Давайте вспомним, что если компания передает кому-либо данные конкретного человека, то по закону она считается оператором персональных данных. Далее расскажем, что организациям делать с персданными плательщиков налога на профессиональный доход, чтобы не получить штраф.
Итак, кто такие операторы персональных данных? По законодательству ими являются все организации и индивидуальные предприниматели, которые обрабатывают личные сведения физлиц.
К персональным данным относится любая информация, по которой можно идентифицировать конкретного человека. Обычно это:
- Ф. И. О.;
- ИНН;
- СНИЛС;
- номер телефона;
- адрес прописки и места жительства;
- место рождения.
При этом под определение персональных данных может подпасть и другая информация, по которой у стороннего получателя таких сведений получится идентифицировать личность человека. Например, если предприятие регистрирует пользователя по его имени и фамилии или, например, номеру телефона в своей информационной системе, то логин или ник этого пользователя уже будут считаться его персональными данными.
Когда организация или индивидуальный предприниматель запрашивает сведения исполнителя (мы сейчас говорим уже о самозанятых), такой бизнес уже считается оператором персональных данных.
Подведем итог: любое предприятие или ИП будет оператором персданных:
- для своих штатных работников;
- своих подрядчиков, если они самозанятые или физлица без специального налогового статуса;
- своих клиентов, у которых бизнес запрашивает личные сведения.
То есть, чтобы не быть оператором персональных данных, нужно быть ИП, работающим в одиночку, который вообще ничего не знает о своих клиентах. Что, согласитесь, довольно редкий случай. Таким образом, когда организация или предприниматель работает с плательщиком НПД, то данный бизнес становится оператором его, самозанятого, персданных.
Что сделать, чтобы не было нарушений?
Чтобы нарушений при работе с личными сведениями самозанятых не было, нужно разработать внутренние документы и зарегистрироваться в Роскомнадзоре. Рассказываем, как это сделать.
Шаг № 1. Создайте и утвердите локальные нормативные акты. При работе с персональными данными у компании или ИП должны быть составлены и утверждены:
- политика о работе с персональными данными;
- политика конфиденциальности;
- приказ о назначении ответственных за обработку персональных данных;
- модель угроз безопасности и другие документы.
Ответственности за отсутствие внутренних локальных документов по персональным данным нет. Но компанию или предпринимателя могут оштрафовать за нарушения в области персональных данных. Максимальный штраф при первом нарушении – до шести миллионов рублей, при повторном – до 18 миллионов рублей.
Шаг № 2. Определите место, а также способ хранения и защиты персональных данных. Документы могут храниться на бумаге или в электронном виде на внутреннем сервере. Способ хранения персданных должен быть указан во внутренних документах.
Если документы хранятся на бумаге, обеспечьте отдельное помещение с пожарной сигнализацией и персональным доступом или сейф. При условии, что документы хранятся в электронном виде, размещайте информацию на внутреннем сервере, к которому настроен доступ только некоторым сотрудникам, у которых есть соответствующее разрешение, с использованием программного обеспечения по защите от кибератак.
Шаг № 3. Уведомите Роскомнадзор. Подайте в ведомство уведомление о начале деятельности оператора персональных данных. Это можно сделать на бумаге или в электронном виде на сайте Роскомнадзора. Заявление нужно направить только один раз.
В течение 30 дней ведомство отправит на адрес компании или ИП уведомление о внесении в реестр операторов персональных данных.
Игорь Знак, сооснователь платформы для работы с самозанятыми Qugo для журнала «Практическая бухгалтерия»