Глобализация и стремительное развитие технологий сделали информацию личного характера публично и глобально доступной, в особенности через порталы обмена информацией открытого сетевого доступа. Однако каждый имеет право защищать свои личные данные и контролировать их доступность третьим лицам. Всеобщая Регула по защите данных, применение которой будет обязательным с 25 мая 2018 года, обращает особое внимание на необходимость обеспечивать высокий уровень защиты личных данных физических лиц. Регула также устанавливает более суровые штрафные санкции за несоблюдение требований по защите данных.

 

На практике данные физических лиц являются неотъемлемой частью  процесса установления трудовых правовых отношений, расчёта зарплаты, счетов, договоров и т.п. В этой статье – об аспектах нормативных актов, которые надо учитывать бухгалтерам, повседневно работающим с первичными документами и производящими обработку личных данных.

 

Правовое основание

 

Действующие правовые акты Латвии уже в настоящее время устанавливают довольно широкий круг обязанностей заведующих системой обработки данных и операторов. Однако важно учитывать, что со вступлением регулы в силу предусматриваются обширные штрафные санкции за несоблюдение требований регулы – административный денежный штраф может достигать 20 миллионов евро или 4% от глобального оборота предприятия в предыдущем финансовом году (в зависимости от того, какая сумма больше).

 

Данные физического лица можно обрабатывать, если их обработка имеет правовое основание. Поставщики внешних услуг бухгалтерского учёта чаще всего будут работать как операторы, которые обрабатывают личные данные в целях оказания услуг бухгалтерского учёта по заданию другого лица. В свою очередь внутренние бухгалтеры предприятия обработку данных будут производить и как операторы, и как заведующие системой личных данных в зависимости от того, устанавливает ли цели обработки личных данных и средства само предприятие или какое-либо другое лицо. 

• наличие согласия субъекта данных;
• обработка данных вытекает из договорных обязательств с субъектом данных или необходима для заключения соответствующего договора;
• обработка данных необходима заведующему системой для исполнения обязанностей, предусмотренных законом;
• обработка данных необходима для защиты жизненно важных интересов субъекта данных;
• обработка данных необходима для обеспечения соблюдения общественных интересов или для реализации задач публичной власти;
• обработка данных необходима для реализации законных интересов заведующего системой или третьего лица, которому предоставлены личные данные.

Таким образом обработчику данных следует разделять, производится ли обработка данных по заданию другого лица или само предприятие определяет цель обработки и средства. При обработке личных данных бухгалтер также должен убедиться, что имеется законное основание для обработки данных – обработку данных определяет договор с заведующим системой или существует какое-то из предварительных условий, упомянутых в статье 7 закона.

Принципы обработки данных

Обрабатывая данные физических лиц, следует учитывать несколько принципов обработки данных:

• Данные обрабатываются добросовестно и законно – существует законное основание для обработки личных данных;
• Обработка данных производится для конкретных целей и только согласно с ними, т.е. обработка данных конкретного лица – как действия с ними, так и хранение – осуществляется с конкретной целью, например, обработка данных необходима для расчёта зарплаты и выплаты работникам предприятия;
• Данные адекватны – хранимые и иначе обрабатываемые данные не чрезмерны для достижения конкретной цели (принцип минимализации данных). Например, если цель обработки данных – расчёт зарплаты, тогда бухгалтер обрабатывает только те данные, которые необходимы для расчёта;
• Данные не хранят дольше необходимого срока, таким образом обработка данных, которая включает в себя хранение данных, может происходить только так долго, сколько это необходимо. Продолжительность обработки данных могут определять несколько факторов, например, в отдельных случаях закон регулирует срок хранения документов, что косвенно определяет срок хранения личных данных , включённых в эти документы.
• Данные обрабатываются согласно правам субъекта данных – в законе определены конкретные права субъекта данных, которые заведующий системой должен учитывать. Например, в конкретных случаях субъект данных имеет право  запросить информацию о физических и юридических лицах, которые получили информацию об этом субъекте данных. Отвечая на этот запрос, обработчик данных должен обобщить информацию об учреждениях и лицах, которые получили информацию об этом физическом лице, например, что в конкретный промежуток времени данные о налоговых платежах поданы в СГД. Если бухгалтерский учёт обеспечивает внешний поставщик услуг, тогда субъекту данных следует предоставить информацию и об этом;
• Данные в безопасности –бухгалтеру также надо проводить необходимые мероприятия по защите данных, чтобы не допустить, что личные данные стали доступны лицам, не имеющим права ознакомиться с этой информацией. На практике это означает необходимость хранить данные в таком месте и виде, которые не позволяют другим лицам получить к ним доступ. Это относится к хранению документов, содержащих данные физических лиц, как в электронном, так и в бумажном формате. Согласно этому принципу личные данные не могут быть доступны другим работникам предприятия, рабочие обязанности которых не предусматривают обработку таких данных;
• Данные не пересылают организациям, учреждениям или в другие страны, не позаботившись о надёжной и адекватной защите. При пересылке данных надо соблюдать необходимые требования безопасности, например, шифрование данных, чтобы данные не стали известны другим лицам.

Одним из примеров соблюдения адекватности данных является обработка идентификационных документов физических лиц. Копирование паспорта или карты ID часто производится необоснованно, поскольку эти документы содержат информацию, которая не всегда необходима для конкретной цели. Например, гражданство лица не является необходимым для расчёта зарплаты, поэтому сбор и хранение этой информации не обоснованы, если это не следует из закона или правовой цели обработки данных.

Применение регулы

Как было упомянуто ранее, с 25 мая 2018 года обработку данных физических лиц будет регулировать Всеобщая Регула защиты данных. Надо отметить, что основные принципы защиты и обработки данных, предусмотренные в настоящее время законом, в большой мере совпадают с требованиями регулы. Регула устанавливает следующие обязанности при обработке данных:

• работники предприятия должны быть соответственно информированы и обучены по вопросам защиты личных данных;
• следует проверить, устанавливают ли внутренние документы предприятия порядок обработки данных на предприятии, что позволило бы продемонстрировать, как соблюдены принципы защиты данных, установленные регулой;
• уже перед началом обработки данных должен быть установлен порядок обработки данных, чтобы соблюдать принцип адекватности данных.

Требования нормативных актов относительно защиты личных данных создают необходимость для предприятий, производящих обработку личных данных, пересмотреть процессы и дополнить процедуры в соответствии с дополнительными требованиями, пригласив в необходимых случаях специалистов по защите данных, чтобы уменьшить риски, связанные с несоблюдением требований. Рекомендации, практические советы и аспекты, на которые следует обратить внимание, доступны также на домашней странице Государственной инспекции данных.