Напомним: передача компанией чьим-то данным делает её по закону оператором персональных данных. Рассмотрим, как организациям обрабатывать персональные данные плательщиков налога на профессиональный доход, чтобы избежать штрафов.
По закону, операторами персональных данных считаются все компании и самозанятые граждане, занимающиеся обработкой личных сведений физических лиц.
Любая информация, позволяющая установить личность конкретного человека, называется персональными данными.
- Ф. И. О.;
- СНИЛС;
- номер телефона;
- адрес прописки и места жительства;
- место рождения.
Информация, по которой сторонний получатель может установить личность человека, также может относиться к персональным данным. Например, если организация регистрирует пользователя по имени и фамилии или номеру телефона в своей информационной системе, то логин или ник этого пользователя считаются его персональными данными.
Если организация или ИП обращается за информацией к самозанятому, такой бизнес становится оператором персональных данных.
В итоге можно утверждать, что каждое предприятие или индивидуальный предприниматель является оператором персональных данных.
- для своих штатных работников;
- Своими подрядчиками, являющимися самозанятыми или физическими лицами без особого налогового режима.
- Предприятия просят от клиентов персональные данные.
Чтобы не считаться оператором персональных данных, индивидуальный предприниматель должен работать в одиночку и ничего не знать о клиентах. Такая ситуация встречается редко. Когда организация или предприниматель сотрудничает с плательщиком НПД, бизнес становится оператором его, самозанятого, персональных данных.
Что сделать, чтобы не было нарушений?
Чтобы избежать нарушений при обработке личных данных самозанятых, необходимо составить внутренние правила и зарегистрироваться в Роскомнадзоре. Далее расскажем, как осуществить эти действия.
Шаг № 1. При обработке персональных данных компания или ИП обязаны разработать и утвердить локальные нормативные акты.
- политика о работе с персональными данными;
- политика конфиденциальности;
- Распоряжение о выборе лиц, ответственных за работу с персональными данными;
- Документ о модели угроз безопасности и другие бумаги.
Отсутствия внутренних локальных документов по персональным данным не влечет ответственности, однако компанию или предпринимателя могут оштрафовать за нарушения в этой области. При первом нарушении максимальный штраф составляет до шести миллионов рублей, при повторном – до 18 миллионов рублей.
Шаг № 2. Укажите месторасположение, способ хранения и защиты персональных данных. Хранение допустимо на бумажном носителе или в электронном виде на внутреннем сервере. Способ сохранения данных необходимо обозначить в внутренних инструкциях.
Шаг № 3. Сообщите об осуществлении деятельности оператором персональных данных в Роскомнадзор. Для этого подайте уведомление ведомству, как на бумажном носителе, так и через сайт Роскомнадзора. Обращение необходимо подать единожды.
В течение тридцати дней ведомство направит по адресу компании или индивидуального предпринимателя уведомление о регистрации в реестре операторов персональных данных.
Игорь Знак, соинициатор платформы Qugo, предназначенной для самозанятых, поделился своим мнением для журнала «Практическая бухгалтерия».