1с удалить персональные данные

Обновлено: 15.05.2024

Примечание:
* Механизм доступен в конфигурациях "Зарплата и управление персоналом" 2.5.19 и "Зарплата и кадры бюджетного учреждения" 1.0.8 при использовании платформы "1С:Предприятие" версии 8.2.10

Согласно подзаконным актам степень защиты данных зависит от класса информационной системы, который в свою очередь определяется количеством субъектов (в нашем случае физических лиц), количеством организаций и спецификой персональных данных*. Инструментарий конфигураций способен обеспечить защиту персональных данных в соответствии с требованиями Федерального закона от 27.06.2006 № 152-ФЗ (далее - Федеральный закон № 152-ФЗ) к информационным системам классов 3 и 2, в которые и входят большинство систем наших пользователей.

Что мы предлагаем пользователям для "защиты"?

Для защиты персональных данных в информационных системах класса 3 необходимо фиксировать события аутентификации (входа в систему) и отказа от аутентификации, которые по умолчанию включены. Для соответствия требованиям Федерального закона № 152-ФЗ к информационным системам класса 2 необходимо в числе прочего регистрировать события доступа и отказа в доступе к конкретным персональным данным. Иначе говоря, нужно "уметь" ответить на вопросs "Кто, когда, получил доступ к зарплате Иванова?", и "Кто и когда его получить пытался, но не смог" (из-за ограничения прав)?".

Нужно понимать, что регистрация события Доступ довольно ресурсоемкая. И хотя предварительные замеры производительности позволяют утверждать, что не будет заметного пользователю увеличения времени выполняемых операций, однако поскольку результат запроса к защищаемым данным будет фиксироваться вместе с записью о событии, размер журнала регистрации существенно увеличится. Исходя из этого:

с одной стороны, требуется обеспечить соответствие требованиям закону - защитить все области персональных данных;
с другой стороны, необходимо минимизировать потери производительности.

Перед разработчиками прикладного решения встает задача - обеспечить гибкую настройку режима соответствия требованиям Федерального закона № 152-ФЗ. В типовых решениях гибкость настройки достигается за счет:

выделения областей персональных данных;
управления "детальностью" регистрации событий.

Что сделано в "зарплатных" конфигурациях?

Итак, данные, подпадающие под определение "персональные", разбиваются на четыре области:

личные сведения;
сведения об образовании и компетенциях;
сведения об имуществе;
сведения о доходах.

Пользователю (администратору информационной системы) предлагается установить области данных, для которых будет выполняться регистрация событий доступа и отказа в доступе (см. рис. 1).

Рис. 1. Форма настройки режима защиты персональных данных.

Это вовсе не означает, что частично "включив" регистрацию событий, мы "частично" выполняем требования закона. Просто наиболее вероятным кажется сценарий, при котором доступ к таким областям данных, как сведения о доходах, например, находится в руках у очень ограниченного круга лиц и детально регистрировать каждое отдельное событие нет необходимости. В этом случае область данных можно "отключить" и снизить нагрузку на систему.

Рис. 2. Форма Управление персональными данными.

Еще одна настройка связана с обеспечением конфиденциальности сведений о доходах. Необходимо исключить возможность сотрудников видеть сумму зарплаты коллег. Это может произойти при выплате зарплаты по кассовым ведомостям. Настройка Ограничивать количество сотрудников при печати платежных ведомостей запрещает формирование печатной формы для платежных ведомостей, содержащих больше одного сотрудника. Выплату зарплаты в таком случае следует оформлять при помощи расходного кассового ордера.

В законе упоминается обязанность оператора в ряде случаев уничтожить персональные данные по запросу субъекта. Таким образом, по заявлению физического лица работодатель обязан удалить: данные о его доходах, ИНН, страховой номер ПФР и другие сведения, хранить которые работодателя обязывает законодательство. Учитывая специфику зарплатных конфигураций, принято решение выполнять уничтожение только тех персональных данных, которые не подлежат обязательному хранению. Предполагается, что уничтожение данных может быть выполнено, например, по требованию кандидата, который предоставлял свои сведения на этапе подбора персонала, но в последствии так и не стал сотрудником.

Уничтожение сведений выполняется только пользователем с полными правами в новой форме Управление персональными данными (той же, где и производится просмотр событий) - см. рис. 2. При уничтожении выполняется замена значений защищаемых полей пустыми значениями, иначе говоря, очистка полей, а ссылочная целостность базы данных сохраняется.

Как это работает?

Теперь несколько слов о том, как обеспечивается настройка регистрации новых событий Доступ и Отказ в доступе. Методы объектов платформы, выполняющие установку использования регистрации событий, требуют в качестве параметров: имя таблицы информационной базы, массив полей доступа (защищаемые данные), массив полей регистрации (то есть содержащих сведения о субъекте). Например:

таблица РегистрРасчета.ОсновныеНачисленияРаботниковОрганизаций,
поля доступа: Показатель1, Показатель2, Показатель3, Показатель4, Показатель5, Показатель6, Результат;
поля регистрации: Сотрудник, Физлицо.

Разумеется, таблиц, в которых содержатся персональные данные, в "зарплатных" конфигурациях немало. Информация о них сведена в таблицу значений, имеющую соответствующие колонки: ИмяТаблицы, ПоляДоступа, ПоляРегистрации. В каждой строке этой таблицы значений содержится информация о ее принадлежности к определенной области данных (одной из четырех), что устанавливает соответствие между данными и настройками режима защиты данных. При включении настройки для области данных выполняется установка использования регистрации событий для таблиц БД, принадлежащих этой области. Таблица значений преобразована в формат XML и в таком виде поставляется в составе конфигурации в макете двоичных данных СведенияОПерсональныхДанных.

Важно отметить, что с помощью появившейся в платформе возможности можно решать далеко не только эту, но и другие задачи контроля доступа к данным.

Обработка персональных данных в "зарплатных" конфигурациях "1С:Предприятия 8"

Что мы предлагаем пользователям для "защиты"?

с одной стороны, требуется обеспечить соответствие требованиям закону - защитить все области персональных данных;
с другой стороны, необходимо минимизировать потери производительности.

выделения областей персональных данных;
управления "детальностью" регистрации событий.

Что сделано в "зарплатных" конфигурациях?

Итак, данные, подпадающие под определение "персональные", разбиваются на четыре области:

личные сведения;
сведения об образовании и компетенциях;
сведения об имуществе;
сведения о доходах.

Рис. 1. Форма настройки режима защиты персональных данных.

Рис. 2. Форма Управление персональными данными.

Как это работает?

таблица РегистрРасчета.ОсновныеНачисленияРаботниковОрганизаций,
поля доступа: Показатель1, Показатель2, Показатель3, Показатель4, Показатель5, Показатель6, Результат;
поля регистрации: Сотрудник, Физлицо.

Бухгалтеры и специалисты по кадровому учету уже давно привыкли, что при приеме на работу нового сотрудника у него нужно брать Согласие на обработку персональных данных. А если сотрудник отказывается подписывать его? Какие штрафы ждут организацию за отсутствие этого документа? Да и как показывает судебная практика по таким вопросам, не все так просто, как кажется на первый взгляд. В этой статье мы подробно разберем все нюансы и расскажем о нововведениях в работе с личными данными в 1С: Бухгалтерии предприятия ред. 3.0.

В рамках трудовых отношений компании — работодателю необходимо обладать личными данными физ. лица для корректного оформления кадровых документов и выполнения работником своих трудовых функций.

Персональные данные (по тексту далее ПДн) — это информация, которую можно отнести к конкретному физ. лицу (Закон от 27.07.2006 № 152-ФЗ). Как правило, такими данными является Ф.И.О., сведения о предыдущих местах работы, паспортные данные, и прочие.

Стоит заметить, что работодатель вправе запрашивать только те сведения, которые нужны для выполнения должностных обязанностей. Это значит, что информацию, касающуюся национальной принадлежности, политических взглядов, вероисповедания и другие подобные сведения работодатель запрашивать не имеет права.

Форма согласия

Форма документа не регламентирована, а значит может составляться по шаблону, разработанному фирмой самостоятельно. Но следует помнить, что статья 9 ФЗ от 27.07.2006 № 152-ФЗ содержит перечень обязательных требований.

Новые правила с 2021 года

1 марта произошли изменения в ФЗ от 27.07.2006 № 152-ФЗ, которые внес ФЗ от 30.12.2020 № 519-ФЗ.

Рассмотрим основные нововведения.

1. Появился документ «Согласие на распространение ПДн сотрудника».

Теперь, получив от сотрудника согласие на обработку ПДн, компания не может их распространять. Для этих целей необходимо получить от физ. лица отдельный документ, который позволяет оператору распространять данные, например, размещать их на сайте компании, на доске почета, передавать банку и другое. В этом документе важно предоставить сотруднику возможность указать какую именно информацию он разрешает распространять работодателю.

2. Молчание субъекта ПДн не может быть расценено, как согласие на распространение ПДн. Это актуально и для бездействия сотрудника (п. 8 ст. 10.1 Закона № 152-ФЗ).

3. Любые ПДн о физ. лице можно публиковать только при наличии его письменного согласия, даже если лицо самостоятельно их разместило в общедоступном месте (интернет или социальные сети). Раньше такие личные данные можно было распространять без получения согласия от их владельца (п. 2 ст. 10.1 Закона № 152-ФЗ).

Отказ от согласия

В случае, если сотрудник не дал согласия на распространение ПДн, но при этом дал согласие на обработку, то работодатель не в праве передавать информацию третьим лицам (п. 4 ст. 10.1 Закона № 152-ФЗ).

Правило не распространяется на передачу ПДн гос. органам (ИФНС, ФСС, ПФР, полиции и другим).

Стоит отметить, что сотрудник и вовсе может отказаться от дачи согласия на обработку ПДн. Но это не значит, что работодатель не вправе обрабатывать такие данные. Это возможно в случаях, указанных в ч. 2 ст. 9 Закона № 152-ФЗ. Одним из которых является выполнение возложенных законом обязанностей на компанию.

Как работодателю получить согласие?

Получить согласие на распространение ПДн можно двумя способами:

1. Непосредственно у физ. лица, то есть с личной подписью на бумаге;

2. Через информационную систему Роскомнадзора. Любое физ. лицо может подключиться к системе для того, чтобы указать какие ПДн и кому он разрешает распространять.

Оператор, в свою очередь, также имеет возможность подключиться к данной системе и не получать от конкретного физического лица письменное согласие, а использовать информацию, содержащуюся в системе Роскомнадзора. Это возможность станет доступной с 1 июля 2021 года.

Форма документа

Требования к содержанию согласия на распространение персональных данных утверждены Приказом Роскомнадзора от 24.02.2021 N 18. Стоит заметить, что не нужно уведомлять Роскомнадзор о своем намерении распространять персональные данные, имея на это разрешение субъекта.

Можно ли получить одно согласие от работника, прописав в нем все возможные цели обработки/распространения?

Зачастую документ «Согласие» содержит в себе не одну цель обработки и не одно третье лицо, которому распространяется информация, а сразу несколько, что по мнению Роскомнадзора противоречит действующему законодательству.

Согласно позиции ведомства, на каждую цель и на каждое третье лицо, которому разглашается информация о физическом лице, должно быть свое согласие. Это следует из ч. 4 ст. 9, ч. 5 ст. 18 Закона от 27.07.2006 № 152-ФЗ.

В этих статьях «цель обработки» и третье лицо указаны в единственном числе, следовательно, совмещать несколько целей и несколько третьих лиц в одном документе неправомерно.

Данное правило применимо ко всем случаям, когда необходимо получить письменное согласие работника.

Судебная практика на данный момент не на стороне работодателя (Постановление от 15 января 2018 г. по делу № А40-81171/2017). В связи с этим компаниям придется оформлять большое количество согласий от работников, чтоб соблюсти нормы законодательства.

Отзыв согласия

Работник организации в любой момент имеет право отозвать свое согласие на обработку и распространение персональных данных.

Для этого ему достаточно будет подтвердить свое решение письменным требованием в произвольной форме.

В документе следует указать:

ФИО заявителя;
контакты заявителя;
ПДн, обработку и распространение которых необходимо прекратить.

Работодатель должен прекратить пользоваться информацией в течение трех рабочих дней. Иначе сотрудник имеет право обратиться в суд (п. 14 ст. 10.1 Закона № 152-ФЗ).

Не стоит забывать, что есть ПДн, на обработку которых согласие сотрудника не требуется, например, те, что нужны для исполнение трудового договора. Все остальные данные компании-работодателю стоит уничтожить.

Штрафы

Компаниям и ИП однозначно стоит уделить внимание новшествам, описанным выше, так как штрафные санкции увеличились вдвое.

Начиная с 27 марта 2021 г. за работу с ПДн сотрудников без их письменного согласия ИП ждет штраф от 20 000 до 40 000 руб., организации, при аналогичном нарушении должны будут уплатить от 30 000 до 150 000 руб.

Если же ИП нарушит законодательство повторно, то штраф будет составлять от 100 000 до 300 000 руб., а для компаний — от 300 000 до 500 000 руб. (ч. 2 ст. 13.11 КоАП). Наказание за такое правонарушение может последовать в течение года (ст. 4.5 КоАП РФ).

Подведем итог: правила обработки личных данных касаются абсолютно всех физических и юридических лиц.

В этой связи, работодателям целесообразно брать с сотрудников:

1. согласия на обработку персональных данных;

2. согласия на распространение персональных данных.

Документы составляются в соответствии с требованиями действующего законодательства.

Игнорирование правил обработки и распространения данных может привести к серьезным финансовым потерям.

Учет персональных данных в 1С: Бухгалтерии предприятия ред. 3.0

В программах 1С новый документ «Согласие на распространение персональных данных» на данный момент не реализован. Но и о наличии согласия на обработку персональных данных знают далеко не все бухгалтеры.

Первое, что необходимо знать — это то, что все данные хранятся в карточках физ. лиц. При приеме на работу личные данные субъекта в справочнике «Физические лица» заполняются автоматически на основании справочника «Сотрудники».

Не заметить кнопку, выводящую на печать нужный нам документ сложно, ведь она располагается прямо на панели инструментов

Рассмотрим подробнее алгоритм заполнения Согласия на обработку ПНд.

Основные сведения о физ. лице и о компании заполняются автоматически.

Следует проверить отраженные программой информации и заполнить следующие строки:

1. Ответственный за обработку — выбираем работника организации, на которого возложена ответственность за обработку данных;

2. ФИО ответственного лица для печати.

Самая частая ошибка в этом документе — это дата получения согласия.

Зачастую документ печатают позже необходимой даты и уделяют внимание лишь полю «дата», меняя значение на корректное, но забывают сменить дату в поле «согласие получено».

В итоге показатели в этих полях существенно различаются и могут не соответствовать действительности.

Поле «Срок действия» заполняется только в том случае, если согласие предоставлено на определенные период времени, иначе конечную дату устанавливать не нужно, согласие будет бессрочным.

Распечатать документ можно в формате Word или в табличном формате 1С.

При получении от сотрудника письменного заявления на отзыв согласия на обработку ПДн, есть возможность сформировать одноименный документ из «Согласие на обработку ПДн».

Нужная для этого кнопка располагается на панели инструментов.

В отзыве снова заполняем ответственное лицо и его ФИО.

Особое внимание стоит уделить полям «Дата» и «Согласие отзывается». Они должны соответствовать дате заявления работника. Документ оповещает нас о том, что ранее у субъекта было получено Согласие.

В нашем примере оно было бессрочным. Данный документ не имеет печатной формы, но в 1С сведения регистрируются.

Все полученные и отозванные физическими лицами согласия можно найти в отчетах по кадрам.

Здесь интересны сразу два отчета, выделенные на скриншоте ниже. Они позволяют отследить действующие согласия и согласия, по которым истекает срок действия.

Также возможно увидеть отзывы согласий сотрудников.

Сформируем отчет по действующим согласиям.

У Васильева К.М. дата получения согласия и дата документа основания совпадают, чего нельзя сказать о Березовском А.

Двойным щелчком мыши по документу основанию можно открыть Согласие на обработку ПДн.

Обратим внимание, что в документе установлена дата, до которой будет действовать согласие, т.е. данное согласие не бессрочно.

Теперь сформируем отчет «Согласие на обработку ПДн, срок действия которых истекает».

По этому отчету легко проследить сроки действия согласий. Если данное поле пустое, значит согласие действует бессрочно. Также с помощью этого отчета можно увидеть отзывы согласий.

В соответствии с ФЗ от 27.07.2006 No 152-ФЗ работодатели обязаны сохранять конфиденциальность персональных данных, полученных от физических лиц.

В 1С можно отследить информацию по работе пользователей с данными.

Для этого необходимо произвести следующие настрой программы. Переходим в «Администрирование» — «Настройки пользователей и прав».

Раскрываем группу «Защита персональных данных».

Сначала зайдем в «Настройки регистрации событий доступа к персональным данным».

По умолчанию здесь не проставлены галочки, но для того, чтобы программа регистрировала события доступа к ПДн, необходимо проставить галочки вручную.

Список данных предопределен. Пользователю надо выбрать ту информацию, по которой предполагается отслеживание изменений.

После того, как в программе будут установлены необходимые галочки, станет доступен журнал «Защита персональных данных».

Данный журнал позволяет отследить действия сотрудников в программе.

Таким образом программа 1С позволяет регистрировать события доступа к персональным данным физических лиц.

Согласно Федеральному закону от 27.07.2006 N 152-ФЗ «О персональных данных» (ст. 9) оператор, осуществляющий обработку персональных данных, должен получить согласие на их обработку от субъекта. В отсутствии согласия или окончания его срока действия, персональные данные должны быть обезличены (скрыты).

Для выполнения автоматического скрытия персональных данных субъектов в разделе Администрирование – Настройка пользователей и прав – Защита персональных данных размещен флажок Скрывать персональные данные :

Для того чтобы скрыть персональные данные субъекта интерактивно, не дожидаясь выполнения регламентного задания, для субъекта персональных данных добавлена команда Скрыть ПДн .

По информации от разработчиков 1С, на данный момент по ряду причин доступность флажка Скрывать персональные данные отключена намеренно.

Планируется, что эта функция станет активна в ЗУП 3.1.8.

Помогла статья?

Получите еще секретный бонус и полный доступ к справочной системе БухЭксперт8 на 14 дней бесплатно

Карточка публикации

Данную публикацию можно обсудить в комментариях ниже.
Обратите внимание! В комментариях наши кураторы не отвечают на вопросы по программам 1С и законодательству.
Задать вопрос нашим специалистам можно по ссылке >>

Добавить комментарий Отменить ответ

Для отправки комментария вам необходимо авторизоваться.

Вы можете задать еще вопросов

Доступ к форме "Задать вопрос" возможен только при оформлении полной подписки на БухЭксперт8

Вы можете оформить заявку от имени Юр. или Физ. лица Оформить заявку

Нажимая кнопку "Задать вопрос", я соглашаюсь с
регламентом БухЭксперт8.ру >>

В пятницу о приятном: в ЗУП 3.1.18 появились новые возможности быстрой донастройки отчетов.

Изменения в 2021 году, о которых нужно знать бухгалтеру

С 9 ноября — новые коды доходов и вычетов по НДФЛ

Новая форма 6-НДФЛ с 2022 года в 1С 8.3 ЗУП 3

Спасибо за семинар по УСН! К сожалению пришлось отвлекаться по работе, но обязательно посмотрю его в записи. Прекрасная подача материала и абсолютная компетентность в рассматриваемом вопросе не могут не радовать.

Данный материал будет посвящен тому, каким образом можно организовать защиту персональных данных в 1С. Иногда могут возникать различные ситуации, когда информационную базу требуется выслать разработчикам или программисту, ее обслуживающему.

Ознакомьтесь с видео-версией данной статьи:

Данные информационной базы содержат кадровую информацию и относится к разряду конфиденциальной. Более подробно по этому вопросу можно ознакомиться в ФЗ №152 от 27.07.2006 “О персональных данных”.

И перед тем, как осуществить передачу базы третьим лицам, необходимо обезличить соответствующие кадровые данные. Выполнять все действия будем в конфигурации Зарплата и Управление Персоналом 3.1.

Для того, чтобы автоматически скрыть персональные данные существует специализированная обработка, которая также имеется и в других конфигурациях, к примеру, Бухгалтерия 3. Из основного меню, выбрав пункт “Все функции”

Находим в списке объектов обработку “Скрытие конфиденциальной информации” и запускаем ее.

Обработка будет иметь следующий вид

На закладке “Обрабатываемые объекты” серыми будут отмечены выбранные объекты. На соседней закладке “Правила обработки” будут определяться правила, по которым будут происходить замены. В нашем примере оставляем по умолчанию предложенные программой.

Также в программе имеется возможность регистрировать события доступа к персональным данным и просматривать обращение к таким данным. Для этого переходим в раздел “Администрирование” и выбираем пункт “Настройка пользователей и прав”. В открывшейся форме с настройками нас будет интересовать подраздел “Защита персональных данных”.

Далее переходим по гиперссылке “Настройки регистрации событий доступа к персональным данным” и отмечаем галочками какие события будет фиксировать. Также устанавливаем галочку напротив пункта “Обработка ПДн”.

С точки зрения Правильно организованный доступ по работе с кадровой информацией является обязательным условием реализации кадровой политики компании, которая должна поддерживаться при помощи механизмов информационной системы. Основным механизмом для этого является гибкая настройка прав доступа для пользователей информационной базы.

Читайте также:

1с удалить персональные данные

Что мы предлагаем пользователям для "защиты"?

Что сделано в "зарплатных" конфигурациях?

Как это работает?

Обработка персональных данных в "зарплатных" конфигурациях "1С:Предприятия 8"

Что мы предлагаем пользователям для "защиты"?

Что сделано в "зарплатных" конфигурациях?

Как это работает?

Форма согласия

Новые правила с 2021 года

Отказ от согласия

Как работодателю получить согласие?

Форма документа

Отзыв согласия

Штрафы

Учет персональных данных в 1С: Бухгалтерии предприятия ред. 3.0

Похожие публикации

Карточка публикации

Добавить комментарий Отменить ответ

Вы можете задать еще вопросов