Если компания предоставляет сведения о человеке, то согласно законодательству выступает оператором персональных данных. Далее рассмотрим, как организациям обрабатывать персональные данные плательщиков налога на профессиональный доход, чтобы избежать штрафов.
Операторами персональных данных по закону считаются организации и индивидуальные предприниматели, обрабатывающие сведения о физических лицах.
К персональным данным относится всякая информация, позволяющая установить личность конкретного человека.
- Ф. И. О.;
- СНИЛС;
- номер телефона;
- адрес прописки и места жительства;
- место рождения.
Под определение персональных данных может попадать информация, позволяющая стороннему лицу определить личность человека. Например, если предприятие регистрирует пользователя по имени и фамилии или номеру телефона в своей информационной системе, то логин или ник этого пользователя уже считаются его персональными данными.
Когда организация или предприниматель просит информацию у самозанятого, этот бизнес становится оператором персональных данных.
В итоге, любой бизнес или индивидуальный предприниматель станет оператором персональных данных.
- для своих штатных работников;
- Своих субподрядчиков, являющихся самозанятыми или физическими лицами без специального налогового режима.
- Предприниматели просят у своих клиентов персональную информацию.
Чтобы не считаться оператором персональных данных, индивидуальный предприниматель должен работать в одиночку и ничего не знать о своих клиентах – редкий случай. Организация или предприниматель, работающий с плательщиком НПД, становится оператором его, самозанятого, персональных данных.
Что сделать, чтобы не было нарушений?
Для предотвращения нарушений при обработке личных данных самозанятых необходимо составить внутренние правила и пройти регистрацию в Роскомнадзоре.
Шаг № 1.Разработайте и утвердите внутренние нормативные документы.
- политика о работе с персональными данными;
- политика конфиденциальности;
- Распоряжение об определении лиц, отвечающих за обработку персональных сведений.
- Модель рисков для безопасности и прочие документы.
За отсутствие внутренних локальных документов по персональным данным ответственности нет. Компания или предприниматель могут быть оштрафованы за нарушения в области персональных данных. Максимальный штраф при первом нарушении – до шести миллионов рублей, при повторном – до восемнадцати миллионов рублей.
Шаг № 2.Укажите местонахождение, способ сохранения и защиты персональных данных. Хранение может осуществляться на бумажных носителях или в электронной форме на сервере компании. Описание способа хранения должно быть отражено в внутренних документах.
Шаг № 3.Предоставьте Роскомнадзору уведомление о начале работы как оператора персональных данных. Уведомление можно подать по бумажной форме или онлайн на сайте ведомства.
За 30 дней организация направит уведомление по адресу компании или индивидуальному предпринимателю об учете в реестре операторов персональных данных.
Игорь Знак, соучредитель платформы для самозанятых Qugo, ответил в журнале «Практическая бухгалтерия».