Четыре изменения в работе с персданными, которые касаются всех
С 1 марта уничтожать персональные данные нужно по новым правилам, а еще придется оценивать потенциальный вред при работе с личными сведениями. Кроме того, чиновники установили новые сроки подачи уведомлений об обработке и требуют, чтобы компании и ИП получали специальное разрешение, если передают сведения о физлицах за границу. Выполнить новые требования и ничего не упустить помогут образцы и таблица из этой статьи.
Оформляйте уничтожение персданных актом
Теперь компании и ИП обязаны фиксировать в акте факт уничтожения персональных данных (приказ Роскомнадзора от 28.10.2022 № 179). Такой акт нужно составить и хранить в течение трех лет, к примеру, если клиент отозвал свое согласие на обработку или истек срок согласия, либо данные неполные, неточные, устарели, незаконно получены или не относятся к целям обработки. Если вы не уничтожили такие данные по запросу физлица, рискуете получить штраф от Роскомнадзора. Штраф на директора или ИП — от 20 000 до 40 000 руб., для компании — от 50 000 до 90 000 руб. (ч. 5 ст. 13.11 КоАП).
Раньше чиновники лишь рекомендовали составлять акт о прекращении обработки персданных либо регистрировать факт уничтожения в специальном журнале (ответы Роскомнадзора на вопросы в сфере защиты прав субъектов персональных данных от 11.08.2021).
Теперь из категории рекомендованных документов акты перешли в категорию обязательных. Причем обойтись только актом вы сможете, если обрабатываете персданные на бумаге. А вот если работаете с такой информацией на компьютере, то есть обрабатываете автоматически, от вас потребуют сведения из системы. Дополнительно подготовьте с помощью ИТ-специалистов выгрузку из журнала регистрации событий в информационной системе. Примерами такой системы могут быть кадровая или бухгалтерская учетная программы, корпоративный сайт компании, Google Документы, Яндекс Диск и даже таблица в Excel, которая содержит данные сотрудников.
Акт об уничтожении данных может составить один сотрудник. Например, кадровик или бухгалтер. Либо это можно сделать с помощью комиссии. Форму акта и выгрузки утвердите приказом. Чиновники Роскомнадзора конкретный образец не привели, но указали, что в нем должно быть. Мы подготовили шаблон с учетом всех требований.
- Форма акта
Форма акта
Шаблон акта разработан с учетом требований Роскомнадзора, поэтому его можно смело использовать в работе.- Система
Система
Если обрабатываете данные на компьютере, укажите информационную систему, в которой хранились уничтоженные данные.
храните акты об уничтожении персданных и выгрузки из журнала
Выгрузка из журнала должна содержать Ф. И. О. и другие сведения о физлице, чьи данные уничтожены, перечень уничтоженных сведений, наименование информационной системы, причину и дату уничтожения данных (п. 5 приказа Роскомнадзора № 179).
Оцените степень возможного вреда при работе с персданными
В Законе о персданных перечислены технические и организационные меры, которые компании и ИП должны обеспечить для защиты личных сведений (ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ). Теперь Роскомнадзор расширил этот список и предписал компаниям оценивать в специальном акте вред, который может возникнуть, если нарушить Закон о персданных (приказ Роскомнадзора от 27.10.2022 № 178).
Такой акт в компании должен храниться постоянно на случай плановой или внеплановой проверки Роскомнадзора. Как часто нужно обновлять акт, ведомство не уточнило. Но по смыслу Закона о персданных обновлять акт требуется, если в компании изменилась степень потенциального вреда, который может быть нанесен при работе с персданными. Например, если компания ввела пропускной режим с использованием биометрических данных посетителей. Как определить степень возможного вреда при обработке личных данных, расскажем далее.
Всего существует три степени потенциального вреда — высокая, средняя и низкая. При оценке нужно учитывать: какие данные обрабатываете, с какой целью и каким способом. Считается, что небольшой вред, то есть низкий уровень, возможен, если речь идет об обработке общедоступных данных. Либо если передали обязанность по обработке персданных российской компании на аутсорсинг. В иных случаях вред будет средним или высоким. Специальная таблица ниже поможет определить степень возможного вреда. Посмотрите на галочки, которые стоят напротив ситуаций, подходящих для вашей компании. Если для вашей организации одновременно подходят разные степени вреда, к примеру средний, поскольку публикуете персданные на сайте, и высокий — потому что обрабатываете биометрические данные, то выбирайте высокую степень вреда (п. 6 приказа Роскомнадзора № 178).
Таблица, чтобы оценить степень вреда при работе с персданными
| Особенности обработки | Степень вреда | ||
|---|---|---|---|
| высокая | средняя | низкая | |
| Какие данные обрабатываете | |||
| Биометрические. Например, фотографии, отпечатки пальцев | ✓ | ||
| Специальные категории данных. Например, о состоянии здоровья, вредных привычках | ✓ | ||
| Несовершеннолетних работников или клиентов | ✓ | ||
| Какая цель обработки данных | |||
| Обезличиваете персданные. Например, для проведения оценочных исследований, оказания услуг по прогнозированию поведения потребителей. Исключение: если обрабатываете персданные в статистических или исследовательских целях | ✓ | ||
| Обрабатываете персданные в дополнительных целях, которые отличаются от первоначальной цели сбора | ✓ | ||
| Каким способом обрабатываете | |||
| Иностранным лицом по поручению компании | ✓ | ||
| С использованием баз данных за пределами РФ | ✓ | ||
| Публикуете персданные на сайте, предоставляете данные неограниченному кругу лиц | ✓ | ||
| Продвигаете товары, работы или услуги путем прямых контактов с потребителями. Причем хранилище с персданными таких потребителей принадлежит другому лицу | ✓ | ||
| Получили согласие на обработку без идентификации клиента или другого физлица | ✓ | ||
| Назначили ответственным за обработку персданных не штатного сотрудника | ✓ | ||
| Ведете общедоступные источники персданных. Например, справочники | ✓ | ||
После того как оцените степень вреда, оформите акт в бумажном или электронном виде. Документ составляют ответственный за обработку персданных или комиссия. Что указать в акте, смотрите на образце 2.
- Степень вреда
Степень вреда
Если установите, что компания несет разные степени вреда, указывайте в акте более высокую степень.- Осторожно
Осторожно
До 2030 года действует мораторий на неналоговые проверки. Но в случае утечки персданных компании вряд ли удастся избежать внеплановой проверки Роскомнадзора.
Уведомляйте об изменениях в работе с персданными в новые сроки
С 1 марта сообщать в Роскомнадзор об изменении сведений, которые ранее указали в уведомлении о начале обработки персданных, надо в новые сроки. Новый крайний срок — 15-е число месяца, следующего за месяцем, когда произошли изменения. Например, если изменения произошли в конце апреля, уведомить Роскомнадзор надо не позднее 15 мая. Раньше на подготовку такого уведомления отводилось 10 рабочих дней.
Когда в работе с персданными что-то поменяется, заполните уведомление из приложения № 2 к приказу Роскомнадзора от 28.10.2022 № 180. К примеру, это надо сделать, если ранее предупреждали Роскомнадзор, что обрабатываете данные сотрудников, а потом стали работать с частными клиентами. Уведомление об изменениях похоже на уведомление о начале обработки персданных. Как заполнить документ, мы рассказывали ранее. Уведомление об изменении заполняйте по аналогии. Представить уведомление можно не только в бумажном, но и в электронном виде на сайте Роскомнадзора.→pd.rkn.gov.ru
Специалисты Роскомнадзора вправе запросить дополнительные сведения, если сочтут, что вы подали неполные или недостоверные данные. Для ответа у вас есть 10 рабочих дней. Если опоздаете, руководителя или ИП оштрафуют на сумму до 500 руб., а компанию — на сумму от 3000 до 5000 руб. (ст. 19.7 КоАП).
Запросите разрешение на передачу персданных за рубеж
С 1 марта 2023 года компании и ИП должны уведомлять Роскомнадзор о зарубежных контрагентах, которые получают доступ к личным данным россиян. Если передаете данные работников или клиентов за границу, направьте в Роскомнадзор уведомление о намерении осуществлять трансграничную передачу персональных данных. Это отдельный документ, и он не заменяет общее уведомление о намерении обрабатывать персональные данные (ч. 3 ст. 12 Закона № 152-ФЗ). Требование распространяется и на ситуации, когда храните персданные в облачных сервисах или на сайтах, владельцы которых иностранцы.
Уведомление подайте только один раз. О каждом новом зарубежном контрагенте подавать повторное уведомление не нужно.
Перед тем как сообщить в Роскомнадзор о трансграничной передаче сведений, выясните у партнера, какие меры по защите персданных он будет предпринимать и когда прекратит обработку. Эта информация понадобится вам при заполнении уведомления о трансграничной передаче данных.
Дальше ваши действия зависят от того, в какую страну передаете персданные. Сверьтесь с приказом Роскомнадзора от 05.08.2022 № 128: в нем есть два перечня государств. Если страна, куда передаете данные, оказалась в одном из списков, смело направляйте в Роскомнадзор уведомление. Сложнее, если передаете сведения партнеру из страны, которой нет в списках Роскомнадзора. К примеру, в ЦАР. В такой ситуации придется пройти еще один шаг — запросить информацию о том, какие законы по защите персданных действуют в стране контрагента. Когда получите ответ, подавайте уведомление.
После того как направите уведомление, сведения можно передать за границу, если иностранное государство упомянуто в приказе Роскомнадзора № 128. В ином случае ведомство вправе запретить или ограничить такую передачу — на это у Роскомнадзора есть 10 рабочих дней. До истечения этого срока направлять сведения нельзя.
Унифицированного бумажного бланка уведомления нет. В документе главное указать сведения, перечисленые в части 4 статьи 12 Закона № 152-ФЗ. Образец уведомления. Также вы вправе заполнить уведомление электронно на сайте Роскомнадзора (pd.rkn.gov.ru) в разделе «Трансграничная передача».
Увлечения бухгалтеров
Творчество — время наполнения новыми силами
| За 25 лет работы бухгалтером не было случая, чтобы я захотела сменить профессию, очень ее люблю. Работаю из дома. Стараюсь делать все быстро и заранее. Поэтому остается время, чтобы поиграть в шахматы — занимаюсь с тренером онлайн четыре раза в неделю. Три раза в неделю занимаюсь пилатесом по скайпу. Люблю все виды творчества. Вяжу игрушки дочке, вышиваю, делаю игрушки на елку, к Новому году готовлюсь уже сейчас! Раскрашиваю картины по номерам, леплю из полимерной глины. А вечером мужа всегда ждет вкусный ужин по ресторанным рецептам. |
|
МАРИЯ ВЛАДИМИРОВА, главный бухгалтер, г. Москва
за правильный ответ
Адвокаты рассказали, кого и как налоговики обвиняют в незаконной налоговой выгоде
Юристы «Пепеляев Групп» на время стали детективами и провели расследование налоговых дел, которые рассматривали судьи в 2022 году. О том, что откопали и какие обвинения налоговиков считают ошибочными, рассказали на встрече с главбухами и руководителями компаний. Узнайте и вы, к чему сейчас цепляются инспекторы, какие их доводы поддерживают судьи, и подстрахуйте свою компанию.
This is a modal window.
Как налоговики используют статью 54.1 НК, чтобы снять расходы и вычеты
Партнер компании «Пепеляев Групп» Ксения Литвинова изучила доказательства, которые используют налоговики, когда привлекают компании по статье 54.1 НК. Выяснилось, что в 2022 году инспекторы, обвиняя налогоплательщиков в получении необоснованной налоговой выгоды, открыто игнорировали иные нормы законодательства, ограничиваясь ссылкой на статью 54.1 НК.
Раньше инспекции использовали положения статьи 54.1 НК в основном при предъявлении претензий к недобросовестным контрагентам и дроблению бизнеса. Сейчас же эту статью активно применяют при оценке любых операций с потенциально зависимыми лицами. Статья 54.1 НК стала универсальной нормой, которую налоговики как шаблон пытаются применить к любой ситуации. Так, инспекторы пробуют снять все расходы и вычеты, ссылаясь на формальный документооборот, искажение операций или налоговую, а не деловую цель сделок.
Ксения Литвинова разобрала два судебных дела компаний, оспаривание которых пока продолжается.
Дело 1. Аренда имущества между взаимозависимыми лицами. ИП на УСН приобретали в собственность имущество и сдавали его в аренду взаимозависимым компаниям. Инспекция не стала оспаривать, что настоящие собственники имущества действительно ИП, но сделала вывод: сделки проводили ради снижения налоговых обязательств (подп. 1 п. 2 ст. 54.1 НК). Компания-арендатор таким образом экономит налог на прибыль. В итоге организация, которая участвовала в такой сделке, потеряла все расходы на аренду. Ей доначислили сотни миллионов рублей.
На судебном процессе адвокат обратила внимание судей, что инспекторы проигнорировали разделение имущественной ответственности различных налогоплательщиков, признали возмездные сделки притворными. Судьи отправили дело на новое рассмотрение.
Дело 2. Услуги перевозки между взаимозависимыми лицами. Компания-производитель сотрудничала с взаимозависимой организацией-перевозчиком. Перевозчик был реально действующей организацией со штатом водителей и расходами на зарплату, ГСМ и содержание машин. Перевозчик использовал транспорт, который ему безвозмездно предоставляли взаимозависимые с производителем лица.
Инспекторы заявили, что такая безвозмездность говорит об искаженных фактах хозяйственной жизни (п. 1 ст. 54.1 НК). Они отказали перевозчику в расходах на перевозку, которые он отразил в налоговом учете, и вычетах НДС по ним. Общая сумма доначислений составила почти 150 млн руб.
Адвокат в суде заявил, что инспекторы безосновательно проигнорировали реальность деятельности перевозчика и реальность понесенных им расходов. Но суд первой инстанции встал на сторону налоговиков. Компания подала аппеляцию.
 |
Как сейчас безопаснее подбирать контрагентов
Партнер «Пепеляев Групп» Наталья Коваленко проанализировала практику выбора партнеров, сотрудничество с которыми будет безопасным для компании. Она поделилась своим видением, какое место в системе проверки контрагентов должен занимать главный бухгалтер.
 |
Главный бухгалтер заинтересован в том, чтобы в компании была грамотно выстроена система работы с контрагентами. Эта система многокомпонентная. Проверка партнеров на благонадежность — одна из частей этой системы. В каких-то компаниях за такую проверку отвечает бухгалтерская служба или выделенное в отдельную единицу налоговое подразделение. Часто такая проверка относится к компетенции подразделения, отвечающего за безопасность. Между тем главный бухгалтер вместе с налоговым менеджером в любом случае отвечает за выстраивание методологии такой проверки и является одним из главных потребителей полученной информации для целей оценки налоговых рисков.
Независимо от того, кто конкретно курирует у вас работу с партнерами, для выявления потенциальных рисков рекомендуем воспользоваться сервисом Главбух Контрагенты. В сервисе вы быстро узнаете о потенциальных партнерах все, и даже то, о чем они намеренно умолчали. Сервис подсветит степень риска работы с новым партнером и подскажет, как подстраховаться от негативных налоговых последствий.
Вот так надо отвечать налоговикам про работу с самозанятыми
Коллеги сообщают: в этом году налоговики взялись активно проверять, как компании сотрудничают с самозанятыми. Инспекторы приглашают директоров на беседы и задают каверзные вопросы. Чтобы директор не наговорил лишнего, ознакомьте его с примерным сценарием такой беседы. Частые вопросы налоговиков и безопасные ответы есть в этой статье.
Если сотрудничаете с самозанятыми и налоговики пригласили руководителя в инспекцию, донесите до него вот какую мысль. Самозанятые не имеют отношения к работникам компании. Они трудятся по отдельным гражданско-правовым договорам, не подчиняются распорядку организации, получают вознаграждения, а не зарплату. Называть самозанятых сотрудниками некорректно даже в частной беседе, а тем более в разговоре с налоговиками.
За слово «сотрудники» инспекторы, скорее всего, ухватятся и попытаются использовать его против компании. Ведь их цель — подловить руководителя и вытянуть из него любые подтверждения, что договорами с самозанятыми компания якобы прикрывает трудовые отношения.
Инспекторы могут поинтересоваться, как обстоят дела со штатными работниками. Тут безопаснее говорить, что штатников столько, сколько на данном этапе необходимо предприятию. Вы ничего не нарушаете, даже если в вашей небольшой компании работают, скажем, всего три человека, включая директора и вас.
Количество подрядчиков-физлиц, в том числе самозанятых, может превосходить число работников в штате. Это не запрещено. Более того, законодательство не требует, чтобы штатных сотрудников было обязательно больше. В экономическом смысле компании может быть выгоднее привлекать подрядчиков. Например, у организации возникают разноплановые точечные задачи. Но так как эти задачи появляются не на постоянной основе, под них не нужны штатные работники, достаточно исполнителей на ГПД.
Что точно не стоит упоминать в разговоре с налоговиками, так это возможную экономию на взносах. За самозанятых компания страховые взносы не платит. Но если инспекторы заподозрят, что организация сотрудничает с самозанятыми только ради такой экономии, отношения с этими исполнителями могут переквалифицировать в трудовые. Тогда налоговики потребуют от компании не только взносы, но и НДФЛ (письмо ФНС от 27.12.2019 № БС-3-11/11131). Возможны и административные штрафы со стороны Роструда за нарушение трудового законодательства, причем за каждого фиктивного самозанятого (ст. 5.27 КоАП). Например, за подмену трудовых отношений гражданско-правовыми компания заплатит штраф до 100 000 руб., а директор — до 20 000 руб.
Памятки для безопасных расчетов с самозанятыми в 2023 году мы публиковали ранее. На всякий случай держите их под рукой.
Сценарий безопасной беседы директора и налоговиков про самозанятых
 |
за правильный ответ
