Предоставление персональныз данных работника контрагентам организации

Содержание
  1. Персональные данные: обработка, защита, согласие на обработку
  2. 2. Компании могут использовать данные различных категорий субъектов
  3. 3. Обработке подлежат персональные данные, отвечающие целям их обработки
  4. 4. Необходимо знать, какие именно данные нужно использовать
  5. 5. Необходимо понимать, когда требуется согласие на обработку данных
  6. 1. Правовые меры
  7. 2. Организационные меры
  8. 3. Технические меры
  9. При обработке персональных данных организации следует:
  10. Обработка персональных данных юридического лица | Субъект персональных данных
  11. Имеет ли юридическое лицо персональные данные
  12. Передача персональных данных юридическим лицом на обработку другим лицам
  13. Персональные данные юридического лица в договорах на их обработку
  14. Трудовой кодекс РФ. Глава 14. Защита персональных данных работника
  15. Статья 86. Общие требования при обработке персональных данных работника и гарантии их защиты
  16. Статья 87. Хранение и использование персональных данных работников
  17. Статья 88. Передача персональных данных работника
  18. Статья 89. Права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя
  19. Статья 90. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника
  20. Ифнс запросила данные по контрагенту или сделке: когда это правомерно, и что будет, если не ответить на требование
  21. Запросы при проверке контрагента
  22. Направление требования
  23. требования
  24. Сведения по конкретной сделке
  25. Штрафы за неисполнение требования
  26. Обработка персональных данных контрагентов
  27. Ответ юриста:
  28. Правовое обоснование:

Персональные данные: обработка, защита, согласие на обработку

Предоставление персональныз данных работника контрагентам организации

Под персональными данными, как следует из ст. 3 №152- ФЗ, подразумевается любая информация, имеющая отношение к физлицу: информация, указанная в паспорте (ФИО, дата рождения, адрес регистрации, семейное положение и др.), а также сведения об образовании, занимаемой должности, зарплате и даже росте, весе, цвете глаз и др.

Закон распространяется абсолютно на все организации. Поскольку в каждой организации есть работники, то их данные так или иначе используются при заключении трудового договора, начислении зарплаты и в других случаях. Персональные данные вносятся в личные дела сотрудников, которые хранятся у кадровиков.

Под обработкой персональных данных подразумеваются действия по сбору, систематизации, накоплению, хранению, уточнению, использованию, передаче, обезличиванию, блокированию и уничтожению персональных данных.

Распространение персональных данных — это действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

2. Компании могут использовать данные различных категорий субъектов

С каждой из категорий субъектов персональных данных компанию связывает определенный тип правоотношений. Некоторые компании обрабатывают персональные данные не только работников, но и клиентов, например, производственные компании.

Так, компании из сферы услуг (автошколы, салоны красоты, парикмахерские, туристические агентства и др.) взаимодействуют с клиентами-физлицами, обрабатывая их персональные данные с целью предоставления, например, дисконтных карт.

Интернет-магазины собирают данные физлиц, чтобы осуществлять доставку товаров.

Существует определенная категория лиц, которая не является ни клиентами, ни работниками компании, однако она передает свои данные в организацию, где они хранятся и обрабатываются. К такой категории относятся соискатели, принимающие участие в конкурсе на вакансию и передающие потенциальному работодателю свои персональные данные в виде резюме или анкеты на сайте компании.

Сотрудники могут работать в организации по договору подряда. Оформляя человека по такому договору, компания может не запрашивать у него сведений о семейном положении или ограничений по здоровью. В случае с работником, оформленным по трудовому договору, компания должна это делать.

У товариществ собственников жилья нет ни работников, ни клиентов. Это сообщество, в котором состоят члены. Существуют и другие виды организаций с подобной структурой и без трудовых или гражданских правоотношений: общественные организации, политические партии, религиозные организации и др.

3. Обработке подлежат персональные данные, отвечающие целям их обработки

Важно понимать, какие данные каких субъектов используются, чтобы устанавливать цель обработки персональных данных.

Организациям необходимо иметь представление не только о том, данные каких категорий субъектов они обрабатывают, но и с какой целью они это делают, исходя из специфики деятельности. Например, у интернет-магазина и автошколы цель обработки данных может заключаться в выполнении условий договора с клиентами.

4. Необходимо знать, какие именно данные нужно использовать

Закон требует от компаний понимания, какие именно персональные данные в отношении каждой категории субъектов они обрабатывают.

Очевидно, что если в случае с работником необходимо знать об ограничениях по здоровью для начисления социальных выплат, имеются ли у него дети до 18 лет, чтобы предоставить ему налоговый вычет, то в отношении клиента интернет-магазина, который заказал товар, эти сведения не нужны. В этом случае достаточно знать имя, адрес и телефон покупателя.

https://www.youtube.com/watch?v=Up1h8Jf4csU

Закон запрещает обрабатывать персональные данные, которые не требуются для достижения цели их обработки.

Достигнув цели обработки данных, компания должна прекратить обработку этих данных. Так, если интернет-магазин осуществил доставку товара клиенту, то в дальнейшем ему уже не потребуются его номер мобильного телефона и адрес доставки.

5. Необходимо понимать, когда требуется согласие на обработку данных

Для каждой категории субъектов (работников, клиентов, соискателей и др.) определяется цель обработки данных. Порой эта цель заключается в выполнении требований определенных законов.

В этом случае организация может абсолютно спокойно собирать данные соответствующей категории и обрабатывать их.

Так, в отношении работников организации выполняют трудовое законодательство, многие кредитные и финансовые организации обязаны на своем официальном сайте публиковать сведения об аффилированных лицах, ОАО должно размещать у себя на сайте информацию о структуре акционеров.

Если цель обработки данных какой-то категории субъектов установлена компанией самостоятельно, исходя из специфики деятельности, то она должна взять согласие об обработке персональных данных у субъекта данных (ст. 9 №152- ФЗ).

Например, если компания принимает на работу сотрудника по трудовому договору, то по трудовому законодательству она должна знать, как его зовут, где он прописан, какое у него образование. И эти сведения компания может получать у человека без его согласия.

Если же компания собралась выплачивать сотруднику зарплату на банковскую карту и планирует передавать сведения о нем в банк, то она обязана взять на это согласие, так как прямого требования передавать персональные данные в банк для выплаты заработной платы в законе нет.

Если интернет-магазин после доставки товара планирует рассылать клиентам SMS-сообщения о скидках, то он должен заранее сформулировать эту цель и взять с клиентов согласие на использование данных именно с этой целью. В ч.1 ст.15 №152- ФЗ есть упоминание о том, что рекламные контакты с клиентами совершаются только с их согласия.

Закон отдельно выделяет требования для данных, неправомерные действия с которыми могут нанести вред субъекту персональных данных. Речь идет о специальной категории персональных данных (ст. 10 №152- ФЗ) и биометрических персональных данных (ст. 11 №152-ФЗ).

К биометрическим данным относятся сведения, которые отражают физиологические особенности человека и необходимы для установления его личности (например, если в компании используются системы контроля доступа).

К специальной категории данных относятся сведения о национальной, расовой принадлежности, философских, политических и религиозных убеждениях, состоянии здоровья и интимной жизни.

Эти данные выделяются в отдельную категорию, так как закон прямо запрещает их использовать, за исключением ряда случаев (один из них — если субъект дал на то свое письменное согласие).

Отдельно закон говорит о передаче данных за границу (ст. 12 №152- ФЗ).

С учетом всех базовых принципов, описанных выше, требования к обработке данных можно разделить на три больших блока (ст. 19 №152- ФЗ):

1. Правовые меры

Организация решает, как будет соблюдать законодательство, оформляет решение в виде внутренних документов, например, «Политики в отношении обработки персональных данных», издает приказ, в котором назначает ответственного за организацию процесса обработки персональных данных и т д.

2. Организационные меры

Эти меры связаны с деятельностью компании. Закон требует, чтобы «Политика в отношении обработки персональных данных» была доступна для всех категорий субъектов персональных данных. Ее рекомендуется размещать на информационном стенде, где с ней смогут ознакомиться не только работники, но и клиенты.

По закону любой субъект персональных данных может написать в компанию письмо с требованием уточнить, обрабатывает ли она его данные. Если обрабатывает, то какие данные, с какой целью и на каком основании. Также любой субъект имеет право потребовать прекратить обработку своих персональных данных.

Рассмотрение этого письма и подготовка ответа на него — деятельность, относящаяся к организационным мерам. О том, как отвечать на такие письма, уточняется в ст. 20-21 №152-ФЗ.

3. Технические меры

Связаны с использованием средств защиты информации. Это могут быть как примитивные средства — сургучовые печати, решетки на окнах, так и высокотехнологичные способы — антивирусы, межсетевые экраны, средства защиты от несанкционированного доступа, средства криптографической защиты и др.

При обработке персональных данных организации следует:

  1. Разобраться, с данными каких категорий субъектов она имеет дело, на каком основании и с какой целью она их использует.
  2. Ознакомиться с законом и решить, как будут выполняться требования, отразить это в локальных нормативных актах.
  3. Принять соответствующие организационные меры.

    Например, опубликовать «Политику в отношении обработки персональных данных» и  быть готовой выполнять те организационные требования, которые необходимы в ходе операционной деятельности.

  4. Позаботиться о технических мерах, понять, какие технические меры должны быть приняты, обеспечить принятие этих мер.

Существенное дополнение: в рамках текущего законодательства ни у одного контролирующего органа нет полномочий на то, чтобы контролировать выполнение технических мер у коммерческих частных организаций.

Роскомнадзор может контролировать только выполнение правовых и организационных мер у частных компаний. Поэтому о четвертом шаге можно говорить формально: закон предоставляет возможность коммерческим компаниям большую свободу в выборе технических мер. Что касается государственных организаций, то для них требования по использованию средств защиты информации четко определены и подробно описаны.

Игорь Луканин, руководитель продукта «Контур.Персональные данные»

Источник: https://kontur.ru/articles/1293

Обработка персональных данных юридического лица | Субъект персональных данных

Предоставление персональныз данных работника контрагентам организации

Иногда при анализе норм, регламентирующих правила обработки персональных данных, возникает вопрос о персональных данных юридического лица. Вопрос наличия согласия на их обработку может стать принципиальным при заключении различных гражданско-правовых договоров.

Имеет ли юридическое лицо персональные данные

Законодательство очень конкретно подводит под понятие «персональные данные» только ту информацию, которая прямо или косвенно относится к конкретному гражданину, физическому лицу, и позволяет прямо его идентифицировать. Такое понимание содержится в Федеральном законе «О персональных данных». К ПД может быть отнесена абсолютно любая информация – от паспортных данных до адреса электронной почты.

Применительно к юридическому лицу перечень идентифицирующих его сведений является исчерпывающим, практически все они, кроме места жительства и паспортных данных руководителя, учредителя и доверенного лица, осуществляющего юридически значимые действия по регистрации, содержатся в ЕГРЮЛ.

Таким образом, в рамках выполнения своей функции по регистрации юридического лица налоговая инспекция получает персональные данные физического, при этом гражданин не подписывает согласия на обработку и понимает, что в определенных ситуациях эти сведения могут быть предоставлены третьим лицам. Фактически они не являются ПД именно юридического лица, но в отношении них режим конфиденциальности определяется нормами закона «О регистрации», такие сведения могут быть предоставлены только в установленных им случаях.

Вся остальная информация юридического лица, не являющаяся общедоступной, имеет иной статус конфиденциальности, она может охраняться нормами законодательства, регулирующими коммерческую тайну.

Передача персональных данных юридическим лицом на обработку другим лицам

Концепция персональных данных выросла из американской модели «прайвеси», или права на приватность, и Декларации прав человека, на базе его информационных прав. К ним относятся:

  • право на получение нужных ему данных, например, от государственных органов;
  • право на защиту сведений своей частной жизни от других лиц.

Соответственно, ключевым является определение «частной жизни», которой не может быть у юридического лица.

Но, трактуя термин «персональные данные юридического лица» шире, к ним можно отнести те сведения о гражданах, которые компания получает в ходе своей деятельности и так или иначе обрабатывает.

В ряде случаев такие данные передаются для обработки иным юридическим лицам.

Примером может быть осуществление онлайн-платежей, когда данные плательщика получают платежная система, банк и оператор – интернет-магазин или другое лицо. 

Аналогичная ситуация возникает при передаче банком данных страховой компании при оформлении кредитного договора.

Иной случай связан с передачей сведений фирме, оказывающей услуги по аутсорсингу бухгалтерии или кадрового документооборота.

Во всех случаях гражданин дает свое согласие на обработку персональных данных одному юридическому лицу, а осуществляется она вторым или третьим, о чем гражданин не информируется.

Третьим случаем будет хранение сведений на облачных ресурсах.

Фактически информация находится в распоряжении третьих лиц, при этом ситуация не всегда регламентируется в договорных взаимоотношениях между сторонами, заказывающими и предоставляющими услуги.

Это актуально особенно в тех случаях, когда владелец облака технически не оборудовал свою информационную систему необходимыми средствами защиты персональных данных в соответствии с законодательством.

Таким образом, юридическое лицо, исходя из норм закона не имеющее собственных персональных данных, осуществляет некоторые правомочия в отношении данных граждан. В ряде случаев оно распоряжается ими неосмотрительно, должным образом не производя их защиту при передаче и даже не включая информацию о такой возможности в согласие на обработку.

Персональные данные юридического лица в договорах на их обработку

Следует учитывать, что если сведения, переданные гражданином фирме, будут распространены ее контрагентами, наибольшую ответственность понесет именно то лицо, в пользу которого было подписано согласие. Ответственность может быть:

  • гражданско-правовой, в виде взыскания убытков или морального вреда. Сейчас часты иски с такими требованиями при передаче банками информации о гражданах коллекторским агентствам;
  • административной, в виде штрафа, например, за нарушение оговоренных в уведомлении, подаваемом оператором в Роскомнадзор, целей обработки. Штрафы в России пока невысоки. В Европе за нарушение норм нового Регламента защиты данных на компанию может быть наложен штраф в размере до 20 миллионов евро или до 4 % от годового мирового оборота компании за предыдущий финансовый год;
  • уголовной, наступающей, когда неправомерный сбор или распространение данных причинили существенный ущерб.

Во избежание этих рисков в договоры с контрагентами обязательно нужно вносить нормы об ответственности за ненадлежащую обработку персональных данных. Следовательно, система защиты должна выглядеть следующим образом:

1.изучение системы технической защиты информации контрагента в случае, если передаваемые данные имеют существенный объем или повышенную ценность (медицинская информация, финансовые сведения). При необходимости заключение с провайдером облачных услуг соглашения об усилении степени защиты;

2.включение в согласие на обработку персональных данных всех контрагентов, которым предполагается передавать сведения. Об этой необходимости говорит судебная практика;

3.внедрение в компании режима защиты коммерческой тайны. Отнесение к ней персональных данных, имеющихся в распоряжении фирмы, как сотрудников, так и клиентов;

4.включение в договоры с контрагентами нормы о сохранности коммерческой тайны и штрафов за любое неправомерное ее использование.

Юридическое лицо не имеет собственных персональных данных, но оно пользуется информацией, доверенной ему гражданами. Контроль за переданными оператору персональных данных сведениями должен осуществляться и на уровне построения систем информационной безопасности, и на уровне выстраивания взаимоотношений с лицами, которым сведения предоставляются в целях обработки.

Источник: https://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/obrabotka-personalnyh-dannyh/yuridicheskogo-litsa/

Трудовой кодекс РФ. Глава 14. Защита персональных данных работника

Предоставление персональныз данных работника контрагентам организации

Персональные данные работника – информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.

Обработка персональных данных работника – получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.

Статья 86. Общие требования при обработке персональных данных работника и гарантии их защиты

В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:

1) обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;

2) при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, настоящим Кодексом и иными федеральными законами;

3) все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.

Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;

4) работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни.

В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия;

5) работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных настоящим Кодексом или иными федеральными законами;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

6) при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;

7) защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном настоящим Кодексом и иными федеральными законами;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

8) работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

9) работники не должны отказываться от своих прав на сохранение и защиту тайны;

10) работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.

Статья 87. Хранение и использование персональных данных работников

Порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований настоящего Кодекса и иных федеральных законов.

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

Статья 88. Передача персональных данных работника

При передаче персональных данных работника работодатель должен соблюдать следующие требования:

не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

не сообщать персональные данные работника в коммерческих целях без его письменного согласия;

предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.

Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности).

Данное положение не распространяется на обмен персональными данными работников в порядке, установленном настоящим Кодексом и иными федеральными законами;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;

не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

передавать персональные данные работника представителям работников в порядке, установленном настоящим Кодексом и иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

Статья 89. Права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя

В целях обеспечения защиты персональных данных, хранящихся у работодателя, работники имеют право на:

полную информацию об их персональных данных и обработке этих данных;

свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;

определение своих представителей для защиты своих персональных данных;

доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;

требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований настоящего Кодекса или иного федерального закона.

При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия.

Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;

обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.

Статья 90. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника

Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном настоящим Кодексом и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

Источник: https://www.SuperJob.ru/trudovoj-kodeks/14-zaschita-personalnyh-dannyh-rabotnika.html

Ифнс запросила данные по контрагенту или сделке: когда это правомерно, и что будет, если не ответить на требование

Предоставление персональныз данных работника контрагентам организации

  • Новости
  • Проверки и санкции

Ифнс запросила данные по контрагенту или сделке: когда это правомерно, и что будет, если не ответить на требование

21 мая 2019 Алексей Крайнев Юрист по налоговым, трудовым и гражданским правоотношениям

В прошлой статье мы подробно обсудили вопрос о законности требований, выставляемых налоговиками в рамках выездных и камеральных проверок (см. «ИФНС требует документы: на какие запросы нужно ответить, а какие можно игнорировать»).

Однако бухгалтерам приходится исполнять и те запросы, которые поступают вне рамок проверок их организаций. Речь идет о предоставлении сведений по контрагентам и в отношении конкретных сделок.

Какие полномочия Налоговый кодекс дает налоговикам по истребованию документов и информации в таких ситуациях? Какие последствия грозят тем, кто проигнорирует подобные требования? Давайте разбираться.

«Внепроверочные» запросы могут поступать в бухгалтерию в двух ситуациях. Во-первых, такие запросы вправе инициировать инспекция, которая осуществляет налоговую проверку контрагента (то есть другого налогоплательщика, который связан с адресатом запроса).

Во-вторых, инспекция может запросить документы или информацию вообще вне рамок какой-либо налоговой проверки, а в ходе других мероприятий налогового контроля. Но в этом случае круг ее интересов законодательно органичен конкретной сделкой.

Остановимся на каждом из этих оснований подробнее.

Запросы при проверке контрагента

Порядок запроса у налогоплательщика информации при проверке его контрагента урегулирован статьей 93.1 НК РФ. В этой статье установлено, что можно требовать в такой ситуации, а также определена процедура направления требования. Начнем с описания данной процедуры.

Направление требования

Налогоплательщику, который получил такой запрос, нужно учитывать, что в подавляющем большинстве случаев его инициатором выступает не «родная» ИФНС, а тот налоговый орган, в котором состоит на учете его контрагент. Однако само требование по правилам статьи 93.1 НК РФ направляет «своя» инспекция. Именно поэтому к требованию, которое выставила «своя» ИФНС, должна прилагаться копия поручения от инспекции-инициатора запроса.

Бесплатно получать требования из ИФНС и отправлять запрошенные документы через интернет

Без этой копии требование может быть направлено только в одном случае: когда проверяемый налогоплательщик и адресат запроса состоят на учете в одной ИФНС (т.е. инспекция-инициатор запроса совпадает с инспекцией, направившей требование).

В таком случае ИФНС не дает себе никакого поручения и, соответственно, копия поручения к требованию не прикладывается (письмо ФНС России от 16.12.14 № ЕД-4-2/26018, постановление ФАС Северо-Западного округа от 18.01.08 по делу № А26-1964/2007).

Отметим, что копия поручения — весьма полезный для налогоплательщика документ. Так, из нее можно узнать, при проведении какого именно мероприятия налогового контроля налоговикам потребовались документы и информация.

Также данная копия позволяет проверить, соответствуют ли сведения, которые запрашивает «своя» ИФНС, поручению инспекции-инициатора запроса.

Ведь судебная практика исходит из того, что в подобной ситуации требование о предоставлении документов (информации) составляется на основании поручения и не может выходить за его рамки. А значит, если истребуются документы, не указанные в копии поручения, такое требования является незаконным в соответствующей части (постановления ФАС Уральского округа от 27.01.12 № Ф09-8983/11 и ФАС Московского округа от 26.03.09 № КА-А40/2089-09).

В то же время следует учитывать, что если инспекция не приложит к требованию копию поручения, суд может не признать это грубым процедурным нарушением (постановление ФАС Уральского округа от 19.05.08 № Ф09-3423/08-С3).

Поэтому мы не советуем игнорировать требование о предоставлении документов (информации) только лишь потому, что к нему не приложена копия поручения. А вот обжаловать такое требование вполне возможно.

Если суд сочтет его незаконным, налогоплательщик сможет потребовать возмещения расходов на исполнение такого требования в порядке, предусмотренном статьей 35 НК РФ.

требования

Что касается содержания требования, связанного с проверкой контрагента, то тут практика исходит из фактически полной вседозволенности для налоговиков.

Дело в том, что в НК РФ для этого случая вообще нет каких-либо ограничений ни по составу запрашиваемых документов (информации), ни по кругу лиц, у которых можно их потребовать.

Основываясь на этом, суды рассматривают споры о праве ИФНС запрашивать те или иные сведения по контрагентам.

Проверить контрагента на признаки фирмы‑однодневки

Так, Арбитражный суд Уральского округа указал, что в своих запросах ИФНС не ограничена документами, касающимися первого контрагента проверяемого налогоплательщика. Это значит, что подобные требования могут быть направлены также контрагентам второго, третьего и последующего звена (постановление от 02.08.18 № Ф09-4001/18).

А судьи Дальневосточного округа разъяснили, что статья 93.1 НК РФ не ограничивает перечень запрашиваемых документов (информации) только теми, которые по правилам НК РФ являются основанием для исчисления и уплаты (удержания и перечисления) налогов и сборов.

Поэтому ИФНС может затребовать абсолютно любые документы (любую информацию) по проверяемому налогоплательщику.

В том числе и те, которые не связаны напрямую с подтверждением правильности исчисления и своевременности уплаты (удержания и перечисления) налогов и сборов (постановление ФАС Дальневосточного округа от 25.07.18 № Ф03-2969/2018).

Также нет ограничений и по форме истребуемых данных — ИФНС на законных основаниях может потребовать информацию в форме пояснений (постановление ФАС Дальневосточного округа от 17.06.14 № Ф03-1810/2014).

При этом налоговики не обязаны обосновывать свои требования и доказывать, что запрошенные сведения действительно необходимы при проверке контрагента (постановление Арбитражного суда Северо-Западного округа от 21.05.18 № Ф07-4963/2018).

Так, Арбитражный суд Московского округа признал правомерным запрос данных об IP-адресах контрагентов, указав, что эти данные могут использоваться для определения признаков взаимозависимости и согласованности действий налогоплательщиков.

А значит, они связаны с проверкой и затребованы правомерно (постановление от 05.03.19 № Ф05-1297/2019).

Провести автоматическую сверку счетов‑фактур с контрагентами

Также нет ограничений и по периоду проверки контрагента, в связи с которой запрашиваются документы или информация.

По мнению судов, вопрос о том, относятся ли конкретные документы к проверяемому налогоплательщику, а также круг устанавливаемых при помощи этих документов обстоятельств находится исключительно в компетенции ИФНС (постановление Арбитражного суда Московского округа от 13.09.

18 № Ф05-14465/2018). При этом инспекция не обязана разъяснять адресату запроса связь этих документов с проводимой проверкой. Достаточно лишь указать на данное обстоятельство в требовании.

Таким образом, тот факт, что запрашиваемые по контрагенту документы относятся к периоду, который не охвачен проверкой, не освобождает организацию от исполнения требования (постановление Арбитражного суда Поволжского округа от 16.01.19 № Ф06-41326/2018).

Также нужно учитывать, что налоговики вправе запрашивать документы и в том случае, если в них содержатся персональные данные третьих лиц (в т.ч. работников организации). Основание — положения подпунктов 1 и 4 пункта 1 статьи 6 Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных».

Из данных норм случает, что обработка персональных данных может осуществляться без согласия субъекта персональных данных, если она необходима для исполнения полномочий федеральных органов исполнительной власти. (См. также п. 3 разъяснений Роскомнадзора от 14.12.

12 «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»). А налоговые органы как раз и являются одним из федеральных органов исполнительной власти (указ президента России от 15.05.18 № 215).

Таким образом, ссылка на то, что запрошенные документы содержат персональные данные, не освободит от штрафа за непредставление этих бумаг (письмо Минфина России от 09.10.12 № 03-02-07/1-246, см. «Налоговики вправе затребовать у организации штатное расписание и приказы о направлении работников в командировки к проверяемому налогоплательщику»).

Определить вероятность выездной налоговой проверки и получить рекомендации по налоговой нагрузке

Сведения по конкретной сделке

Теперь рассмотрим второй случай направления «внепроверочных» требований. Речь идет о запросе данных по конкретной сделке, которая вызвала интерес у налоговиков (п. 2 ст. 93.1 НК РФ). Налоговый кодекс не разъясняет термин «конкретная сделка». А значит, придется снова обратиться к судебной практике.

Как указал Арбитражный суд Северо-Кавказского округа, пункт 2 статьи 93.1 НК РФ обязывает налогоплательщиков представлять документы и информацию по конкретным договорам с конкретными контрагентами. При этом налогоплательщик, к которому поступил запрос, может и не являться стороной такого договора (постановление от 22.02.19 № Ф08-213/2019).

Данный подход означает, что налоговики не могут запросить сведения в отношении операций, которые совершаются вне рамок договоров (сделок). Например, в отношении операций по получению бюджетных субсидий или в отношении операций по выплате дивидендов, внесению вкладов в имущество организации или ее уставный капитал (см. письмо Минфина России от 17.07.13 № 03-01-18/28094).

На этом запреты, пожалуй, заканчиваются. Как и в случае с запросом данных по контрагентам, никаких ограничений по составу документов или информации, которые можно затребовать в отношении конкретной сделки, НК РФ не содержит.

Также не запрещено истребовать документы или информацию по нескольким сделкам (определение Верховного суда РФ от 26.10.17 № 302-КГ17-15714). При этом, как уже отмечалось, круг лиц, у которых можно запросить документы (информацию) на основании пункта 2 статьи 93.

1 НК РФ, фактически не ограничен: адресатом может быть как участник сделки, так и иные лица, располагающие нужными данными по сделке.

В то же время на основании пункта 2 статьи 93.1 НК РФ нельзя истребовать документы (информацию), которые непосредственно не относятся к конкретной сделке. Согласно форме требования о представлении документов (информации), утвержденной приказом ФНС России от 07.11.

18 № ММВ-7-2/628@, в требовании должны быть указываться сведения, позволяющие идентифицировать эту сделку, в отношении которой запрашиваются данные (письмо Минфина России от 15.10.18 № 03-02-07/1/73833, см.

«Встречная» проверка: должны ли инспекторы указывать реквизиты истребуемых документов»).

Но при этом к вопросу идентификации сделки суды также относятся достаточно вольно: инспекция вовсе не обязана указывать в требовании реквизиты (дату, номер) договора или сделки. Достаточно обозначить стороны и тип договора.

Требование является обоснованным, если на основании перечня запрашиваемых документов налогоплательщик в состоянии сам определить всю информацию, идентифицирующую конкретную сделку (постановление Арбитражного суда Уральского округа от 27.09.

18 № Ф09-5656/18).

Бесплатно получать требования из ИФНС и отправлять запрошенные документы через интернет

Штрафы за неисполнение требования

И в завершение разговора о «внепроверочных» требованиях коротко расскажем об ответственности за их неисполнение. Тут нужно учитывать два момента.

Первый момент — налогоплательщик обязан отреагировать на требование  ИФНС о представлении документов, даже если считает его незаконным.

Судебная практика исходит из того, что у получателя такого требования есть всего три законных варианта действий: известить инспекцию об отсутствии запрошенных документов, исполнить требование в установленный срок, либо обратиться в инспекцию с заявлением о продлении срока представления документов.

Если налогоплательщик (организация или ИП) не совершит ни одного из этих действий, то ИФНС может оштрафовать его на 10 тыс. рублей на основании пункта 2 статьи 126 НК РФ (постановление Арбитражного суда Западно-Сибирского округа от 28.06.18 № Ф04-1872/2018).

Также напомним, что положения статей 137 и 138 НК РФ не предусматривают приостановление срока на исполнение требования в случае его обжалования в вышестоящем управлении ФНС. А значит, если обжалование не приведет к отмене требования, которое не было исполнено в срок, то организация может быть оштрафована на вполне законных основаниях.

Второй момент, о котором нужно помнить при получении «внепроверочных» требований, связан с возможным увеличением штрафа за неисполнение запроса, содержащего одновременно требование о представлении документов и требование о направлении информации.

Суды полагают, что в такой ситуации налогоплательщик может быть оштрафован за неисполнение каждой части такого запроса (п. 6 ст. 93.1 НК РФ). При этом штраф за непредставление документов налагается по пункту 2 статьи 126 НК РФ и составляет, как уже говорилось, 10 тыс. рублей.

А штраф за непредоставление информации налагается по статье 129.1 НК РФ и составляет 5 тыс. рублей (постановление Арбитражного суда Восточно-Сибирского округа от 12.11.18 № Ф02-5065/2018).

Соответственно, подходить к исполнению такого запроса надо с особой тщательностью, не оставляя без внимания каждую из его частей.

Обратите внимание: облегчить и ускорить процесс пересылки документов в инспекцию можно с помощью специальных сервисов, например, веб-сервиса «Коннектор Контур.Экстерн».

Он дает возможность направить налоговикам десятки тысяч электронных документов единовременно, при этом в час уходит примерно 9 тысяч документов.

Через «Коннектор» можно передавать в ИФНС любые электронные документы, созданные по утвержденным форматам (например, счета-фактуры, накладные ТОРГ-12 и проч.), а также скан-образы любых документов, созданных на бумажном носителе: актов, договоров, платежек и др.

Подключиться к системе «Контур.Экстерн»

Источник: https://www.BuhOnline.ru/pub/comments/2019/5/14664

Обработка персональных данных контрагентов

Предоставление персональныз данных работника контрагентам организации

Вопрос: Обязана ли организация принять от своих контрагентов, являющихся физическими лицами, письменное согласие на обработку персональных данных?

Ответ юриста:

Обработка персональных данных контрагентов – физических лиц (в том числе физических лиц, являющихся индивидуальными предпринимателями), с которыми непосредственно у организации заключен договор, может осуществляться без согласия на обработку персональных данных при условии, что эти данные не будут распространяться и предоставляться третьим лицам без согласия субъекта персональных данных и будут обрабатываться только в целях исполнения заключенных с ними договоров (купли-продажи, подряда, оказания услуг и пр.).

Правовое обоснование:

В соответствии со ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее – Закон N 152-ФЗ) персональными данными является любая информация, относящаяся к прямо или косвенно определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных).

Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение, признаются обработкой персональных данных (п. 3 ч. 1 ст. 3 Закона N 152-ФЗ).

Оператором персональных данных, как следует из п. 2 ст. 3 Закона N 152-ФЗ, является лицо, в том числе юридическое, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели их обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с ними.

При этом лицо признается оператором персональных данных вне зависимости от какой-либо регистрации, наличия или отсутствия специальных разрешений, а в силу самого факта осуществления им деятельности по обработке персональных данных.

Случаи, при которых допускается обработка персональных данных без согласия субъекта таких данных, исчерпывающим образом установлены ст. 6 Закона N 152-ФЗ.

Так, допускается обработка персональных данных, если она необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем (п. 5 ч. 1 ст. 6 Закона N 152-ФЗ). По смыслу этой нормы лицо, которому предоставляется возможность обработки персональных данных, является стороной по указанному договору.

В силу ч. 1 ст. 22 Закона N 152-ФЗ до начала обработки персональных данных операторы обязаны уведомить уполномоченный орган по защите прав субъектов персональных данных (далее – уполномоченный орган) о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных ч. 2 ст. 22 Закона N 152-ФЗ.

Так, уведомлять уполномоченный орган не нужно, если персональные данные получены оператором в связи с заключением договора, стороной которого является субъект персональных данных, при том, что персональные данные не распространяются, не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных (п. 2 ч. 2 ст. 22 Закона N 152-ФЗ).

Таким образом, обработка персональных данных контрагентов – физических лиц (в том числе являющихся индивидуальными предпринимателями), с которыми непосредственно у организации заключены договоры поставки (либо оказания услуг и пр.

), может осуществляться без согласия на обработку персональных данных и без уведомления уполномоченного органа при условии, что эти данные не будут распространяться и предоставляться третьим лицам без согласия субъекта персональных данных и будут обрабатываться только в целях заключения с ними соответствующих договоров (определение СК по гражданским делам Московского городского суда от 06.04.2012 N 33-8687).

Если же организация намерена осуществлять обработку персональных данных в иных случаях, не связанных с исполнением договора, то она обязана получить согласие на обработку персональных данных.

Несмотря на то, что в рассматриваемом случае оператор подпадает под исключение и не обязан получать согласие субъекта персональных данных на обработку и уведомлять Роскомнадзор о работе с персональными данными, это не освобождает его от необходимости применения мер по защите персональных данных. Лица, виновные в нарушении требований Закона N 152-ФЗ, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность (ст. 24 Закона N 152-ФЗ).

_______________________

Правовая информация приведена по состоянию на дату консультации – 02.12.2013

Источник: http://parma-legal.ru/nashi-konsultatcii/2014-05-20/obrabotka-personalnykh-dannykh-kontragentov

Закон-Указ
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: