Каким образом передаются персональные данные по запросу контрагента

Содержание
  1. Обработка персональных данных: пошаговая инструкция для компаний — Право на vc.ru
  2. Разберемся с терминами
  3. Как обрабатывать ПДн, чтобы клиенты были спокойны, а Роскомнадзор не беспокоил
  4. Чем грозит невыполнение требований по обработке персональных данных
  5. Выводы
  6. Основные нормативные документы, касающиеся обработки персональных данных
  7. Обработка персональных данных контрагентов
  8. Ответ юриста:
  9. Правовое обоснование:
  10. Проверка Роскомнадзора по защите персональных данных: как подготовиться и избежать штрафов
  11. Виды проверок Роскомнадзора
  12. – Плановая проверка
  13. – Внеплановая проверка
  14. – Документарная проверка
  15. – Выездная проверка
  16. Как выполнить требования законодательства и подготовиться к проверке Роскомнадзора?
  17. Проверка Роскомнадзора: на что обращают внимание инспекторы?  
  18. Какие персональные данные можно обрабатывать без уведомления:
  19. Что такое согласие на передачу персональных данных третьим лицам?
  20. Зачем передавать персональные данные третьим лицам?
  21. Особенности оформления согласия на передачу персональных данных третьим лицам
  22. Ифнс запросила данные по контрагенту или сделке: когда это правомерно, и что будет, если не ответить на требование
  23. Запросы при проверке контрагента
  24. Направление требования
  25. требования
  26. Сведения по конкретной сделке
  27. Штрафы за неисполнение требования
  28. Обработка персональных данных юридического лица | Субъект персональных данных
  29. Имеет ли юридическое лицо персональные данные
  30. Передача персональных данных юридическим лицом на обработку другим лицам
  31. Персональные данные юридического лица в договорах на их обработку

Обработка персональных данных: пошаговая инструкция для компаний — Право на vc.ru

Каким образом передаются персональные данные по запросу контрагента

Маршрут, который поможет самостоятельно выполнить требования по защите и обработке персональных данных.

Rawpixel

Меня зовут Андрей Северюхин. Я CEO Sum&Substance. Уже почти три года мы занимаемся онлайн-идентификацией для каршерингов, логистики и финтех-проектов, работа с персональными данными — одна из наших сильных сторон.

Вместе с Павлом Кирилловым, CEO компании Элефус и нашим партнером по работе с персданными, расскажем о том, как обрабатывать такую информацию, не нарушая закон.

Обычно компания задумывается о защите/обработке персональных данных, когда продвинутый клиент спрашивает: «А почему у меня не взяли согласие на обработку? Где на сайте можно посмотреть политику? А вы есть в Реестре операторов?».

Дальше компания начинает быстро собирать информацию, находит ФЗ-152. Но оказывается, что помимо самого закона есть еще куча подзаконных актов, и так, шаг за шагом происходит погружение в кроличью нору.

Окончательно потеряв надежду и увязнув в паутине этой достаточно запутанной темы, компания скачивает из интернета какое-то согласие, вешает на сайт политику по обработке персональных данных и, затаив дыхание, ждет, что им за это будет.

Мы предлагаем маршрут, который поможет выполнить все требования регуляторов и позволит выбраться из кроличьей норы. Следуйте за белым кроликом.

Разберемся с терминами

Персональные данные — любая информация, относящаяся (прямо или косвенно) к определенному или определяемому физическому лицу.

Звучит не очень понятно, попробуем разобраться, что относится к персональным данным, а что — нет. Далее представлена практика, полученная из комментариев Роскомнадзора и общения с регулятором.

Как в этом разобраться? Роскомнадзор предлагает следующий подход — если по совокупности данных можно идентифицировать человека, то мы имеем дело с персональными данными, даже если документов и других точных идентификаторов нет. Если же для идентификации нужна дополнительная информация, такие данные не считаются персональными.

Идентификаторы. Однозначные идентификаторы, по Роскомнадзору, это номер и серия паспорта, СНИЛС, ИНН, биометрические данные, банковский счет, номер банковской карты. Чтобы определить человека было невозможно, данные можно обезличить по методологическим рекомендациям Роскомнадзора.

Не могут рассматриваются как персданные (по крайней мере, по отдельности друг от друга): фамилия, имя, отчество, адрес проживания, email, номер телефона, дата рождения.

При этом, если у вас небольшая компания, и вы не уверены, обрабатываете ли персональные данные. Ответ «да» – всегда =)

  1. Вы нанимаете себе сотрудников или подрядчиков, заключаете договор, заполняете формы Т-2.
  2. Вы собираете данные клиентов для заключения договоров/выполнения заказов.
  3. На вашем сайте есть форма обратной связи с полями: ФИО, телефон, email.

Итак, любая компания автоматически является оператором персональных данных (то есть юридическим лицом, осуществляющим обработку). Давайте поговорим о том, как данные правильно обрабатывать и защищать, и что будет, если этого не делать.

Как обрабатывать ПДн, чтобы клиенты были спокойны, а Роскомнадзор не беспокоил

Во-первых, нужно выяснить, какие информационные системы есть в компании и какие специалисты задействованы в их функционировании. Инициатива должна исходить от руководства и ИТ, которые лучше других знают, какие системы используются. К процессу также привлекаются кадровые специалисты, юристы, продавцы.

Чаще всего компании обрабатывают персональные данные сотрудников (соискателей), клиентов, контрагентов.

Главное, что нужно сделать на этом этапе — понять, какие персональные данные обрабатываются, откуда они приходят и куда передаются. То есть нарисовать информационные потоки, связанные с обработкой персональных данных, причем как с автоматизированной, так и с ручной.

Шаг 2. Модель угроз и классификация информационных систем

Классификация. Здесь нам необходимо будет классифицировать наши информационные системы, обрабатывающие персональные данные, и определить актуальные для них угрозы. По результатам классификации мы определяем уровень защищенности информации.

Уровень защищенности персональных данных — это показатель, отражающий требования для обеспечения базовой защиты информации.

Модель угроз. Параллельно с классификацией мы определяем актуальные угрозы для наших систем, которые отражаем в модели угроз.

Модель угроз — это документ, в котором отражены актуальные угрозы, потенциально влияющие на работу конкретной информационной системы.

Результат этапа. Это полный перечень требований по защите персональных данных (уровень защищенности, базовые требования, модель угроз, требования, учитывающие специфику конкретной информационной системы, обрабатывающей персональные данные).

Шаг 3. Меры защиты персональных данных

После того, как мы определили требования, необходимо эти требования реализовать. Защита персональных данных делится на технические и организационные меры. Рассмотрим их подробнее.

  1. Антивирусная защита
  2. Модули разграничения доступа на уровне прикладных систем или сети.
  1. Назначаем ответственного за защиту персональных данных
  2. Утверждаем перечень обрабатываемых и защищаемых данных.
  3. Составляем регламент для сотрудников и знакомим с ним всех под роспись. Например, предупреждаем, что нельзя отправлять по почте сканы паспортов или заявляем о необходимости регулярно обновлять антивирус на рабочем месте.

На данном этапе мы должны разработать Согласие на обработку персональных данных и Политику по обработке персональных данных. Про них поговорим подробнее.

  1. Письменная форма согласия. Требования к пунктам согласия отражены здесь. Обратите внимание, данные требования предъявляются только к письменной форме, при этом письменная форма требуется далеко не во всех случаях.

    Например, при обработке биометрических данных, специальных категорий персональных данных (подробнее о том, что это такое — здесь), при трансграничной передаче.

  2. Когда согласие не нужно. Если вы заключаете договор с клиентом, в рамках которого вы берете с него персональные данные, то согласие брать не требуется.

    Подробнее о таких случаях — тут.

  3. Электронное согласие. В остальных случаях, достаточно электронного согласия.

Политики по обработке персданных. Рекомендации по разработке выпустил Роскомнадзор. Но это лишь рекомендации. Если они вас по каким-то причинам не удовлетворяют, можете руководствоваться другими подходами. Но, если у вас нет своих идей, возьмите предложения регулятора за основу.

Неавтоматизированная обработка персональных данных. Принимая решение, как и где хранить персональные данные на бумаге, можно ориентироваться на специальное постановление.

Шаг 4. Отправка уведомления в Роскомнадзор

Уведомление отправляется через сайте Роскомнадзора, где вводится вся та информация, которую мы собрали на предыдущих шагах. Заполнить и отправить уведомление можно здесь.

Есть случаи, когда уведомление в Роскомнадзор подавать не надо, они оговорены здесь. Обычно эти условия подходят для небольших и средних компаний. То есть не надо в любой непонятной ситуации отправлять уведомление в Роскомнадзор.

Чем грозит невыполнение требований по обработке персональных данных

Мы потратили уже прилично вашего времени, но не ответили на ключевой вопрос: а что же будет, если этого всего не сделать?

Разберем самые распространенные нарушения:

Нехитрый математический подсчет показывает, что если нарушить все пункты, то можно получить совокупный штраф порядка 300 тыс. рублей, о котором часто пишут в статьях. Но это в совокупности, по каждому конкретному нарушению будет меньшая сумма.

Выводы

Вот такие нехитрые шаги позволят вам спать спокойно и обрабатывать персональные данные. В первую очередь важно понимать, кто, где и зачем обрабатывает персональные данные. Это стержень на который наматывается вся остальная обертка, связанная с разработкой документов и доработкой сведений на сайте. Тот, кто познает эту истину, познает дзен.

Основные нормативные документы, касающиеся обработки персональных данных

Источник: https://vc.ru/legal/52958-obrabotka-personalnyh-dannyh-poshagovaya-instrukciya-dlya-kompaniy

Обработка персональных данных контрагентов

Каким образом передаются персональные данные по запросу контрагента

Вопрос: Обязана ли организация принять от своих контрагентов, являющихся физическими лицами, письменное согласие на обработку персональных данных?

Ответ юриста:

Обработка персональных данных контрагентов – физических лиц (в том числе физических лиц, являющихся индивидуальными предпринимателями), с которыми непосредственно у организации заключен договор, может осуществляться без согласия на обработку персональных данных при условии, что эти данные не будут распространяться и предоставляться третьим лицам без согласия субъекта персональных данных и будут обрабатываться только в целях исполнения заключенных с ними договоров (купли-продажи, подряда, оказания услуг и пр.).

Правовое обоснование:

В соответствии со ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее – Закон N 152-ФЗ) персональными данными является любая информация, относящаяся к прямо или косвенно определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных).

Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение, признаются обработкой персональных данных (п. 3 ч. 1 ст. 3 Закона N 152-ФЗ).

Оператором персональных данных, как следует из п. 2 ст. 3 Закона N 152-ФЗ, является лицо, в том числе юридическое, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели их обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с ними.

При этом лицо признается оператором персональных данных вне зависимости от какой-либо регистрации, наличия или отсутствия специальных разрешений, а в силу самого факта осуществления им деятельности по обработке персональных данных.

Случаи, при которых допускается обработка персональных данных без согласия субъекта таких данных, исчерпывающим образом установлены ст. 6 Закона N 152-ФЗ.

Так, допускается обработка персональных данных, если она необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем (п. 5 ч. 1 ст. 6 Закона N 152-ФЗ). По смыслу этой нормы лицо, которому предоставляется возможность обработки персональных данных, является стороной по указанному договору.

В силу ч. 1 ст. 22 Закона N 152-ФЗ до начала обработки персональных данных операторы обязаны уведомить уполномоченный орган по защите прав субъектов персональных данных (далее – уполномоченный орган) о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных ч. 2 ст. 22 Закона N 152-ФЗ.

Так, уведомлять уполномоченный орган не нужно, если персональные данные получены оператором в связи с заключением договора, стороной которого является субъект персональных данных, при том, что персональные данные не распространяются, не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных (п. 2 ч. 2 ст. 22 Закона N 152-ФЗ).

Таким образом, обработка персональных данных контрагентов – физических лиц (в том числе являющихся индивидуальными предпринимателями), с которыми непосредственно у организации заключены договоры поставки (либо оказания услуг и пр.

), может осуществляться без согласия на обработку персональных данных и без уведомления уполномоченного органа при условии, что эти данные не будут распространяться и предоставляться третьим лицам без согласия субъекта персональных данных и будут обрабатываться только в целях заключения с ними соответствующих договоров (определение СК по гражданским делам Московского городского суда от 06.04.2012 N 33-8687).

Если же организация намерена осуществлять обработку персональных данных в иных случаях, не связанных с исполнением договора, то она обязана получить согласие на обработку персональных данных.

Несмотря на то, что в рассматриваемом случае оператор подпадает под исключение и не обязан получать согласие субъекта персональных данных на обработку и уведомлять Роскомнадзор о работе с персональными данными, это не освобождает его от необходимости применения мер по защите персональных данных. Лица, виновные в нарушении требований Закона N 152-ФЗ, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность (ст. 24 Закона N 152-ФЗ).

_______________________

Правовая информация приведена по состоянию на дату консультации – 02.12.2013

Источник: http://parma-legal.ru/nashi-konsultatcii/2014-05-20/obrabotka-personalnykh-dannykh-kontragentov

Проверка Роскомнадзора по защите персональных данных: как подготовиться и избежать штрафов

Каким образом передаются персональные данные по запросу контрагента

Согласно Федеральному закону №294-ФЗ плановая проверка Роскомнадзора осуществляется не чаще 1 раза в 3 года.

Таким образом, если в указанный период в вашей компании она проводилась и в дальнейшем вы не допускали каких-либо нарушений, в ближайшее время ожидать проверки не стоит.

Если же за последние 3 года инспекторы не были у вас в гостях, то самое время подготовиться к их визиту. Тем более что в настоящее время Госдума рассматривает законопроект о значительном увеличении штрафов за нарушения в обработке персональных данных.

Виды проверок Роскомнадзора

Проверки Роскомнадзора бывают плановыми и внеплановыми, документарными и выездными.

– Плановая проверка

О плановых проверках Роскомнадзор предупреждает заранее. За 3 дня по почте приходит  уведомление, в котором указано, какого числа будет проверка. Но каждая компания может заранее узнать, включена ли она в список тех, кого будут проверять в текущем году. План проверок опубликован на сайте Роскомнадзора.    

– Внеплановая проверка

Часто проводится по жалобам физических лиц. Например, люди могут жаловаться на нежелательную рекламную рассылку, SMS-спам, назойливые телефонные звонки. О внеплановой проверке Роскомнадзор предупреждает за 24 часа.

– Документарная проверка

В этом случае Роскомнадзор запрашивает список документов, копии которых необходимо отослать в территориальный орган Роскомнадзора.

– Выездная проверка

При выездной проверке в компанию приезжают инспекторы. Обычно несколько человек. Инспекторы на месте проверяют, как компания выполняет требования Федерального закона №152-ФЗ.

В случае и с плановой, и с внеплановой проверкой у компании слишком мало времени на то, чтобы подготовиться и исправить все нарушения. Поэтому делать все нужно заранее.

Как выполнить требования законодательства и подготовиться к проверке Роскомнадзора?

Федеральный закон №152-ФЗ требует от компаний выполнения определенных организационных, правовых и технических требований.

Чтобы выполнить их самостоятельно, нужно изучить не только сам закон, но и его подзаконные акты, разобраться в том, какие именно меры необходимо предпринять.

Но можно поступить проще — привлечь специалиста на аутсорсинге, который выполнит объем необходимой работы: изучит все процессы обработки персональных данных в компании, составит необходимые документы, внедрит средства защиты и т д.

Если привлечение внешнего специалиста для вас дорого, сделайте выбор в пользу бюджетного варианта и используйте специальные онлайн-сервисы для выполнения законодательства о персональных данных.

Если же вы решили действовать самостоятельно, то вам придется выполнить несколько шагов:

  1. Для начала найдите в компании человека, который будет следить за выполнением законодательства в области персональных данных. Часто в компаниях малого и среднего бизнеса эта функция делегируется бухгалтеру, кадровику или юристу. Реже ее берет на себя руководитель. В крупных компаниях вопросами защиты информации может заниматься целый отдел.
  2. Назначьте ответственного за организацию обработки персональных данных в компании. Скорее всего, это будет тот же человек, который  занимается вопросами персональных данных.
  3. Изучите процесс обработки персональных данных в компании, например, какие персональные данные компания собирает, в каких целях. Компания может собирать персональные данные работников для выполнения трудового законодательства или данные клиентов для выполнения заключенных с ними договоров, ей также могут понадобиться персональные данные соискателей на вакантные должности. Возможно, компания передает эти данные в другую организацию,  например, данные сотрудников в бухгалтерию.
  4. На основе полученной информации разработайте пакет документов, включающий политику компании в отношении обработки персональных данных, положение по неавтоматизированной обработке, приказ о назначении ответственных и ряд других положений, приказов, инструкций и актов. Разработанные документы необходимо утвердить.
  5. Обязательно ознакомьте с утвержденными документами всех работников, которые имеют к ним отношение. Например, с положением по неавтоматизированной обработке нужно ознакомить только тех работников, которые работают непосредственно с бумажными документами, содержащими персональные данные.
  6. Основной документ — политику компании в отношении обработки персональных данных — разместите в общедоступном месте, чтобы каждый желающий мог ее прочесть. Лучше всего копию документа разместить на информационном стенде. Если у компании есть сайт, на котором собираются персональные данные пользователей, например, ФИО, телефон и e-mail для регистрации, то на сайте также нужно разместить политику, причем в том месте, где она будет заметна пользователю.
  7. Подайте уведомление в Роскомнадзор об обработке персональных данных. Уведомление оформляется в двух видах — электронном и печатном. 

Чтобы выслать уведомление в электронном виде, нужно на сайте Роскомнадзора заполнить электронную форму. После отправки электронного уведомления, распечатайте форму и отправьте ее по почте в территориальный орган Роскомнадзора.

В течение 30 дней Роскомнадзор рассмотрит ваше уведомление и добавит компанию в реестр операторов. Присутствие компании в реестре свидетельствует не только о выполнении одного из требований Федерального закона №152-ФЗ, но и о добропорядочности и прозрачности деятельности компании, что важно для контрагентов.

Проверка Роскомнадзора: на что обращают внимание инспекторы?  

Прежде всего, инспекторы захотят ознакомиться со всеми необходимыми документами. Первое, на что обратят внимание проверяющие, — подавала ли компания уведомление в Роскомнадзор. Компания, которая не отправила уведомление и не попадает под исключения закона, будет привлечена к ответственности.

Какие персональные данные можно обрабатывать без уведомления:

  1. данные, которые обрабатываются в соответствии с трудовым законодательством;
  2. данные, полученные оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
  3. данные, относящиеся к членам (участникам) общественного объединения или религиозной организации и обрабатываемые соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством РФ, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
  4. данные, сделанные субъектом персональных данных общедоступными;
  5. данные, включающие в себя только фамилии, имена и отчества субъектов персональных данных;
  6. данные, необходимые в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
  7. данные, включенные в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
  8. данные, обрабатываемые без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.
  9. данные, обрабатываемые в случаях, предусмотренных законодательством о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Если уведомление было подано в Роскомнадзор, при проверке инспекторы будут ориентироваться на него и сравнивать его с реальными процессами обработки персональных данных в компании. Если информация не соответствует действительности, например, после подачи уведомления в компании поменялся ответственный за организацию обработки персональных данных, ее могут оштрафовать за то, что в Роскомнадзор вовремя не было отправлено информационное письмо о произошедшем изменении.

Роскомнадзор просматривает сайт компании. Если на сайте организован сбор информации (ФИО, телефон, электронный адрес пользователя), но не опубликована политика компании в отношении обработки персональных данных, компанию могут оштрафовать.

Во время проверки Роскомнадзор может попросить формы документов, в которых содержатся персональные данные. Например, это могут быть анкеты для соискателей вакантных должностей. Сами формы нужно подготовить заранее. Инспекторам также может быть интересна форма согласия на обработку персональных данных.

Роскомнадзор обращает особое внимание на обработку специальных категорий персональных данных.

К ним относится информация о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни.

Такие данные можно собирать только с письменного согласия человека и только на законных основаниях, например, если информация о состоянии здоровья работника нужна работодателю для понимания того, сможет ли он выполнять свои трудовые функции.

Если компания передает персональные данные другим компаниям (например, банкам в рамках зарплатного проекта), то следует  обратить внимание на то, как составлен договор с этими компаниями. Согласно ч.3 ст.

6 №152-ФЗ в договоре должно быть прописано следующее: с какой целью передаются персональные данные другой компании, какие действия она будет совершать с ними, обязанность компании обеспечивать конфиденциальность и безопасность полученных персональных данных.

В договоре должно быть указано, что компания, которой передаются персональные данные, принимает правовые, организационные и технические меры для защиты персональных данных. Роскомнадзор обязательно попросит копию договора.

В помещения, в которых обрабатываются персональные данные, должен быть контролируемый доступ. Это значит, что, например, клиент банка не должен иметь возможности подсмотреть персональные данные. Они могут быть доступны только работникам, которые имеют допуск к их обработке.

Также нужно обеспечить раздельное хранение документов, содержащих персональные данные разных физических лиц. То есть личные данные работников должны храниться отдельно от договоров с клиентами.

Это могут быть запираемые шкафы или сейфы. В конце рабочего дня документы должны быть убраны.

Если Роскомнадзор во время проверки увидит разбросанные документы с персональными данными на столах работников, к компании возникнут вопросы.

В целом проверка Роскомнадзора не так страшна, как многим кажется. Если в компании документы поддерживаются в актуальном состоянии, подано уведомление и информация в нем соответствует реальности, в компании приняты все организационно-правовые меры, то контролирующему органу придраться будет не к чему.

Елена Республиканская

Источник: https://kontur.ru/articles/1775

Что такое согласие на передачу персональных данных третьим лицам?

Каким образом передаются персональные данные по запросу контрагента

При взаимодействии с разными организациями граждане подписывают согласие на обработку своих персональных данных. Одним из пунктов такого документа является согласие на передачу своих персональных данных оператором третьим лицам (третьей стороне).

Зачем передавать персональные данные третьим лицам?

Третьими лицами могут быть организации или сотрудники оператора обработки персональных данных, которые участвуют в правоотношениях гражданина (субъекта данных) и оказывающей услуги организации.

Третьи лица могут выполнять непосредственные обязанности по договору (например, по трудовому договору), а также оказывать дополнительные услуги, сопутствующие или дополнительно возникающие при реализации условий договора.

Многие организации гордятся своими дополнительными трудовыми условиями под названием “социальный пакет”.

В социальный пакет может входить дополнительное медицинское обслуживание, спортивный отдых, обеспечение досуга сотрудников и многое другое, что является дополнительным и может обеспечиваться сторонними организациями, которым потребуются персональные данные сотрудников. Организация, в которой сотрудники работают, может передать их персональные данные на основании разрешения о передаче этих данных третьим лицам.

Передача данных третьим лицам в трудовых отношениях может быть осуществлена при использовании работодателем услуг кадрового или бухгалтерского аутсорсинга, проведении исследований эффективности менеджмента сторонними специалистами и другое.

Третьим лицам не нужно получать разрешение на обработку персональных данных у сотрудника организации, передавшей его данные в связи с какой-нибудь целью.

Особенности оформления согласия на передачу персональных данных третьим лицам

О чем не нужно волноваться?

Иногда субъект персональных данных опасается того, что выдавая разрешение на передачу персональных данных третьим лицам организация сразу начнёт их распространять, вплоть до продажи разным организациям – это ошибочное мнение.

В Федеральном законе “О персональных данных” закреплён принцип целевой обработки данных – это означает, что при получении согласия на обработку персональных данных оператором должны быть обозначены цели, в соответствии с которыми возможна обработка.

2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.статья 5 Федерального закона от 27.07.2006 №152-ФЗ.

Оператор обработки персональных данных не может передавать персональные данные граждан любым третьим лицам по любому запросу, а может осуществлять только передачу данных для целевых обработок, обозначенных при заключении договора и получении согласия субъекта на обработку персональных данных.

Условия передачи персональных данных третьим лицам должны быть указаны конкретно и полно в тексте письменного согласия. В таком согласии должно быть указано каким организациям и в каких целях будет передаваться персональная информация. Любая передача данных, являющаяся дополнительной для осуществления правоотношений (трудовых, гражданских), должна быть сформулирована в тексте согласия.

Если в тексте согласия указано просто “передача данных третьим лицам”, то это неполная формулировка условий обработки данных, которая может подразумевать передачу персональных данных только для выполнения существенных условий договора (трудового или гражданского).

Существенными условиями являются такие условия, без которых невозможна реализация правоотношений по заключённому договору.

Для получения организацией данных о сотруднике или клиенте другой организации (проверка данных) или передаче персональных данных по запросу другим организациям нужно письменное согласие этого сотрудника или клиента, позволяющее установить факт информированности субъекта о целях и объеме передачи его персональных данных.

Дополнительные материалы по теме этой статьи:

  • Можно ли уволить работника за отзыв согласия на обработку персональных данных?
  • Что нужно знать об управлении согласием на обработку персональных данных?

5 марта 2021 года (редакция текста 28 июня 2021 года).

юрист Демешин Сергей Владимирович.

Участвуйте в обсуждении, пройдите опрос об интересных темах будущих публикаций (ссылка опроса в описании канала, также в описании указаны правила комментирования публикаций).

Источник: https://zen.yandex.ru/media/info_law_society/chto-takoe-soglasie-na-peredachu-personalnyh-dannyh-tretim-licam-5e60e78397b4e60aa6191588

Ифнс запросила данные по контрагенту или сделке: когда это правомерно, и что будет, если не ответить на требование

Каким образом передаются персональные данные по запросу контрагента

  • Новости
  • Проверки и санкции

Ифнс запросила данные по контрагенту или сделке: когда это правомерно, и что будет, если не ответить на требование

21 мая 2021 Алексей Крайнев Юрист по налоговым, трудовым и гражданским правоотношениям

В прошлой статье мы подробно обсудили вопрос о законности требований, выставляемых налоговиками в рамках выездных и камеральных проверок (см. «ИФНС требует документы: на какие запросы нужно ответить, а какие можно игнорировать»).

Однако бухгалтерам приходится исполнять и те запросы, которые поступают вне рамок проверок их организаций. Речь идет о предоставлении сведений по контрагентам и в отношении конкретных сделок.

Какие полномочия Налоговый кодекс дает налоговикам по истребованию документов и информации в таких ситуациях? Какие последствия грозят тем, кто проигнорирует подобные требования? Давайте разбираться.

«Внепроверочные» запросы могут поступать в бухгалтерию в двух ситуациях. Во-первых, такие запросы вправе инициировать инспекция, которая осуществляет налоговую проверку контрагента (то есть другого налогоплательщика, который связан с адресатом запроса).

Во-вторых, инспекция может запросить документы или информацию вообще вне рамок какой-либо налоговой проверки, а в ходе других мероприятий налогового контроля. Но в этом случае круг ее интересов законодательно органичен конкретной сделкой.

Остановимся на каждом из этих оснований подробнее.

Запросы при проверке контрагента

Порядок запроса у налогоплательщика информации при проверке его контрагента урегулирован статьей 93.1 НК РФ. В этой статье установлено, что можно требовать в такой ситуации, а также определена процедура направления требования. Начнем с описания данной процедуры.

Направление требования

Налогоплательщику, который получил такой запрос, нужно учитывать, что в подавляющем большинстве случаев его инициатором выступает не «родная» ИФНС, а тот налоговый орган, в котором состоит на учете его контрагент. Однако само требование по правилам статьи 93.1 НК РФ направляет «своя» инспекция. Именно поэтому к требованию, которое выставила «своя» ИФНС, должна прилагаться копия поручения от инспекции-инициатора запроса.

Бесплатно получать требования из ИФНС и отправлять запрошенные документы через интернет

Без этой копии требование может быть направлено только в одном случае: когда проверяемый налогоплательщик и адресат запроса состоят на учете в одной ИФНС (т.е. инспекция-инициатор запроса совпадает с инспекцией, направившей требование).

В таком случае ИФНС не дает себе никакого поручения и, соответственно, копия поручения к требованию не прикладывается (письмо ФНС России от 16.12.14 № ЕД-4-2/26018, постановление ФАС Северо-Западного округа от 18.01.08 по делу № А26-1964/2007).

Отметим, что копия поручения — весьма полезный для налогоплательщика документ. Так, из нее можно узнать, при проведении какого именно мероприятия налогового контроля налоговикам потребовались документы и информация.

Также данная копия позволяет проверить, соответствуют ли сведения, которые запрашивает «своя» ИФНС, поручению инспекции-инициатора запроса.

Ведь судебная практика исходит из того, что в подобной ситуации требование о предоставлении документов (информации) составляется на основании поручения и не может выходить за его рамки. А значит, если истребуются документы, не указанные в копии поручения, такое требования является незаконным в соответствующей части (постановления ФАС Уральского округа от 27.01.12 № Ф09-8983/11 и ФАС Московского округа от 26.03.09 № КА-А40/2089-09).

В то же время следует учитывать, что если инспекция не приложит к требованию копию поручения, суд может не признать это грубым процедурным нарушением (постановление ФАС Уральского округа от 19.05.08 № Ф09-3423/08-С3).

Поэтому мы не советуем игнорировать требование о предоставлении документов (информации) только лишь потому, что к нему не приложена копия поручения. А вот обжаловать такое требование вполне возможно.

Если суд сочтет его незаконным, налогоплательщик сможет потребовать возмещения расходов на исполнение такого требования в порядке, предусмотренном статьей 35 НК РФ.

требования

Что касается содержания требования, связанного с проверкой контрагента, то тут практика исходит из фактически полной вседозволенности для налоговиков.

Дело в том, что в НК РФ для этого случая вообще нет каких-либо ограничений ни по составу запрашиваемых документов (информации), ни по кругу лиц, у которых можно их потребовать.

Основываясь на этом, суды рассматривают споры о праве ИФНС запрашивать те или иные сведения по контрагентам.

Проверить контрагента на признаки фирмы‑однодневки

Так, Арбитражный суд Уральского округа указал, что в своих запросах ИФНС не ограничена документами, касающимися первого контрагента проверяемого налогоплательщика. Это значит, что подобные требования могут быть направлены также контрагентам второго, третьего и последующего звена (постановление от 02.08.18 № Ф09-4001/18).

А судьи Дальневосточного округа разъяснили, что статья 93.1 НК РФ не ограничивает перечень запрашиваемых документов (информации) только теми, которые по правилам НК РФ являются основанием для исчисления и уплаты (удержания и перечисления) налогов и сборов.

Поэтому ИФНС может затребовать абсолютно любые документы (любую информацию) по проверяемому налогоплательщику.

В том числе и те, которые не связаны напрямую с подтверждением правильности исчисления и своевременности уплаты (удержания и перечисления) налогов и сборов (постановление ФАС Дальневосточного округа от 25.07.18 № Ф03-2969/2021).

Также нет ограничений и по форме истребуемых данных — ИФНС на законных основаниях может потребовать информацию в форме пояснений (постановление ФАС Дальневосточного округа от 17.06.14 № Ф03-1810/2014).

При этом налоговики не обязаны обосновывать свои требования и доказывать, что запрошенные сведения действительно необходимы при проверке контрагента (постановление Арбитражного суда Северо-Западного округа от 21.05.18 № Ф07-4963/2021).

Так, Арбитражный суд Московского округа признал правомерным запрос данных об IP-адресах контрагентов, указав, что эти данные могут использоваться для определения признаков взаимозависимости и согласованности действий налогоплательщиков.

А значит, они связаны с проверкой и затребованы правомерно (постановление от 05.03.19 № Ф05-1297/2021).

Провести автоматическую сверку счетов‑фактур с контрагентами

Также нет ограничений и по периоду проверки контрагента, в связи с которой запрашиваются документы или информация.

По мнению судов, вопрос о том, относятся ли конкретные документы к проверяемому налогоплательщику, а также круг устанавливаемых при помощи этих документов обстоятельств находится исключительно в компетенции ИФНС (постановление Арбитражного суда Московского округа от 13.09.

18 № Ф05-14465/2021). При этом инспекция не обязана разъяснять адресату запроса связь этих документов с проводимой проверкой. Достаточно лишь указать на данное обстоятельство в требовании.

Таким образом, тот факт, что запрашиваемые по контрагенту документы относятся к периоду, который не охвачен проверкой, не освобождает организацию от исполнения требования (постановление Арбитражного суда Поволжского округа от 16.01.19 № Ф06-41326/2021).

Также нужно учитывать, что налоговики вправе запрашивать документы и в том случае, если в них содержатся персональные данные третьих лиц (в т.ч. работников организации). Основание — положения подпунктов 1 и 4 пункта 1 статьи 6 Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных».

Из данных норм случает, что обработка персональных данных может осуществляться без согласия субъекта персональных данных, если она необходима для исполнения полномочий федеральных органов исполнительной власти. (См. также п. 3 разъяснений Роскомнадзора от 14.12.

12 «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»). А налоговые органы как раз и являются одним из федеральных органов исполнительной власти (указ президента России от 15.05.18 № 215).

Таким образом, ссылка на то, что запрошенные документы содержат персональные данные, не освободит от штрафа за непредставление этих бумаг (письмо Минфина России от 09.10.12 № 03-02-07/1-246, см. «Налоговики вправе затребовать у организации штатное расписание и приказы о направлении работников в командировки к проверяемому налогоплательщику»).

Определить вероятность выездной налоговой проверки и получить рекомендации по налоговой нагрузке

Сведения по конкретной сделке

Теперь рассмотрим второй случай направления «внепроверочных» требований. Речь идет о запросе данных по конкретной сделке, которая вызвала интерес у налоговиков (п. 2 ст. 93.1 НК РФ). Налоговый кодекс не разъясняет термин «конкретная сделка». А значит, придется снова обратиться к судебной практике.

https://www.youtube.com/watch?v=610i3xs5uf4

Как указал Арбитражный суд Северо-Кавказского округа, пункт 2 статьи 93.1 НК РФ обязывает налогоплательщиков представлять документы и информацию по конкретным договорам с конкретными контрагентами. При этом налогоплательщик, к которому поступил запрос, может и не являться стороной такого договора (постановление от 22.02.19 № Ф08-213/2021).

Данный подход означает, что налоговики не могут запросить сведения в отношении операций, которые совершаются вне рамок договоров (сделок). Например, в отношении операций по получению бюджетных субсидий или в отношении операций по выплате дивидендов, внесению вкладов в имущество организации или ее уставный капитал (см. письмо Минфина России от 17.07.13 № 03-01-18/28094).

На этом запреты, пожалуй, заканчиваются. Как и в случае с запросом данных по контрагентам, никаких ограничений по составу документов или информации, которые можно затребовать в отношении конкретной сделки, НК РФ не содержит.

Также не запрещено истребовать документы или информацию по нескольким сделкам (определение Верховного суда РФ от 26.10.17 № 302-КГ17-15714). При этом, как уже отмечалось, круг лиц, у которых можно запросить документы (информацию) на основании пункта 2 статьи 93.

1 НК РФ, фактически не ограничен: адресатом может быть как участник сделки, так и иные лица, располагающие нужными данными по сделке.

В то же время на основании пункта 2 статьи 93.1 НК РФ нельзя истребовать документы (информацию), которые непосредственно не относятся к конкретной сделке. Согласно форме требования о представлении документов (информации), утвержденной приказом ФНС России от 07.11.

18 № ММВ-7-2/628@, в требовании должны быть указываться сведения, позволяющие идентифицировать эту сделку, в отношении которой запрашиваются данные (письмо Минфина России от 15.10.18 № 03-02-07/1/73833, см.

«Встречная» проверка: должны ли инспекторы указывать реквизиты истребуемых документов»).

Но при этом к вопросу идентификации сделки суды также относятся достаточно вольно: инспекция вовсе не обязана указывать в требовании реквизиты (дату, номер) договора или сделки. Достаточно обозначить стороны и тип договора.

Требование является обоснованным, если на основании перечня запрашиваемых документов налогоплательщик в состоянии сам определить всю информацию, идентифицирующую конкретную сделку (постановление Арбитражного суда Уральского округа от 27.09.

18 № Ф09-5656/18).

Бесплатно получать требования из ИФНС и отправлять запрошенные документы через интернет

Штрафы за неисполнение требования

И в завершение разговора о «внепроверочных» требованиях коротко расскажем об ответственности за их неисполнение. Тут нужно учитывать два момента.

Первый момент — налогоплательщик обязан отреагировать на требование  ИФНС о представлении документов, даже если считает его незаконным.

Судебная практика исходит из того, что у получателя такого требования есть всего три законных варианта действий: известить инспекцию об отсутствии запрошенных документов, исполнить требование в установленный срок, либо обратиться в инспекцию с заявлением о продлении срока представления документов.

Если налогоплательщик (организация или ИП) не совершит ни одного из этих действий, то ИФНС может оштрафовать его на 10 тыс. рублей на основании пункта 2 статьи 126 НК РФ (постановление Арбитражного суда Западно-Сибирского округа от 28.06.18 № Ф04-1872/2021).

Также напомним, что положения статей 137 и 138 НК РФ не предусматривают приостановление срока на исполнение требования в случае его обжалования в вышестоящем управлении ФНС. А значит, если обжалование не приведет к отмене требования, которое не было исполнено в срок, то организация может быть оштрафована на вполне законных основаниях.

Второй момент, о котором нужно помнить при получении «внепроверочных» требований, связан с возможным увеличением штрафа за неисполнение запроса, содержащего одновременно требование о представлении документов и требование о направлении информации.

Суды полагают, что в такой ситуации налогоплательщик может быть оштрафован за неисполнение каждой части такого запроса (п. 6 ст. 93.1 НК РФ). При этом штраф за непредставление документов налагается по пункту 2 статьи 126 НК РФ и составляет, как уже говорилось, 10 тыс. рублей.

А штраф за непредоставление информации налагается по статье 129.1 НК РФ и составляет 5 тыс. рублей (постановление Арбитражного суда Восточно-Сибирского округа от 12.11.18 № Ф02-5065/2021).

Соответственно, подходить к исполнению такого запроса надо с особой тщательностью, не оставляя без внимания каждую из его частей.

Обратите внимание: облегчить и ускорить процесс пересылки документов в инспекцию можно с помощью специальных сервисов, например, веб-сервиса «Коннектор Контур.Экстерн».

Он дает возможность направить налоговикам десятки тысяч электронных документов единовременно, при этом в час уходит примерно 9 тысяч документов.

Через «Коннектор» можно передавать в ИФНС любые электронные документы, созданные по утвержденным форматам (например, счета-фактуры, накладные ТОРГ-12 и проч.), а также скан-образы любых документов, созданных на бумажном носителе: актов, договоров, платежек и др.

Подключиться к системе «Контур.Экстерн»

Источник: https://www.BuhOnline.ru/pub/comments/2021/5/14664

Обработка персональных данных юридического лица | Субъект персональных данных

Каким образом передаются персональные данные по запросу контрагента

Иногда при анализе норм, регламентирующих правила обработки персональных данных, возникает вопрос о персональных данных юридического лица. Вопрос наличия согласия на их обработку может стать принципиальным при заключении различных гражданско-правовых договоров.

Имеет ли юридическое лицо персональные данные

Законодательство очень конкретно подводит под понятие «персональные данные» только ту информацию, которая прямо или косвенно относится к конкретному гражданину, физическому лицу, и позволяет прямо его идентифицировать. Такое понимание содержится в Федеральном законе «О персональных данных». К ПД может быть отнесена абсолютно любая информация – от паспортных данных до адреса электронной почты.

Применительно к юридическому лицу перечень идентифицирующих его сведений является исчерпывающим, практически все они, кроме места жительства и паспортных данных руководителя, учредителя и доверенного лица, осуществляющего юридически значимые действия по регистрации, содержатся в ЕГРЮЛ.

Таким образом, в рамках выполнения своей функции по регистрации юридического лица налоговая инспекция получает персональные данные физического, при этом гражданин не подписывает согласия на обработку и понимает, что в определенных ситуациях эти сведения могут быть предоставлены третьим лицам. Фактически они не являются ПД именно юридического лица, но в отношении них режим конфиденциальности определяется нормами закона «О регистрации», такие сведения могут быть предоставлены только в установленных им случаях.

Вся остальная информация юридического лица, не являющаяся общедоступной, имеет иной статус конфиденциальности, она может охраняться нормами законодательства, регулирующими коммерческую тайну.

Передача персональных данных юридическим лицом на обработку другим лицам

Концепция персональных данных выросла из американской модели «прайвеси», или права на приватность, и Декларации прав человека, на базе его информационных прав. К ним относятся:

  • право на получение нужных ему данных, например, от государственных органов;
  • право на защиту сведений своей частной жизни от других лиц.

Соответственно, ключевым является определение «частной жизни», которой не может быть у юридического лица.

Но, трактуя термин «персональные данные юридического лица» шире, к ним можно отнести те сведения о гражданах, которые компания получает в ходе своей деятельности и так или иначе обрабатывает.

В ряде случаев такие данные передаются для обработки иным юридическим лицам.

Примером может быть осуществление онлайн-платежей, когда данные плательщика получают платежная система, банк и оператор – интернет-магазин или другое лицо. 

Аналогичная ситуация возникает при передаче банком данных страховой компании при оформлении кредитного договора.

Иной случай связан с передачей сведений фирме, оказывающей услуги по аутсорсингу бухгалтерии или кадрового документооборота.

Во всех случаях гражданин дает свое согласие на обработку персональных данных одному юридическому лицу, а осуществляется она вторым или третьим, о чем гражданин не информируется.

Третьим случаем будет хранение сведений на облачных ресурсах.

Фактически информация находится в распоряжении третьих лиц, при этом ситуация не всегда регламентируется в договорных взаимоотношениях между сторонами, заказывающими и предоставляющими услуги.

Это актуально особенно в тех случаях, когда владелец облака технически не оборудовал свою информационную систему необходимыми средствами защиты персональных данных в соответствии с законодательством.

Таким образом, юридическое лицо, исходя из норм закона не имеющее собственных персональных данных, осуществляет некоторые правомочия в отношении данных граждан. В ряде случаев оно распоряжается ими неосмотрительно, должным образом не производя их защиту при передаче и даже не включая информацию о такой возможности в согласие на обработку.

Персональные данные юридического лица в договорах на их обработку

Следует учитывать, что если сведения, переданные гражданином фирме, будут распространены ее контрагентами, наибольшую ответственность понесет именно то лицо, в пользу которого было подписано согласие. Ответственность может быть:

  • гражданско-правовой, в виде взыскания убытков или морального вреда. Сейчас часты иски с такими требованиями при передаче банками информации о гражданах коллекторским агентствам;
  • административной, в виде штрафа, например, за нарушение оговоренных в уведомлении, подаваемом оператором в Роскомнадзор, целей обработки. Штрафы в России пока невысоки. В Европе за нарушение норм нового Регламента защиты данных на компанию может быть наложен штраф в размере до 20 миллионов евро или до 4 % от годового мирового оборота компании за предыдущий финансовый год;
  • уголовной, наступающей, когда неправомерный сбор или распространение данных причинили существенный ущерб.

Во избежание этих рисков в договоры с контрагентами обязательно нужно вносить нормы об ответственности за ненадлежащую обработку персональных данных. Следовательно, система защиты должна выглядеть следующим образом:

1.изучение системы технической защиты информации контрагента в случае, если передаваемые данные имеют существенный объем или повышенную ценность (медицинская информация, финансовые сведения). При необходимости заключение с провайдером облачных услуг соглашения об усилении степени защиты;

2.включение в согласие на обработку персональных данных всех контрагентов, которым предполагается передавать сведения. Об этой необходимости говорит судебная практика;

3.внедрение в компании режима защиты коммерческой тайны. Отнесение к ней персональных данных, имеющихся в распоряжении фирмы, как сотрудников, так и клиентов;

4.включение в договоры с контрагентами нормы о сохранности коммерческой тайны и штрафов за любое неправомерное ее использование.

Юридическое лицо не имеет собственных персональных данных, но оно пользуется информацией, доверенной ему гражданами. Контроль за переданными оператору персональных данных сведениями должен осуществляться и на уровне построения систем информационной безопасности, и на уровне выстраивания взаимоотношений с лицами, которым сведения предоставляются в целях обработки.

Источник: https://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/obrabotka-personalnyh-dannyh/yuridicheskogo-litsa/

О ваших правах
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: