Самозанятый оператор персональных данных

Опубликовано: 13.09.2024

Закон о самозанятых: что нужно знать в 2020 году

27 ноября 2018 года президент подписал пакет законов, определяющих принципы налогообложения для самозанятых граждан. Что скрывается за не совсем понятным названием, зачем вообще нужен закон о самозанятых, чем самозанятый отличается от индивидуального предпринимателя и как ИП может облегчить себе жизнь и налоговую нагрузку? Давайте разбираться вместе.

Кто такие самозанятые?

Цель закона о самозанятых — легализация деятельности тех, кто работал «сам на себя» и учет их профессиональных доходов. Закон о самозанятых прежде всего был принят для того чтобы вывести их из тени. А на момент принятия решения от необходимости такого закона (на конец 2018 года) таких граждан в России насчитывалось около 16 миллионов человек.

Кто может стать самозанятым? В принципе, любой желающей, если он самостоятельно оказывает трудовые услуги,и соблюдает определенные условия, о которых речь пойдет чуть дальше.

Кому подойдет такой вариант работы? Соседу по даче, который за определенную сумму помогает кому-либо ухаживать за огородом, собирать урожай. Работающим без договоров репетиторам и няням, мастерам по вызову, изготовителям и реализаторам собственной продукции (например, кондитер на дому) и так далее. Список профессий для самозанятых гораздо обширнее представленных здесь кратких примеров.

Зачем нужно легализовать бизнес и выходить «из тени»?

Кроме очевидной необходимости не нарушать закон, можно привести еще несколько причин для того, чтобы стать самозанятым:

  • Вы не будете тратить деньги на штрафы и пени.
  • Не будете терять время и средства на судебные разбирательства.
  • Будете спокойно и уверенно работать бизнес — легальный бизнес не закроют и не приостановят, а значит риск потери дохода будет минимален.
  • Вы сможете официально подтверждать свои доходы от ведения бизнеса (например, для того чтобы получить кредит).

В отличие от индивидуальных предпринимателей, самозанятым не надо предоставлять налоговые документы в ФНС. Учет прибыли, документация и отправка данных в ФНС будет осуществляться в специальном приложении «Мой налог».

С 1 января 2019 года законопроект был запущен в режиме эксперимента только в четырех регионах: Москве, Московской и Калужской областях и республике Татарстан. Постепенно к проекту присоединились и другие регионы России, и на 1 августа 2020 года в нем уже участвуют 77 регионов. С 1 июля к этому спецрежиму могут присоединяться любые регионы — решение о присоединении принимается на местном уровне. Полный актуальный список регионов можно посмотреть на сайте ФНС.

Согласно закону, сегодня вы можете зарегистрироваться как самозанятый, если.

Зарегистрироваться как самозанятый и воспользоваться специальным режимом налогообложения вы можете, если для вашей деятельности выполняются следующие 4 условия:

  1. Вы работаете или оказываете услуги самостоятельно.
  2. На вас не работают сотрудники, нанятые по трудовому договору.
  3. Вы работаете (не зарегистрированы, а именно работаете!) в регионах, где уже введен экспериментальный режим. Если вы работаете или оказываете услуги посредством сети интернет, удаленно, и охватываете несколько регионов, вы можете выбрать только один регион присутствия, и указать его при регистрации.
  4. Ваш вид деятельности не относится к запрещенным в Законе от 27.11.2018 N 422-ФЗ Статья 4.
  5. Ваш доход составляет не более 2.4 млн рублей в год, то есть в среднем не более 200 тысяч в месяц. При этом налог на профессиональный доход не может быть совмещен с другими системами налогообложения, что важно для ИП, имеющих право переходить на упрощенные системы.

При этом, вы можете перейти на специальный налоговый режим «Налог на профессиональный доход» (НПД) находясь как в статусе физического лица, так и в статусе индивидуального предпринимателя (ИП).

Кто не может быть самозанятым

Зарегистрироваться в качестве самозанятого и использовать налоговый спецрежим у вас не получится, если ваша деятельность входит в список видов деятельности, отраженных в статье 4 закона N 422-ФЗ от 27.11.2018 г..

Воспользоваться специальным режимом налогообложения не получится, если ваша деятельность относится:

  • К реализации подакцизных и маркируемых товаров;
  • Перепродаже товаров и прав на них, за исключением тех, которые использовались в личных целях;
  • Добыче и реализация газа, нефти, угля, торфа и прочих полезных ископаемых;
  • Посредничеству;
  • Услугам доставки, когда прием платежа происходит в пользу иных лиц (кроме случаев, когда продавец выдает ККТ-чек);
  • Продаже транспортных средств, недвижимости;
  • Сдаче в аренду нежилых помещений;
  • К предоставлению услуг нотариуса, арбитра и прочая лицензируемая и регулируемая иными законами деятельность.

В этих случаях предпринимателю будет необходима регистрация ИП и использование налоговых режимов и налоговых ставок для индивидуальных предпринимателей.

Важно отметить, что если деятельность не отнесена к запрещенной для самозанятых, можно считать ее разрешенной и подать документы на регистрацию в качестве самозанятого в ФНС.

Налоги для самозанятых

Новый налоговый режим существует и работает уже больше года. Но даже спустя такой срок, у многих остаются вопросы: как рассчитываются налоги, нужно ли платить страховые взносы, где получать социальную помощь, и как, собственно, заплатить налоги для самозанятых.

  1. Ставка налогообложения самозанятых зависит от их заказчиков. Например, при работе с юрлицами это 6% от суммы заработка, а вот если услуга оказывалась физическому лицу, то всего 4%. Другие налоги с этого дохода не платятся, за исключением НДС при ввозе товара на территорию России.
  2. Страховой пенсионный взнос в данный налог не входит: самозанятые могут вообще ничего не отчислять в пенсионный фонд. В этом случае самозанятые могут рассчитывать только на социальную пенсию по достижению старости и на то количество пенсионных взносов, которые они внесли в фонд добровольно.
  3. Зато отдельных взносов в фонд обязательного медицинского страхования не требуется – он уже включен в налог, и медицинскую помощь самозанятый будет получать в полном объеме.
  4. Лицо, зарегистрированное как самозанятый гражданин, может параллельно работать по трудовому договору, однако во избежание массовых увольнений текущих сотрудников запрещено оказывать любые услуги бывшим работодателям или заказчикам по ГПХ в течение двух лет после увольнения.

Налоговый вычет для самозанятых

Зарегистрированным самозанятым полагается единовременный налоговый вычет: сумма вычета составляет 10 000 рублей. Естественно, получить эти средства на руки самозанятый не сможет. Этими средствами будут гаситься ежемесячно начисленные налоги. Какой процент налога будет погашен, приложение рассчитает автоматически. Получить такой налоговый вычет можно один раз в жизни.

Кроме того, из-за сложной ситуации с вирусной инфекцией, в 2020 году всем самозанятым будет предоставлен дополнительный «налоговый капитал» в размере одного МРОТ (12 130 рублей). Этот дополнительный налоговый бонус будет прибавлен к основному налоговому вычету в течение 2020 года, и будет автоматически применяться для полной уплаты налога на профессиональный доход, а также для уплаты задолженности и пени.

Где встать на учет и зарегистрироваться в качестве плательщика налогов?

Зарегистрироваться в качестве самозанятого можно несколькими способами:

Самым простым и удобным способом постановки на учет будет являться приложение «Мой налог». Для нормальной работы, учета доходов и ежемесячной уплаты налогов, в приложении необходимо зарегистрироваться.

Как это сделать?

Будьте осторожны, и скачивайте только официальное приложение ФНС. В некоторых сторонних магазинах приложений уже появились мошеннические копии, не являющиеся официальными!

После регистрации в приложении, вы сможете начать работу: фиксировать свои доходы, формировать чеки и отправлять их заказчикам. Приложение самостоятельно будет отправлять копии электронных чеков в ФНС, и на основании данных приложения, рассчитывать ежемесячную сумму налога без необходимости подавать декларацию и сдавать отчетность. Каждое 12-е число месяца вы будете получать уведомление, а уплату налога нужно будет произвести до 25 числа.

В приложении вы сможете самостоятельно формировать справки о доходах, если возникнет такая необходимость. Кроме этого, вам будут доступны и инструменты аналитики для анализа собственной коммерческой деятельности.

Те, кто переходит на спецрежим НПД в статусе ИП, нужно помнить об одной важной вещи: после завершения процедуры регистрации, предприниматель обязательно должен подать в налоговую инспекцию уведомление об отказе от применения спецрежима налогообложения, который ранее применялся к ИП (УСН, ЕСХН). Для каждого из этих спецрежимов нужно заполнить свою особую форму — получить ее можно отделении ФНС по месту жительства. Подать это уведомление нужно в течение первого месяца со дня регистрации в качестве самозанятого.

Тем ИП, кто раньше работал по ОСНО, подавать такое уведомление не нужно.

Нужна ли онлайн-касса для самозанятых в 2020 году

Этот вопрос мы подробно рассмотрели в статье Закон о самозанятых: кому нужны онлай-кассы".

Будут ли штрафовать самозанятых?

Закон о самозанятых очень лоялен к самозанятым, и дает очень широкие возможности избежать штрафов, связанных с осуществлением деятельности. Но всё таки случаются ситуации, в которых штрафовать самозанятых всё-таки придется.

Для того чтобы избежать штрафов, нужно четко помнить: чек должен быть оформлен и передан заказчику в момент расчета, неважно, платит ли клиент наличными деньгами или использует для расчетов банковскую карту. При расчетах в безналичной форме (например, перевод денег со счета заказчика на карту самозанятого) чек должен быть сформирован и отправлен заказчику в электронном виде не позднее 9 числа месяца, следующего за налоговым периодом, в котором произведены расчеты. Такой чек формируется в приложении «Мой Налог».

Что делать, если вы забыли внести сумму и выдать чек? В мобильном приложении «Мой налог» можно в любое время указать фактическую дату осуществления расчета, даже если такая дата уже прошла. Этот расчет будет автоматически включен в сумму налога в следующем налоговом периоде.

Нарушение налогоплательщиком установленных Федеральным законом самозанятых порядка или сроков передачи в ФНС данных о произведенном расчете, связанном с получением дохода от реализации товаров, работ или услуг наказывается штрафом в размере 20 % от суммы такого расчета. Если такое нарушение повторяется в течение шести месяцев, будет взысканы суммы штрафов в размере полной суммы такого расчета.

Нужно отметить, что из-за возможных сбоев в приложении «Мой Налог» никаких санкций не последует. Эта ситуация описана и закреплена в тексте закона. Если в мобильном приложении «Мой налог» вдруг произойдет массовый сбой, и из-за этого не получится передать чек или заплатить налог, то все можно сделать после того, как сбой устранят, например, на следующий день.

Самозанятый или ИП?

Как видите, спецрежим для самозанятых — очень интересный, и к тому же один из самых удобных льготных режимов для мелкого предпринимательства. Его однозначно стоит применять тем, кто только начинает работать сам на себя без открытия ИП — легализоваться, платить налоги и спать спокойно. Его стоит применять и тем, кто раньше зарегистрировался как ИП, но его деятельность вполне подходит под требования спецрежима НПД.

Как удобнее работать: оставаться в статусе физического лица или зарегистрироваться как ИП и использовать режим НПД?

Самозанятое физлицо может работать, принимать платежи наличными деньгами или в электронной форме (переводом на счет физлица или переводом с карты клиента на свою карту). Все эти транзакции отражаются в приложении «Мой налог», там же формируются электронные чеки для отправки клиентам. Принимать платежи картой физлицо не сможет, так как не имеет права открывать РКО в банках и подключать услугу эквайринга.

У ИП на НПД в этом отношении возможностей больше. Как юрлицо, он может открыть расчетно-кассовое обслуживание в банке, подключить услугу эквайринга и принимать платежи по карте на свой расчетный счет в банке. Кроме того, ИП может использовать онлайн-кассы для приема платежей и выдавать клиентам бумажный чек по запросу — это повышает лояльность клиентов.

Кроме того, нужно помнить, что со временем ваш небольшой бизнес обязательно вырастет, а значит, вам придется задумываться о найме работников, расширении сферы деятельности и о новых ее направлениях. Придется задуматься и об открытии полноценного ИП или другой формы юридического лица. И здесь перед вами встанет очень много задач и вопросов, которые придется обязательно решать: переход на другой налоговый режим, перерегистрация в ФНС, выбор банка, необходимость открывать РКО, ведение бухгалтерии и отчетности, выбор онлайн-кассы и дополнительного оборудования для работы.

Для неподготовленного человека (да что там греха таить — даже для подготовленного) все эти вопросы представляют определенные трудности, занимают много времени.

МТС Касса предлагает начинающему предпринимателю целый пакет услуг:

  • Помощь в выборе банка и тарифа РКО, услуги по открытию РКО без визита в банк, бухгалтерского, юридического, кадрового сопровождения
  • Бесплатная регистрация юр.лиц и ИП в налоговой
  • Современное кассовое оборудование (покупка онлайн-кассы, аренда, trade in, рассрочка)
  • Товароучетная система
  • Эквайринг
  • Интернет со специальным тарифом для мобильных онлайн-касс
  • Сервис, настройка под ключ и техподдержка 24/7
  • Бухгалтерский интернет-сервис
  • Услуга по переводу торговли в онлайн-формат и сервисы доставки через бизнес-партнеров под ключ
  • Инструменты аналитики бизнеса и контроля торговли со смартфона
  • Интеграции с ERP предприятия

Для каждого вида бизнеса мы найдем оптимальное решение.

26 ноября 2020 г. Роскомнадзор провел онлайн-трансляцию по вопросам персональных данных и фактически рассказал, как будет применять Закон 152-ФЗ в следующем году.

Важное обновление 23.12.2020: принят закон об изменении правил публикации персональных данных.

На семинаре прозвучали доклады:

Дмитрия Рудакова, заместителя начальника отдела ведения реестра операторов, осуществляющих обработку персональных данных. Он рассказал о реестре. Его презентация.

Второй спикер, Альфия Гафурова, заместитель начальника Управления по защите прав субъектов персональных данных Роскомнадзора, озвучила основные вопросы по жалобам граждан. Ее презентация содержит информацию о типовых нарушениях:

  • в банковской сфере;
  • в ЖКХ;
  • в интернете;
  • в связи;
  • в торговле.

Во время трансляции Юрий Контемиров, начальник Управления по защите прав субъектов персональных данных Роскомнадзора, ответил на самые актуальные вопросы. Здесь полная двухчасовая версия:

Получилось много информации, поэтому я отказался от стенографирования и написал как мне нравится: без потери смысла, сокращая фирменный стиль выступления чиновников.

Читайте и имейте в виду, что практика в регионах может отличаться. Некоторые тезисы выступления спорные, но они показывают, как Роскомнадзор будет применять законодательство о персональных в данных в 2021 году.

GDPR и российские компании

GDPR может применяться к российским компаниям в нескольких случаях:

  1. Российская компания имеет филиалы на территории Европы.
  2. Российская компания действует по поручению европейской компании и отвечает перед ней за обработку персональных данных.
  3. Российская компания работает не только на территории России, но и направлена на европейского потребителя. Например, интернет-магазин предлагает продажу товаров в Европу, при этом одновременно выполняются два условия:
  1. сайт доступен на языках стран ЕС;
  2. предусмотрены расчеты в евро.

Если одно из этих условий не выполняется, то требования GDPR на такой магазин не распространяются.

Будет ли приведено российское законодательство к требованиям GDPR

По словам Контемирова, это дискуссионный вопрос. Специалисты изучают практику применения европейского законодательства, но как это будет реализовано в России будет видно в ближайшем будущем.

Трудовые отношения

Как передавать персональные данные сотрудников в рамках групп компаний

Например, при ведении кадрового учета, разработках программ повышения квалификации иностранная компания присваивает логины и пароли для работы в единой информационной системе.

Поскольку каждая компания выступает как отдельный оператор, то необходимо получать письменное согласие работника на передачу его персональных данных от одной компании в другую (ч. 4 ст. 9 Закона “О персональных данных”).

Если в группу компаний входит иностранное юридическое лицо, то необходимо оформлять не только согласие, но и договор поручения на обработку персональных данных.

Нужно ли согласие работника для передачи его персональных данных в аутсорсинговые компании

Да, нужно. Более того, передача данных в другие фирмы для ведения кадрового учета или бухгалтерского предполагает делегирование части обязанностей оператора и это требует оформление договора поручения (ч. 3 ст. 6 Закона “О персональных данных”).

В таком согласии должна быть указана конкретно одна цель, для достижения которой передаются данные сотрудника.

Порядок уничтожения персональных данных

Терминатор оператор обработки ПД

Терминатор – оператор обработки персональных данных

Порядок уничтожения персональных данных работников и иных лиц должен быть закреплен локальных актах оператора. С актами должны быть ознакомлены все заинтересованные лица.

Оператором должен быть обеспечен неограниченный доступ к этим документам, а если сбор персональных данных осуществляется с помощью сайта, то Роскомнадзор рекомендует размещать ссылки на политику обработки персональных данных непосредственно рядом с веб-формами.

Что относится к персональным данным по мнению Роскомнадзора

Центр компетенций Роскомнадзора по Южному федеральному округу разрабатывает матрицу персональных данных. Проект такой матрицы уже существует, планируется, что он будет размещен в открытом доступе в первом полугодии 2021 года.

Сбор копий документов, содержащих персональные данные

Сбор копий документов должен осуществляться на основании согласия субъекта в соответствии с ч.1 ст. 6 Закона “О персональных данных”.

Паспорт — это носитель биометрических персональных данных. Для получения копии документа согласия, предусмотренного ч. 4 ст. 9 ФЗ № 152 не требуется. Но должно быть получено согласие, которое отвечает требованиям ч. 1 ст. 9 Закона: согласие должно быть информированным, конкретным и сознательным.

Т.е. человек должен четко понимать, какие данные он предоставляет, в каких целях, кому, какие действия будут осуществлять с данными. В течение какого срока, кто будет иметь доступ к персональным данным.

Если такие требования соблюдаются, то форма получения согласия определяется оператором: можно в электронном виде, можно на бумаге.

Являются ли идентификаторы персональными данными

Такие идентификаторы как ИНН, СНИЛС, электронная почта и т.п. являются персональными данным. Роскомнадзор исходит из их уникальности: они присваиваются конкретному человеку и не могут быть отнесены к другому.

Даже без дополнительной информации идентификаторы являются персональными данными.

Вопрос о MAC- адресах устройств нужно рассматривать в контексте Закона “О связи”. Без сведений об абоненте они не относятся к персональным данным. Но когда MAC- адрес добавляется сведениями, например, о геолокации или кукис, то в совокупности эта информация является персональными данными.

Комбинация: фамилия, имя и телефон — персональные данные.
Но отдельно номер телефона – не персональные данные, т.к он относится не к пользователю, а к абонентскому устройству.

Фотографии и видеозаписи в контексте персональных данных

Ранее Роскомнадзор уже озвучивал позицию о том, что в случаях, предусмотренных законодательством, фото является биометрическим персональными данными. Для их обработки необходимо выполнить требования статьи 11 Закона “О персональных данных”

Во всех иных случая фотография рассматривается как материальный носитель персональных данных и обработка которых осуществляется на общих основаниях, предусмотренных статьей 6 Закона 152-ФЗ.

Оборот фото-видеоизображений регулируется Гражданским кодексом, который предусматривает случаи использования изображения гражданина как с согласия, так и без такового.

Потоковое видеонаблюдение не рассматривается Роскомнадзором как обработка персональных данных. Но если камера направлена на идентификацию лица, например, для пресечения или раскрытия правонарушений, то записи с этой камеры должны рассматриваться как источники персональные данные.

Профилирование и оценка личностных качеств

Например в мобильном приложении осуществляется сбор информации в объеме: имя, телефон, история заказов, выявление предпочтений пользователя. По мнению Роскомнадзора такой набор информации является персональными данными, поскольку на его анализе осуществляется подготовка маркетинговых предложений. И дальнейшее использование этих данных в рекламе должно осуществляться в соответствии со ст. 15 Закона “О персональных данных” и предполагает согласие на обработку персональных данных

Оценка поведений и личных качеств работников, например, при проведении психологических тестов, представляет собой некую модель профилирования физического лица на основании которой вырабатываются рекомендации: о занятости, приеме или отказе в приеме на работу, на замещение вакантной должности. Для проведения профилирования необходимо получать согласие на обработку персональных данных.

О согласиях на обработку персональных данных

Несколько целей в одном согласии

Разработан законопроект, который предусматривает совмещение нескольких целей в одной форме согласия. Как только он будет принят, РКН скорректирует свою позицию.

Пока же Роскомнадзор считает, что можно указать несколько целей в одном согласии только в некоторых случаях. Например, если происходит обработка биометрических данных, специальных категорий персональных данных, в случаях, если осуществляется трансграничная передача в страны, не обеспечивающие адекватную защиту данных.

Во всех других случаях оформления согласия в письменной форме должна быть указана одна цель.

Получение согласия на обработку персональных данных при заключении договора

Если обработка персданных осуществляется в соответствии с условиями договора и только для его исполнения, то согласие не требуется.

Но если в договор включаются положения, не связанные с его предметом, то на такие действия необходимо получать отдельное согласие на обработку персональных данных.

Например, в договор оказания услуг связи включаются положения о проведении исследований или на рассылку рекламы.

Если впоследствии по этим видам обработки субъект направит отзыв своего согласия, то оператор обязан ее прекратить, поскольку она не является основной применительно к предмету договора.

Согласия на обработку персональных данных соискателя и близких родственников

Трудовым кодексом урегулированы отношения только между работодателем и работником и не охвачены вопросы поиска работы. Поэтому единственным правовым основанием для обработки персональных данных соискателей является его согласие.

Часто соискателю предлагается заполнить анкеты, в которых предусмотрены сведения о близких родственниках, но очень сложно получить согласия от самих родственников. В таких случаях рекомендуется все же убедить соискателя в необходимости получения согласия от родственников.

Например, сообщить о необходимости проверки конфликта интересов.

Обработка персональных данных родственников сотрудника имеет ряд особенностей

Обработка персональных данных в объеме, предусмотренном унифицированными формам, например, карточками Т-2, согласия не требует. Но на обработку ПД, которые не содержаться в типовых формах, но необходимы работодателю, требуется получать согласие.

Электронные копии согласий на обработку персональных данных

Сканы письменных форм согласий на обработку делать не запрещено. Но если есть электронные копии, то можно ли уничтожить оригинал на бумажном носителе?

Роскомнадзор рекомендует принимать во внимание положения процессуальных кодексов, где предусмотрено, что в случае рассмотрения судебного спора необходимо предоставить суду подлинники письменных доказательств. Поэтому при принятии решения о замене оригинальных экземпляров на электронные копии, необходимо учитывать эти риски.

Срок согласия на обработку персональных данных

По мнению Роскомнадзора срок согласия должен быть ограничен конкретным сроком или достижением цели обработки персональных данных, например, исполнением договора.

Нельзя указывать, что согласие дается на неограниченный срок или указывать сроки, не предусмотренные законодательством или ничем не мотивированные. Например, неправильно установить срок согласия на 15, 50 или 70 лет.

Если конкретный срок определить затруднительно, то рекомендуется обработку ПД ограничивать достижением цели обработки.

Форма согласия на получение рассылки от иностранного сайта

Достаточно ли получения согласия в электронной форме в виде проставления галочки в чек-боксе, если сайт или его администратор находятся за пределами РФ?

Роскомнадзор считает, что если сайт направлен на граждан России, то презюмируется, что он соблюдает требования национального законодательства России — в частности, соблюдает правило локализации. Следовательно, такая форма выдачи согласия допустима.

Передача персональных данных третьим лицам

Что делать, если персональные данные передаются третьим лицам? Причем этот список может изменяться.

Если для обработки персональных данных необходимо получать письменное согласие (ч. 4 ст. 9 Закона “О персональных данных”) например, трансграничная передача, обработка биометрических данных и т. д, то в этом случае обязательно поименное указание организаций, которые действуют по поручению оператора. В случае изменения этих организаций, согласие придется переподписывать.

Во всех остальных случаях согласие может содержать отсылку на сайт оператора, где можно разместить список третьих лиц, которым передаются персональные данные. В самом согласии необходимо указать цели, в которых ПД передаются этим третьим лицам.

Об изменении списка Роскомнадзор рекомендует уведомлять субъектов персональных данных. Срок такого уведомления законом не определен, но РКН считает разумным делать это в течение 10 дней.

Договоры поручения на обработку персональных данных

Является ли провайдер облачных услуг оператором?

Конечно, провайдер облачных услуг является оператором, поскольку на его серверах осуществляется хранение персональных данных.

Требуется ли при использовании облачных услуг заключать договор поручения на обработку персональных данных?

Да, потому что один оператор передает для хранения ПД другому оператору. А этот случай предполагает заключение договора поручения. Дополнительно нужно получать согласие субъекта на передачу его персональных данных по договору поручения.

Можно ли в согласии работника указывать всех третьих лиц, которым передаются ПД в рамках договоров поручений?

Можно, но только при условии, что третьи лица привлекаются для достижения единой цели, которая предусмотрена в тексте согласия на обработку персональных данных.

Например, для целей кадрового учета привлекается две организации. В согласии указывается цель: ведение кадрового учета. В этом случае согласие составлено корректно.

Да, эти лица являются операторами и обязаны предоставлять уведомления по общим правилам.

Исключение, предусмотренное для договорных отношений, в этом случае не применяется, поскольку субъекты персональных данных не являются стороной договора поручения, заключаемого оператором с третьим лицом.

Обязан ли оператор предоставлять по договору поручения сведения о правовых основаниях обработки персональных данных?

Действующим законодательством такая обязанность не предусмотрена, поскольку ответственность перед субъектом несет только оператор, даже за действия третьего лица.

Поэтому РКН рекомендует урегулировать этот вопрос в договоре поручения на обработку персональных данных, если необходимо.

Персональные данные представителей компаний в договоре

Типичная ситуация: два юридических лица заключили между собой договор. С одной стороны договор подписал представитель по доверенности.

Организация, которая выдала доверенность своему работнику, обязана получить от него согласие на передачу персональных данных контрагенту по договору.

Для контрагента, получившего доверенность этого работника, получать отдельное согласие на обработку не нужно, т.к. обработка ПД доверенного лица осуществляется в рамках договора.

Ответственное лицо

Будет ли привлечен оператор к ответственности, если он не назначил ответственное лицо за обработку персональных данных?

К административной ответственности РКН привлекать не будет. Но если в ходе проверки такой факт будет выявлен, то проверяющий выдаст предписание с указанием срока его исполнения. И если оператор в этот срок не устранит нарушение, то будет привлечен к административной ответственности по ст. 19.5 КоАП РФ.

Можно ли назначить нескольких лиц, ответственных за обработку ПД?

В уведомлении о намерении осуществлять обработку персональных данных должно быть указано только одно физическое лицо, ответственное за обработку персональных данных. Конечно, ответственный может делегировать часть своего функционала, но об этом нужно указать только в локальных актах оператора.

Можно ли указывать в уведомлении юридическое лицо, ответственное за обработку ПД?

Да, если к обработке привлечено юридическое лицо, то оно может быть указано в уведомлении о намерении осуществлять обработку персональных данных в дополнение к информации, предусмотренной ст. 22 Закона № 152-ФЗ.

Заключение

Контемиров пообещал, что по результатам работы Центров компетенций в 2021 году будут опубликованы: матрица персональных данных, портфель оператора, включающий в себя шаблоны документов, актов, форм, необходимых для работы с персональными данными. РКН хочет, чтобы такой портфель был хорошим подспорьем.

Важное обновление 23.12.2020: принят закон об изменении правил публикации персональных данных.

Ну а я продолжаю наблюдение. Подпишитесь на мои страницы в Фейсбуке, Яндекс Дзене и Телеграм, чтобы делать это вместе.

Остаюсь с вами на связи. Все вопросы по статье можно написать в чат в Я.Дзене.

ps. Чатик придумал, чтобы избежать включения в реестр ОРИ, но быть с вами на связи.

Работать с самозанятыми выгодно: не надо платить за них НДФЛ 13%, страховые взносы и сдавать отчётность, а оплату их работ и услуг можно относить к расходам — и уменьшать налоги к уплате. Но если неправильно оформить отношения с такими сотрудниками, работодатель рискует: налоговая доначислит налоги, страховые взносы и выпишет штраф.

Если вам некогда читать всю статью, смотрите блок «Коротко» в конце материала.

Чтобы начать работать с самозанятым, проверьте его статус, заключите договор и собирайте чеки после каждой оплаты. Вот как это сделать.

Если вы только начинаете сотрудничать с самозанятым, удостоверьтесь, что он действующий плательщик налога на профессиональный доход. Бывает, что некоторые становятся самозанятыми, а потом снимаются с учёта. Работодатели, не зная этого, продолжают работать с ними как с самозанятыми: не платят за сотрудников подоходный налог и страховые взносы. Если налоговая об этом узнает, вам нужно будет заплатить за бывшего самозанятого НДФЛ и внести взносы в Пенсионный фонд и Фонд обязательного медицинского страхования.

Проверить статус самозанятого можно двумя способами: попросить сотрудника прислать справку о постановке на учёт или пробить самозанятого по ИНН на сайте налоговой. Обе проверки равнозначны и бесплатны. Выбирайте тот способ, который удобнее.

Справка о постановке на учёт. Попросите самозанятого прислать справку из приложения «Мой налог». Такая справка формируется бесплатно.



Справка о постановке самозанятого на учёт

Проверка по ИНН на сайте налоговой. Если самозанятый не может прислать справку, например у него нет интернета или приложение «Мой налог» работает с перебоями, вы можете самостоятельно проверить статус сотрудника. Налоговая предлагает работодателю проверять статус самозанятых . Для этого надо ввести ИНН сотрудника и дату, на которую вы хотите узнать статус.



Проверка статуса самозанятого на сайте налоговой

Для работы с самозанятым подойдёт типовой гражданско-правовой договор, например договор оказания услуг. Можно подписать такой договор один раз перед началом работы или подписывать его перед каждой оплатой в виде договора-счёта-акта. Второй способ подойдёт, если вы будете оформлять с самозанятым акты выполненных работ.

Договор с самозанятым немного отличается от того, который работодатель подписывает с обычными сотрудниками. Вот примеры формулировок, которые содержит договор с самозанятым. Используйте их или подобные.

Сафонова Ольга Сергеевна, являющаяся плательщиком налога на профессиональный доход на основании справки о регистрации плательщика налога на профессиональный доход № ХХХXX, именуемая далее «Исполнитель», с одной стороны, и Общество с ограниченной ответственностью «Космос», в лице Генерального директора Бухарова Ивана Олеговича, действующего на основании Устава, далее именуемое «Заказчик», с другой стороны (далее «Стороны»), заключили настоящий договор (далее – «Договор») о нижеследующем.

Работодатель не платит НДФЛ и страховые взносы

Исполнитель является плательщиком налога на профессиональный доход, в связи с чем Заказчик освобождается от обязанности перечислять налоги и страховые взносы за Исполнителя в бюджет РФ на основании п.8 ст.2 Федерального закона от 27.11.2018 № 422-ФЗ.

Самозанятый обязан выдавать чеки

Исполнитель обязуется при получении оплаты от Заказчика предоставлять чеки из приложения «Мой налог».

Самозанятый обязан сообщить об утере статуса самозанятого

В случае снятия Исполнителя с учета в качестве плательщика налога на профессиональный доход он обязуется сообщить об этом Заказчику письменно в течение 3 дней с даты снятия с такого учета.

Вот шаблон договора-счёта-акта , который можно скачать и адаптировать под себя.

Если вам привычнее заключить типовой гражданско-правовой договор перед началом работы, используйте этот документ .

Важно. Отношения с самозанятым регулирует гражданско-правовой договор, а не трудовой. Поэтому в договоре с самозанятым не должны быть прописаны должностные обязанности, штатное расписание, режим рабочего времени и времени отдыха. Если включить эти пункты в договор с самозанятым, при проверке налоговая может посчитать такой договор трудовым — и обязать работодателя доплатить за сотрудника налоги и взносы.

После того, как самозанятый выполнил работы или услуги, он должен прислать чек из приложения «Мой налог». Чек — подтверждение оплаты и гарантия того, что работодателю не надо платить НДФЛ и взносы. Без чека вы не можете отнести сумму, которую перевели самозанятому, к расходам и провести её в бухгалтерии. А если налоговая во время проверки на увидит чеки по выплатам, то обяжет работодателя доплатить за сотрудника НДФЛ и страховые взносы, а также оштрафует. Штраф составит 20% от суммы, недоплаченной в бюджет.



Чек из приложения «Мой налог»

Проверьте чек. Получив чек, убедитесь, что он верный. Если вы заплатили самозанятому 5 тысяч рублей, а он выдал чек на 4 тысячи, то вы не сможете подтвердить расходы в бухгалтерии. Проверьте на чеке вид работ, сумму, ИНН заказчика и исполнителя. Если обнаружите ошибку, попросите самозанятого аннулировать чек в приложении «Мой налог» и выбить его заново.

Как хранить чеки. Самозанятый может выдавать чеки в электронном и бумажном виде. Хранить чеки вы можете в любом удобном формате. Например, можно складывать электронные чеки в папку сотрудника в облачном хранилище. Так вы не рискуете потерять документы при переустановке системы или очистке компьютера от вирусов.

Сколько хранить чеки. ИП обязаны хранить чеки четыре года, а компании — пять лет.

Если вы не получили чек. Бывает, что самозанятый не прислал чек: забыл, не смог или не было времени. Если вы не получили чек, напомните об этом сотруднику. Если самозанятый не выходит на связь, а бухгалтер требует чек, можно оставить жалобу на сайте налоговой. Для этого воспользуйтесь сервисом «Обратиться в ФНС» . Налоговики свяжутся с самозанятым, потребуют представить чек и выпишут ему штраф за работу без чека, чтобы в будущем он совершал подобных нарушений.



Чтобы оставить жалобу на самозанятого, выберите раздел «Иные обращения»

Чек обязателен, акт — на ваше усмотрение. Некоторые работодатели регулярно подписывают с самозанятым акт выполненных работ: это добавляет бумажной работы. Подписывать акты не обязательно, так как закон разрешает работать с самозанятым без них. Акт в этом случае — способ подстраховки для работодателя. То есть гарантия того, что исполнитель выполнил работу и у вас нет взаимных претензий. Такой акт пригодится в спорной ситуации, например, его можно использовать как доказательство в суде.



Так выглядит акт, который подписывают с самозанятым

Коротко: как принять на работу самозанятого

Чтобы проверить статус самозанятого, запросите у него справку о постановке на учёт или проверьте сотрудника по ИНН на сайте налоговой . Это лучше делать перед каждой сделкой.

Для работы с самозанятым подойдёт типовой гражданско-правовой договор, например договор оказания услуг, или договор-счёт-акт.

В договоре должны быть прописаны статус самозанятого, обязанность самозанятого выдавать чеки и вовремя сообщать о снятии с режима НПД, а также то, что работодатель не платит НДФЛ и страховые взносы за сотрудника.

ИП обязаны хранить чеки четыре года, ООО — пять лет.

Закон разрешает работать с самозанятым без актов выполненных работ. Акты можно собирать для подстраховки.

С 1 марта 2021 г. компании и ИП обязаны соблюдать новые правила сбора и размещения персональных данных в открытом доступе. Нововведения способны ощутимо усложнить жизнь предпринимателей

Распространять персональные данные граждан по-старому больше не получится

С 1 марта 2021 г. в нашей стране введен новый порядок распространения персональных данных граждан 1 . В статье мы расскажем об этих изменениях и рассмотрим проблемы, которые могут возникнуть у предпринимателей уже сейчас.

Договоримся о терминах

Персональные данные (ПД) – это любая информация о человеке: Ф.И.О., дата рождения, паспортные данные, адрес, e-mail и т.д.

Оператор – лицо (компания), которое осуществляет любые действия с персональными данными (в законе эти действия называются обработкой), например собирает, записывает, систематизирует, копит, хранит, уточняет, извлекает, использует, передает, обезличивает, блокирует, удаляет, уничтожает, распространяет, предоставляет доступ.

Распространение ПД – это размещение ПД, при котором к данным имеет доступ неопределенный круг лиц. Например: размещенные в аккаунте социальной сети Ф.И.О., дата рождения, контактные данные могут быть просмотрены и скопированы как пользователями соцсети, так и теми, кто в ней не зарегистрирован.

Предоставление ПД – это размещение ПД, при котором к данным имеет доступ определенное лицо или определенный круг лиц. Например: размещенные в закрытом форуме ПД доступны только тем, кто зарегистрирован как участник форума.

ПД, размещенные в открытом доступе, – это ПД, размещенные в интернете, доступ к которым предоставлен всем желающим без необходимости регистрации на сайте.

Касаются ли изменения вашей компании?

Да, если соблюдено одно из указанных условий.

  • На вашем сайте в открытом доступе размещаются ПД.
  • Вы собираете и структурируете ПД, размещенные в открытом доступе.
  • Вы публикуете ПД в печатной или иной форме, при которой ПД находятся в открытом доступе.

Пример: социальные сети, сайты объявлений, форумы, печатные издания с объявлениями и т.д.

Нет, если соблюдено одно из указанных условий.

    На вашем сайте размещаются ПД, доступ к которым есть только у зарегистрированных пользователей, т.е. оператор может ограничить и определить круг лиц, имеющих доступ к ПД.

Пример: закрытая корпоративная социальная сеть или сайт-интегратор объявлений, на котором доступ к ПД продавцов можно получить только после регистрации на сайте.

Ваша компания распространяет или предоставляет ПД в определенных законом государственных, общественных или публичных интересах независимо от того, что распространение или предоставление ПД запрещено самим лицом 2 .

Под государственными, общественными и публичными интересами в основном понимаются вопросы безопасности государства, граждан и т.д. Поэтому сложно придумать реальный случай, когда коммерческая организация могла бы прикрыться данным пунктом закона.

  • Вы являетесь государственным органом власти или органом местного самоуправления, распространяющим ПД в силу выполнения возложенных на вас полномочий 3 .

    • Как регулировалось распространение ПД до 1 марта 2021 г.?

    1. Законность распространения ПД подтверждалась несколькими способами.

      Оформление согласия на обработку ПД. Оно могло оформляться как письменно, так и путем заполнения формы на сайте 4 .

    Пример: предоставление согласия на обработку ПД на сайте объявлений о продаже автомобилей. Сайт получает согласие продавца, размещает его имя и номер телефона, чтобы с ним могли связаться покупатели.

    Заключение договора с лицом, по которому компания распространяла ПД в его интересах. В этом случае согласие не требовалось 5 .

    Пример: заключение договора с рекрутинговым агентством, по которому оно размещает на своем сайте анкету с ПД соискателя и к ней получает доступ неограниченное число лиц.

    2. Если оператор незаконно получил и распространил ПД, то «пострадавшее» лицо доказывало факт незаконности получения оператором его ПД. Оператор обязан был уничтожить ПД, если лицо предоставляло сведения, подтверждавшие, что ПД были получены оператором незаконно 6 .

    Пример: гражданин получил на свой e-mail именное предложение оформить кредит. Он обращается письменно в банк (к оператору) с требованием уничтожить ПД как полученные незаконно и ссылается на то, что никогда не передавал свои ПД в этот банк и не заключал с ним договор.

    3. Если оператор получал от лица отзыв согласия на обработку ПД, у него было 30 дней на то, чтобы прекратить обработку ПД и уничтожить их 7 .

    Что изменилось в регулировании распространения ПД с 1 марта 2021 г.?

    Введено новое понятие – ПД, разрешенные субъектом ПД к распространению.

    Под этим термином закон понимает ПД, к которым лицо предоставило доступ неограниченному кругу лиц путем дачи согласия на обработку персональных данных, разрешенных для распространения (далее – согласие на распространение) 8 . Это означает, что установлен отдельный порядок регулирования распространения ПД, который не соответствует общему порядку регулирования обработки ПД. Если раньше для распространения ПД достаточно было получить общее согласие на обработку ПД, то теперь для этого нужно получить отдельное согласие.

    Иными словами, оператор должен получить:

    • согласие на обработку ПД, по которому сможет собирать, систематизировать, хранить и осуществлять иные действия с ПД;
    • отдельное согласие на распространение ПД, без которого распространение ПД будет незаконным.

    Законность распространения ПД и их сбора из открытых источников подтверждается исключительно наличием согласия на распространение.

    Если ранее оператор мог законно распространять ПД путем получения согласия на обработку ПД, заключения договора или сбора ПД из открытых источников, то теперь законное условие одно – получение отдельного согласия на распространение ПД 9 .

    Установлены требования к оформлению согласия на распространение ПД.

    1. Требования к содержанию согласия на распространение ПД должны быть в ближайшее время приняты Роскомнадзором 10 . С текстом проекта приказа Роскомнадзора можно ознакомиться на сайте: regulation.gov.ru.

    Форма согласия на распространение ПД, которую предлагает Роскомнадзор, на наш взгляд, перегружена лишней информацией. Например, оператор должен будет указывать в согласии свои коды по классификаторам (ОКВЭД, ОКПО, ОКОГУ, ОКОП, ОКФС). Каким образом знание этих кодов может помочь лицу в спорах с оператором – непонятно.

    2. В форме согласия на распространение ПД оператор обязан дать возможность лицу предусмотреть:

    • перечень и категории ПД (общие, специальные, биометрические), на которые распространяется его согласие на распространение 11 ;
    • запрет на распространение и предоставление ПД неограниченному кругу лиц 12 ;
    • запрет на обработку ПД неограниченным кругом лиц, за исключением права получения доступа;
    • условия обработки ПД неограниченным кругом лиц, за исключением права получения доступа.

    Чтобы соответствовать этим требованиям, операторам придется потратиться на создание на своих сайтах отдельных форм согласий, которые будут учитывать все возможные варианты запретов и ограничений.

    При этом обыватели часто не знают, что такое ПД и какие у них есть права относительно обработки их ПД. Непонятно, как они самостоятельно смогут заполнить такое согласие и не допустить ошибок.

    3. Согласие на распространение ПД может быть получено оператором непосредственно или с использованием информационной системы Роскомнадзора 13 .

    Согласие оператор может получить от лица в письменной форме или через специальную онлайн-форму на своем сайте. При этом молчание или бездействие лица не являются согласием на распространение ПД 14 .

    Информационная система Роскомнадзора должна заработать с 1 июля 2021 г. Пока она находится на стадии разработки, и о ней ничего не известно, а разъяснений со стороны Роскомнадзора нет. Поэтому комментировать данную норму еще рано.

    4. Оператор обязан не позднее 3 рабочих дней с момента получения согласия на распространение ПД опубликовать информацию:

    • об условиях обработки ПД;
    • об условиях обработки ПД неограниченным кругом лиц 15 ;
    • о наличии запретов на обработку ПД.

    Согласно комментариям Роскомнадзора, озвученным на дне открытых дверей 28 января 2021 г., данная информация должна быть опубликована оператором на своем сайте таким образом, чтобы доступ к документу был у всех желающих. Как мы указывали выше, письменных разъяснений нет, и нам остается довериться данной позиции.

    Так как четкие требования к форме согласия не установлены, возникает риторический вопрос: в каком объеме должны быть раскрыты ПД в данном документе, чтобы лицо нельзя было спутать с тезкой? Такой пример: на сайте размещены ПД двух человек, Ф.И.О. которых идентичны. При этом один из них разрешает распространять все свои ПД, а другой – только Ф.И.О. и номер телефона. Как стороннее лицо должно определять, к кому из них относятся те или иные условия обработки ПД?

    Что делать оператору, если согласие на распространение ПД составлено некорректно?

    1. Если из текста документа не следует, что лицо согласно на распространение ПД, то такие ПД должны обрабатываться оператором без права распространения 16 . Данный пункт позволяет сделать вывод о том, что малейшее сомнение в правильности оформления согласия будет трактоваться не в пользу оператора.

    2. Если из текста согласия на распространение ПД не следует, что субъект ПД не установил запреты и условия обработки ПД или он не указал перечень и категории ПД, в отношении которых установлены запреты и условия, то такие ПД должны обрабатываться оператором без права распространения и предоставления неограниченному кругу лиц 17 . Это означает, что если есть сомнения в правильности установления лицом запретов или условий обработки ПД, то оператор обязан обрабатывать ПД без их раскрытия неограниченному кругу лиц.

    Порядок прекращения распространения ПД.

    1. Если ранее оператор должен был прекратить обработку ПД в течение 30 дней с момента получения от лица отзыва согласия, то сейчас он должен прекратить распространение, предоставление ПД и закрыть доступ к ним в любое время по требованию лица 18 . Согласие на распространение ПД прекращает действовать с момента, когда оператор получил такое требование 19 . При этом в законе не определена форма требования. Скорее всего, оно может быть оформлено как письменно, так и в электронном виде.

    Возникает вопрос: что делать оператору, если требование было получено на e-mail ночью или в выходной день? Формально он должен удалить ПД с сайта немедленно, поскольку согласие больше не действует. Такой порядок может привести к недобросовестному поведению со стороны граждан (субъектов ПД).

    2. Субъект ПД вправе обратиться к любому лицу, обрабатывающему его ПД, т.е. не только к оператору, которому было дано согласие на распространение ПД, но и к другим лицам, которые стали обрабатывать ПД в последующем. Гражданин вправе требовать от таких лиц:

    • прекратить распространение ПД, или
    • прекратить предоставление ПД и доступ к ним в случае, если такое лицо не соблюдает требования, установленные ст. 10.1 Закона о персональных данных (особенности обработки ПД, разрешенных субъектом ПД для распространения), или
    • обратиться в суд.

    В случае такого обращения лицо, обрабатывающее ПД, обязано прекратить распространение, передачу ПД и доступ к ним:

    • в течение 3 рабочих дней с момента получения требования, или
    • в срок, указанный в решении суда, или
    • в течение 3 рабочих дней с момента вступления в силу решения суда 20 .

    Если раньше обязанность доказать незаконность обработки ПД лежала на гражданине (субъекте ПД), то сейчас «обработчик и распространитель» ПД должен доказать законность распространения или обработки ПД. Закон прямо указывает, что лицо должно доказать законность последующего распространения или обработки ПД в случае, если ПД были раскрыты неопределенному кругу лиц субъектом без предоставления оператору согласия 21 . Это означает, что если субъект сам раскрыл свои ПД на сайте оператора, то ответственность несут только те лица, которые взяли ПД с указанного сайта и продолжают распространять или обрабатывать ПД.

    Возникает вопрос: как оператор будет доказывать тот факт, что ПД были распространены субъектом самостоятельно? Здесь также есть шанс, что субъекты ПД будут злоупотреблять своими правами.

    Закон указывает, что если ПД были раскрыты неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы, то лицо, в последующем распространяющее или обрабатывающее ПД, обязано доказать законность распространения или обработки ПД.

    Что делать компаниям, которые собирают ПД из открытых источников?

    До 1 марта 2021 г. действовала норма, согласно которой не требовалось получать согласие на обработку ПД лица, если ПД размещались в открытом доступе самим лицом или по его просьбе. Такие ПД назывались «персональными данными, сделанными общедоступными субъектом ПД». 22 Пример: компания собирает ПД о конкретном лице на странице социальной сети для его оценки как потенциального клиента банка.

    Компании, которые собирают ПД из открытых источников, считали, что они не должны получать согласие лица на обработку его ПД, поскольку само лицо размещало в интернете информацию о себе. Вместе с тем в 2018 г. Верховный Суд РФ не согласился с доводами одной из таких компаний. Суд признал: размещение гражданином ПД в соцсетях «ВКонтакте», «Одноклассники», «МойМир», Instagram и Twitter или на интернет-порталах «Авито» и «Авто.ру» не означает, что такие ПД можно обрабатывать без оформления согласия 23 . Однако данное решение существенно не изменило ситуацию: компании продолжали обрабатывать ПД по-старому, без получения согласий.

    С 1 марта 2021 г. компании больше не могут так делать: норма исключена из закона. Теперь они обязаны получить согласие лица на обработку ПД, даже если данные были взяты из открытых источников.

    Ответственность оператора за распространение ПД без согласия субъекта

    Оператор может быть привлечен к административной ответственности. До 27 марта 2021 г. размер штрафа составит:

    • от 5 до 10 тыс. руб. – для индивидуального предпринимателя;
    • от 30 до 50 тыс. руб. – для компании 24 .

    С 27 марта 2021 г. размер штрафов увеличивается:

    • от 10 до 20 тыс. руб. – для индивидуального предпринимателя;
    • от 60 до 100 тыс. руб. – для компании.

    Рекомендации предпринимателям

    Полагаем, самый надежный и менее затратный способ соблюсти требования Закона о персональных данных для тех компаний, чьи сайты содержат ПД субъектов, – закрыть сайты для незарегистрированных пользователей. По крайней мере, до тех пор, пока не сформируется судебная практика и не появится точная позиция Роскомнадзора относительно применения положений Закона о распространении ПД.

    Сложнее обстоит дело с компаниями, которые собирают ПД из открытых источников. Такие компании, на наш взгляд, обязаны получать у субъектов:

    • согласие на обработку ПД, если компания хочет обрабатывать ПД без распространения;
    • согласие на распространение, если компания хочет распространять ПД субъекта.

    Компаниям, которые распространяют ПД не в интернете, также необходимо получать у субъекта согласие на распространение, даже в том случае, если распространение ПД необходимо для исполнения договора в интересах субъекта.

    1 Федеральный закон от 30 декабря 2020 г. № 519-ФЗ «О внесении изменений в Федеральный закон “О персональных данных”».

    2 Часть 11 ст. 10.1 Закона о персональных данных (далее – Закон).

    3 Часть 15 ст. 10.1 Закона.

    4 Пункт 1 ч. 1 ст. 6 Закона.

    5 Пункт 5 ч. 1 ст. 6 Закона.

    6 Часть 3 ст. 20 Закона.

    7 Часть 5 ст. 21 Закона.

    8 Пункт 1.1 ч. 1 ст. 3 Закона.

    9 Часть 1 ст. 10.1 Закона.

    10 Часть 9 ст. 9 Закона.

    11 Часть 1 ст. 10.1 Закона.

    12 Часть 9 ст. 10.1 Закона.

    13 Часть 6 ст. 10.1 Закона.

    14 Часть 8 ст. 10.1 Закона.

    15 Часть 10 ст. 10.1 Закона.

    16 Часть 4 ст. 10.1 Закона.

    17 Часть 5 ст. 10.1 Закона.

    18 Часть 12 ст. 10.1 Закона.

    19 Часть 13 ст. 10.1 Закона.

    20 Часть 14 ст. 10.1 Закона.

    21 Часть 2 ст. 10.1 Закона.

    22 Пункт 10 ч. 1 ст. 6 Закона.

    23 Определение Верховного Суда РФ от 29 января 2018 г. № 305-КГ17-21291.

    Редакция сайта klerk.ru «Клерк» — крупнейший сайт для бухгалтеров. Мы не берем денег за статьи, новости или скачивание документов. Мы делаем все, чтобы сделать работу бухгалтеров проще.
    «Клерк» Рубрика Право


    С 1 марта 2021 года вступили в силу изменения в ФЗ № 152 «О персональных данных». Предлагаемые изменения назревали уже очень давно, но были приняты только сейчас. Зачем они потребовались?

    Мы все хорошо знаем, что сбор персональных данных разного рода операторами происходит довольно часто. Свои данные мы указываем везде: открытие счета, получение посылки по почте, запись на прием к приставу и пр. При этом гарантировать сохранность персональных данных после их обработки очень сложно. Безусловно, ФЗ № 152 обязывает их охранять. Но некоторые данные могут стать публичными из-за злоупотребления полномочиями или банальной неосторожности.

    Кроме того, можно предоставить свои персональные данные неограниченному кругу лиц из-за невнимательности.

    Например, при оформлении sim карты в салоне мобильной связи покупателю предоставляют договор, в котором уже проставлены отметки о согласии на предоставление персональной информации третьим лицам, не только в рекламных целях. Причем на требование убрать проставленные отметки могут ответить отказом, мотивируя свое решение политикой организации и пр. Как результат, данные клиента могут попасть совершенно в любые руки, включая недоброжелателей и злоумышленников.

    Что изменилось

    Поправки в ФЗ № 152 направлены на урегулирование механизма защиты прав неограниченного круга лиц, чьи данные тем или иным способом участвуют в обороте или станут известны в будущем.

    До вступления поправок в силу у третьих лиц оставалась некая «лазейка» в законе. В частности, они также могли осуществлять сбор, хранение и передачу данных. А субъекты, чьи персональные данные были переданы третьим лицам, могли требовать их удаления только при соблюдении обязательных условий: необходимо доказать, что данные получены незаконно, потеряли актуальность, являются неполными и т.п. С принятием поправок в ФЗ данное правило изменилось. Теперь лицо может требовать ограничения пользования и удаления персональных данных у любого оператора, которому стали известные персональные данные. Причину такого решения субъект персональных данных указывать больше не обязан.

    Кроме того, теперь лицо само сможет решать какие из его персональных данных могут быть использованы. Если субъект не дал прямого письменного разрешения на использование своих персональных данных, то оператор, получивший сведения, имеет право на их обработку, но не имеет права на распространение.

    В случае, если использование персональных данных так и не было прекращено, лицо имеет право обратиться в суд. По решению суда, вступившему в законную силу, оператор обязан прекратить передачу и использование персональных данных.

    Если оператор не прекратил использовать и передавать персональные данные, то для него предусмотрена ответственность, согласно ст. 13.11 действующего КоАП — от 3000 до 75 000 рублей, в зависимости от вида субъекта нарушителя.

    Кроме того, с 27 марта 2021 такой вариант наказания, как предупреждение, будет полностью упразднен, а санкции статьи ужесточаются, вследствие чего штрафы для оператора увеличатся вдвое, т.е. от 6000 до 150 000 рублей.

    Внесение поправок в действующее законодательство имеет своей целью более корректное использование персональных данных, полученных оператором для обработки. В первую очередь, это необходимо для того чтобы операторы понимали серьезность вверенных им данным и последствий своих действий. Поскольку нарушения в хранении и передачи данных третьих лиц так или иначе все еще встречаются, у операторов не сложилось четкого представления о необходимости получения письменного согласия на передачу любых персональных данных.

    Во-вторых, увеличение размера штрафов, возможно, сократит уровень халатного отношения к полученным персональным данным.

    Еще больше важных моментов о защите персональных данных, которые нужно знать для работы без штрафов - в крутом и важном курсе Центра обучения "Клерка" от Елены Ильбеевой.

    Пример из судебной практики

    В Москве гражданин обратился в мировой суд за защитой своих нарушенных прав. Суть истории: на его номер телефона поступали звонки от коллекторской службы. При этом письменного или устного согласия на предоставление номера телефона гражданин коллекторскому агентству не давал. Данные находились только у банка, с которым был заключен кредитный договор. В заключенном договоре не содержалась информация о возможности передачи персональных данных третьим лицам. Иных данных, кроме номера телефона, у коллекторов не было.Кроме того, представители агентства считали, что номер телефона не относится к персональным данным.

    Мировой суд посчитал такие действия со стороны коллекторской компании нарушением ФЗ № 152 «О защите персональных данных». Позже Черемушкинский районный суд г. Москвы, как апелляционная инстанция, поддержал решение мирового суда в полном объеме и согласился с выводами нижестоящего суда в части привлечения организации к административной ответственности и выплате штрафа в размере 30 000 рублей (решение Черемушкинского районного суда г. Москвы от 18 июня 2019 г. по делу № 12-973/2019).

    Наконец, изменения ФЗ № 152 необходимы были самим субъектам персональных данных. Теперь требовать удалить персональные данные можно, не изыскивая каких-либо доказательств. Одного нежелания лица теперь достаточно. Удалить данные или прекратить их передачу операторы обязаны в течение 3 дней после обращения лица.

    Читайте также: