По данным ФНС на 30 ноября 2023 года количество самозанятых в России составило 9048343 человека, из которых физические лица – 8602 014, ИП на НПД – 446229. Сейчас с самозанятыми сотрудничает практически каждая вторая компания. По словам управляющего партнера и руководителя налоговой практики юридической компании Coleman Legal Services, председателя комитета по налогам московского отделения «ОПОРА России» Павла Зюкова, через 2-3 года 90% российских компаний могут привлечь к сотрудничеству самозанятых.
При работе юрлиц с физическими лицами, самозанятыми или индивидуальными предпринимателями, неизбежна обработка их персональных данных. Неправильно организованная работа с персданными может грозить компаниям серьезными штрафами.
О категориях и видах персональных данных, целях их обработки и защите, рассказывают эксперты платформы для самозанятых «Наниматель».
Категории и виды персональных данных
Персональные данные – это сведения, позволяющие идентифицировать человека. При приеме на работу используют ФИО, дату рождения, домашний адрес, номер телефона, семейное положение, сведения об образовании и биометрические данные. В законе нет определенного перечня персональных данных, но для их классификации выделяют несколько категорий.
Общие. Это базовые данные: ФИО, домашний адрес, место работы, номер телефона, e-mail.
Специальные. Национальность, раса, политические взгляды, сведения о здоровье и интимной жизни, судимости, приверженность к той или иной религии. Эти данные – очень личные и сообщать их кому-либо человек не обязан.
Биометрические. К ним относятся: группа крови, отпечатки пальцев и фотография, если в компании для допуска установлена система распознавания лиц. Прикрепленное к личному делу сотрудника фото к персональным данным не относится.
Цели обработки персональных данных самозанятых
Когда компания получает персданные работника, корректирует их, систематизирует, использует и хранит – это называется обработка, а сама компания является оператором персональных сведений. В «Законе о персональных данных» закреплены все цели, позволяющие обрабатывать персданные. Кроме того, в каждой компании, должны быть локальные акты, в которых должны быть предусмотрены все возможные цели обработки. В зависимости от специализации компании и от того, к каким работам привлекаются исполнители, прописываются и цели обработки персданных.
Например, для самозанятых – это заполнение договора ГПХ и контроль количества и качества выполняемой работы. Информацию, которая не относится к таким целям, заказчик-юрлицо требовать не вправе. Это правило применяется даже в том случае, если самозанятый не против обработки этих данных (п. 3 ч. 1 ст. 86 ТК).
Согласие на обработку персданных от самозанятого
Согласие на обработку должно быть конкретным, предметным и однозначным. В нем нужно четко указать цель обработки, перечень данных, и оператора обработки (ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ).
Если собираются биометрические данные самозанятых исполнителей, именно их и нужно указать в согласии. Но необходимо иметь в виду, что плательщик НПД, как любой гражданин, может отказаться от передачи биометрии (ст. 11 Федерального закона от 17.07.2006 № 152-ФЗ), что не может быть поводом для отказа от его услуг.
Согласие обязательно, если, например, требуется фотография на пропуск или, если для сотрудничества нужно внести данные исполнителя-плательщика НПД на автоматизированную платформу. Следует помнить, что на каждую цель требуется отдельный документ.
Согласие на распространение персональных данных
Ст. 88 ТК РФ и ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ запрещают распространение персональных данных без согласия гражданина. Раньше этот пункт можно было прописать в общем согласии на обработку персданных. Теперь – это два разных документа и согласие только на обработку персональных данных не дает компании права передавать куда-либо данные самозанятого, как и других работников. Согласие на распространение персональных данных – обязательный документ для раскрытия сведений о человеке.
Уведомление об обработке персданных Роскомнадзор
Даже, если компания проводит обработку персональных данных в соответствии с законодательством, она обязана уведомлять об этом Роскомнадзор. Это новое требование закона.
Уведомление можно формировать в электронном виде на портале Роскомнадзора. Для этого нужно скачать специальную программу на сайте и воспользоваться усиленной квалифицированной электронной подписью (УКЭП) или пройти аутентификацию через портал Госуслуг.
По новым правилам есть только два случая, когда компания может этого не делать. Первый – личные сведения включены в государственные информационные системы персданных, которые созданы в целях защиты государственной безопасности и общественного порядка. Второй случай, если персональная информация в компании обрабатывается без автоматизации, вручную.
Защита персональных данных
Организации должны применять все необходимые меры для защиты информации от несанкционированного доступа, утечек и взломов. Защита данных должна быть постоянной и совершенствоваться вместе с развитием технологий. Также в политике обработки персональных данных необходимо предусмотреть раскрытие информации о том, кому и для каких целей персональные данные могут быть переданы. Самозанятые исполнители должны быть осведомлены о передаче информации третьим лицам и иметь возможность контролировать этот процесс.
Важно отметить, что политика обработки персональных данных не является статичной – она постоянно совершенствуется и адаптируется к новым требованиям и изменениям в сфере информационных технологий. Так, Минцифры начал формировать электронный реестр персональных данных. Размещен он будет на портале Госуслуг. И тогда любой человек сможет проверить, кому и какие личные данные он передал, и, кто получил от него согласие на обработку такой информации. Там же можно будет отозвать свое согласие.
Работа с персональными данными – это серьезная и ответственная задача. Организации и предприятия должны строго соблюдать принципы и правила регламента защиты персональных данных, обеспечивать безопасность и конфиденциальность этих данных, и быть готовыми к предотвращению и реагированию на возможные нарушения безопасности.