Самозанятые: что надо учесть компании при обработке персданных?

Итак, кто такие операторы персональных данных? По законодательству ими являются все организации и индивидуальные предприниматели, которые обрабатывают личные сведения физлиц.

К персональным данным относится любая информация, по которой можно идентифицировать конкретного человека. Обычно это:

• Ф. И. О.;
• СНИЛС;
• номер телефона;
• адрес прописки и места жительства;
• место рождения.

При этом под определение персональных данных может подпасть и другая информация, по которой у стороннего получателя таких сведений получится идентифицировать личность человека. Например, если предприятие регистрирует пользователя по его имени и фамилии или, например, номеру телефона в своей информационной системе, то логин или ник этого пользователя уже будут считаться его персональными данными.

Когда организация или индивидуальный предприниматель запрашивает сведения исполнителя (мы сейчас говорим уже о самозанятых), такой бизнес уже считается оператором персональных данных.

Подведем итог: любое предприятие или ИП будет оператором персданных:

• для своих штатных работников;
• своих подрядчиков, если они самозанятые или физлица без специального налогового статуса;
• своих клиентов, у которых бизнес запрашивает личные сведения.

То есть, чтобы не быть оператором персональных данных, нужно быть ИП, работающим в одиночку, который вообще ничего не знает о своих клиентах. Что, согласитесь, довольно редкий случай. Таким образом, когда организация или предприниматель работает с плательщиком НПД, то данный бизнес становится оператором его, самозанятого, персданных.

Что сделать, чтобы не было нарушений?

Чтобы нарушений при работе с личными сведениями самозанятых не было, нужно разработать внутренние документы и зарегистрироваться в Роскомнадзоре. Рассказываем, как это сделать.

Шаг № 1. Создайте и утвердите локальные нормативные акты. При работе с персональными данными у компании или ИП должны быть составлены и утверждены:

• политика о работе с персональными данными;
• политика конфиденциальности;
• приказ о назначении ответственных за обработку персональных данных;
• модель угроз безопасности и другие документы.

Ответственности за отсутствие внутренних локальных документов по персональным данным нет. Но компанию или предпринимателя могут оштрафовать за нарушения в области персональных данных. Максимальный штраф при первом нарушении – до шести миллионов рублей, при повторном – до 18 миллионов рублей.

Шаг № 2. Определите место, а также способ хранения и защиты персональных данных. Документы могут храниться на бумаге или в электронном виде на внутреннем сервере. Способ хранения персданных должен быть указан во внутренних документах.

Шаг № 3. Уведомите Роскомнадзор. Подайте в ведомство уведомление о начале деятельности оператора персональных данных. Это можно сделать на бумаге или в электронном виде на сайте Роскомнадзора. Заявление нужно направить только один раз.

В течение 30 дней ведомство отправит на адрес компании или ИП уведомление о внесении в реестр операторов персональных данных.

Игорь Знак, сооснователь платформы для работы с самозанятыми Qugo для журнала «Практическая бухгалтерия»

Источник материала

Tweet

Подпишись на рассылку