Самозанятые: что надо учесть компании при обработке персданных?

Автор: | 13.11.2024
Самозанятые: что надо учесть компании при обработке персданных?

Давайте вспомним, что если компания передает кому-либо данные конкретного человека, то по закону она считается оператором персональных данных. Далее расскажем, что организациям делать с персданными плательщиков налога на профессиональный доход, чтобы не получить штраф.

Итак, кто такие операторы персональных данных? По законодательству ими являются все организации и индивидуальные предприниматели, которые обрабатывают личные сведения физлиц.

К персональным данным относится любая информация, по которой можно идентифицировать конкретного человека. Обычно это:

  • Ф. И. О.;
  • ИНН;
  • СНИЛС;
  • номер телефона;
  • адрес прописки и места жительства;
  • место рождения.

При этом под определение персональных данных может подпасть и другая информация, по которой у стороннего получателя таких сведений получится идентифицировать личность человека. Например, если предприятие регистрирует пользователя по его имени и фамилии или, например, номеру телефона в своей информационной системе, то логин или ник этого пользователя уже будут считаться его персональными данными.

Когда организация или индивидуальный предприниматель запрашивает сведения исполнителя (мы сейчас говорим уже о самозанятых), такой бизнес уже считается оператором персональных данных.

Подведем итог: любое предприятие или ИП будет оператором персданных:

  • для своих штатных работников;
  • своих подрядчиков, если они самозанятые или физлица без специального налогового статуса;
  • своих клиентов, у которых бизнес запрашивает личные сведения.

То есть, чтобы не быть оператором персональных данных, нужно быть ИП, работающим в одиночку, который вообще ничего не знает о своих клиентах. Что, согласитесь, довольно редкий случай. Таким образом, когда организация или предприниматель работает с плательщиком НПД, то данный бизнес становится оператором его, самозанятого, персданных.

Что сделать, чтобы не было нарушений?

Чтобы нарушений при работе с личными сведениями самозанятых не было, нужно разработать внутренние документы и зарегистрироваться в Роскомнадзоре. Рассказываем, как это сделать.

Шаг № 1. Создайте и утвердите локальные нормативные акты. При работе с персональными данными у компании или ИП должны быть составлены и утверждены:

  • политика о работе с персональными данными;
  • политика конфиденциальности;
  • приказ о назначении ответственных за обработку персональных данных;
  • модель угроз безопасности и другие документы.

Ответственности за отсутствие внутренних локальных документов по персональным данным нет. Но компанию или предпринимателя могут оштрафовать за нарушения в области персональных данных. Максимальный штраф при первом нарушении – до шести миллионов рублей, при повторном – до 18 миллионов рублей.

Шаг № 2. Определите место, а также способ хранения и защиты персональных данных. Документы могут храниться на бумаге или в электронном виде на внутреннем сервере. Способ хранения персданных должен быть указан во внутренних документах.

Если документы хранятся на бумаге, обеспечьте отдельное помещение с пожарной сигнализацией и персональным доступом или сейф. При условии, что документы хранятся в электронном виде, размещайте информацию на внутреннем сервере, к которому настроен доступ только некоторым сотрудникам, у которых есть соответствующее разрешение, с использованием программного обеспечения по защите от кибератак.

Шаг № 3. Уведомите Роскомнадзор. Подайте в ведомство уведомление о начале деятельности оператора персональных данных. Это можно сделать на бумаге или в электронном виде на сайте Роскомнадзора. Заявление нужно направить только один раз.

В течение 30 дней ведомство отправит на адрес компании или ИП уведомление о внесении в реестр операторов персональных данных.

Игорь Знак, сооснователь платформы для работы с самозанятыми Qugo для журнала «Практическая бухгалтерия»


Источник