10% одни и тежи)

[lubezniy]

это очень интересно, думаю что если аттестация нужна и возможна самостоятельно, то в этой теме должен родиться народный порядок ее проведения.

Поправка - аттестация сама по себе не нужна. Подробности - в приказе ФСТЭК № 58 "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных" (заменило ранний "документ" от ФСТЭК, бывший ДСП, не зарегенный в Минюсте и официально не опубликованный, в котором содержались эти требования) и 781-м постановлении правительства.

[lubezniy]

Вот немножко подробностей в общих чертах (не от меня):
http://ecm-journal.ru/blog/post/Pers...a-ottepel.aspx

[FA]

Я думаю, не надо особо нагнетать. Ответственность предполагает наличие вины. А в чем наша вина, если мы эти чертовы персональные данные трясем исключительно во исполнение различных законов. Будь наша воля мы бы ничего никому не отправляли, не хранили, не обрабатывали.
Так что думаю с ответственностью у органов будут проблемы. Если конечно суд не Басманный.

[zaratushtra]

А я думаю, что есть ФЗ и в нем черным по белому - защищать, вот только как и что в нюансах вопрос.

А найдут нас всех очень быстро: СКБ Контур, Астрал-Отчет, Такском, кто-там еще остался сдадут нас в инициативном прядке, потому как именно они эти средства защиты и продают и очень недешево. Пример: у меня жена главбух бюджетного учреждения (работают с детьми) в централизованном прядке на всех предприятиях департамента совместно с самоотверженным СКБ Контур ставят это защищающее перс. данные детишек ПО. Конкретной организации на 3 машины насчитали около 160 000 руб. пока вопрос только один - это в год или раз и навсегда

[FA]

Вот еще тема Навальному про распил бюджетных денег

[lubezniy]

А я думаю, что есть ФЗ и в нем черным по белому - защищать, вот только как и что в нюансах вопрос.

Защищать персональные и связанные с ними данные от несанкционированного доступа. И касается это не только автоматизированных систем, но и бумажек (есть отдельное постановление правительства по части обработки ПДн без использования средств автоматизации). Делать это, насколько я понимаю, сейчас оператор может как самостоятельно, опираясь на нормативку, так и привлекая стороннюю организацию. Порядок выполнения действий примерно таков:

1. Определение перечня персональных данных (тех, которые нужно защищать);
2. Определение мест, где они обрабатываются, способов обработки; инвентаризация используемых методов и средств защиты;
3. Классификация информационных систем обработки персональных данных в соответствии с Порядком классификации ИСПДн;
4. Приведение методов и средств защиты в соответствие с нормативкой ФСТЭК (ссылка на приказ выше - там расписано, что нужно использовать для конкретного класса);
5. Сбор согласия на обработку ПДн с субъектов;
6. Уведомление в Роскомнадзор (если обрабатываются данные не своих сотрудников, а также в других случаях, оговорённых в 152-ФЗ).

Все эти действия для галочки нужно документировать локальными актами конторы.

[Аноним]

Может вообще нужно отходить от "налогового представительства"........
Пусть каждый клиент покупает ЭЦП на самого себя, оформлять с ним договор на передачу данных, а подписи будут самой орг-ции, а не налогового представителя...

[lubezniy]

Может вообще нужно отходить от "налогового представительства"........
Пусть каждый клиент покупает ЭЦП на самого себя, оформлять с ним договор на передачу данных, а подписи будут самой орг-ции, а не налогового представителя...

А при чём тут передача данных... Сдача отчётности обычно не является единственной функцией налогового представителя.

[lubezniy]

Продолжим...
Почитал ещё раз 152-ФЗ, и возникли у меня некоторые сомнения.
П. 4 статьи 6 гласит:

В случае, если оператор на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.

Предлагаю тему для спора: а является ли это самое "другое лицо" (пусть будет бухфирма) в данном случае оператором ПДн ? Или же оператором с т. з. закона является только работодатель? От этого зависит необходимость выполнения п. 6 вышеприведённого примерного порядка действий, да и наличие у фирмы (не работодателя) согласия субъектов ПДн тоже под вопросом.