Право

Как раскрытие налоговой тайны может привести к штрафам от Роскомнадзора

Продолжаем тему защиты персональных данных.
Как раскрытие налоговой тайны может привести к штрафам от Роскомнадзора

Представители рынка клининга и технической эксплуатации, а также других отраслей, по которым ФНС реализует так называемые Проекты обеления, в желании доказать свою налоговую добросовестность и законопослушность, к сожалению, часто забывают, что в России действует не только Налоговый кодекс, но и Кодекс об административных правонарушениях с Законом о персональных данных.

Участники отраслевых проектов, которые послушались «рекомендаций» и решили вступить в различные сообщества, «созданные при участии ФНС», раскрывают для этого часть своей налоговой тайны. Однако мало кто из руководителей этих компаний задумывается, что такой избирательный подход к законопослушности может привести к многомиллионным штрафам от Роскомнадзора. Некоторым может не хватить даже квартальной выручки, чтобы рассчитаться по долгам за несоблюдение требований по обработке и распространению персональных данных собственных работников. А общая сумма штрафных санкций для отрасли фасилити способна достичь 10-значных величин.

В рамках раскрытия налоговой тайны на основании п. 1 ст. 102 НК РФ раскрываемые сведения становятся общедоступными, то есть доступ к ним ничем не ограничен и они могут использоваться любыми лицами по их усмотрению при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации (ст. 7 Закона «Об информации информационных технологиях и о защите информации»).

Зам. руководителя ФНС России Д.С. Сатин в своем письме от 19.03.2020 №СД-4-2/4748@ разъяснил, что согласия, данные налогоплательщиками с кодами «1000», «1100», «1300» и «1400», с указанием в поле «1400» последовательности букв и символов GRUZ, выражают согласие налогоплательщика на признание общедоступными в том числе сведений о застрахованных лицах (код тарифа, ИНН, ФИО).

Участникам Реестра БелыйФМ его держатель рекомендует период таких согласий указывать с первого дня текущего года и без указания конечной даты, то есть раскрывать налоговую тайну без ограничений по времени.

БелыйФМ.рф — информационный ресурс, созданный совместно с Федеральной налоговой службой в рамках отраслевого Проекта по повышению прозрачности рынка фасилити-услуг

Согласно разъяснениям Роскомнадзора (письмо № 08-20922 от 07.04.2021), информация в объеме фамилия, имя, отчество физического лица и ИНН является персональными данными, обработка которых должна осуществляться в строгом соответствии с требованиями Закона № 152-ФЗ. Таким образом, вместе с налоговой тайной, раскрытой по кейсу GRUZ, становятся бессрочно общедоступными персональные данные работников компаний-участников отраслевых проектов ФНС. Речь идет обо всех штатных сотрудниках компании (от генерального директора до уборщицы) и работниках по гражданско-правовым договорам, за которых производились выплаты в ФСС в период действия Согласия налогоплательщика на признание сведений, составляющих налоговую тайну, общедоступными. В это число входят и «старослужащие», и «срочники», и «вахтовики», и те, кто всего один день отработал в компании.

С 1 марта 2021 года общедоступные персональные данные называются «персональными данными, разрешенными субъектом персональных данных для распространения» (ПДнРР), а их обработка должна осуществляться с учетом положений статьи 10.1, введенной ФЗ от 30.12.2020 № 519-ФЗ «О внесении изменений в Федеральный закон «О персональных данных».

Новая статья оговаривает необходимость оформления субъектом персональных данных (работником) отдельного Согласия на обработку ПДнРР, которое предоставляется конкретным операторам на конкретный срок.

Операторами таких персональных данных, согласно разъяснениям Роскомнадзора, являются как работодатель, так и третьи лица, среди которых ИФНС и организации, получающие информацию о юрлице на основании запроса по форме КНД 1110070 «На предоставление сведений, составляющих налоговую тайну, признанных общедоступными в соответствии с пунктом 1 статьи 102 Налогового кодекса Российской Федерации».

Однако к ФНС требования Закона о персональных данных не применяются, так как она обрабатывает их «в целях выполнения возложенных законодательством Российской Федерации на федеральные органы исполнительной власти, органы исполнительной власти субъектов Российской Федерации, органы местного самоуправления функций, полномочий и обязанностей». То есть, действуя в рамках ст. 102 НК РФ, налоговики лишь выполняют возложенные на них обязанности по обработке запроса налогоплательщика на раскрытие его налоговой тайны и предоставление по запросам раскрытых им общедоступных сведений третьим лицам.

По смыслу положений Закона о персональных данных, компания-работодатель, решившая принять участие в отраслевом проекте по обелению отрасли и раскрыть свою налоговую тайну по кейсу GRUZ, становится оператором персональных данных, разрешенных к распространению, так как планирует обрабатывать и распространять ПДнРР своих работников (ФИО ИНН).

Подать согласие на раскрытие налоговой тайны по кейсу GRUZ без предварительного получения вышеуказанного согласия от работника юридическое лицо не имеет права, так как «молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения». При этом Согласие должно содержать прямое разрешение на распространение ПДнРР и прописанное отсутствие запретов на их обработку.

Перед подачей согласия в ФНС будущий участник Реестра БелыйФМ или иных реестров, использующих информацию, раскрытую по кейсу GRUZ, должен:

  • откорректировать локальные нормативные акты организации в области обработки персональных данных;
  • подготовить и разместить на своем сайте Политику в отношении обработки персональных данных;
  • ознакомить с Политикой своих работников и разъяснить им их права в части отзыва согласия и запретов на обработку ПДн;
  • получить Согласия от работников, предоставляющие право оператору ПДн раскрывать неограниченному кругу лиц и делать общедоступными персональные данные субъекта (ФИО ИНН) с конкретными сроками действия этих согласий и указанием операторов, которым предоставляется право обрабатывать и распространять раскрытые персональные данные (как минимум, должна быть указана компания-работодатель);
  • опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку ПДнРР неограниченным кругом лиц в срок не позднее трех рабочих дней с момента получения соответствующего согласия субъекта персональных данных (прим. ред. — в настоящий момент регулятором не определен формат и места публикации такой информации).

Стоит отметить, что оператор (работодатель) не имеет права принуждать субъекта к подписанию Согласия, так как в соответствии с п. 1 ст. 9 ФЗ-152, гражданин принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. То есть пугать увольнением или расторжением договора за отказ подписать Согласие — противозаконно. А полученный под угрозами документ не будет иметь юридической силы.

Помимо работодателей, Согласия на обработку персональных данных, разрешенных к использованию, с работников компаний, раскрывших налоговую тайну по кейсу GRUZ, должны собирать и те, кто планирует запросить общедоступную информацию о таких организациях через форму КНД 1110070, — ИП и юридические лица любой формы собственности (коммерческие и некоммерческие). Перед запросом такой информации на сайте организации-получателя должна быть опубликована Политика в отношении обработки персональных данных и сведения об условиях обработки ПДнРР по полученным Согласиям.

До 01.07.2021 Согласия на обработку ПДн должны передаваться субъектом либо его представителем по нотариальной доверенности непосредственно оператору персональных данных в письменной форме на бумажном носителе или в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Роскомнадзор своим приказом утвердил Требования к содержанию согласия на обработку персональных данных, разрешенных для распространения. Они вступают в силу 01.09.2021, но использовать эти рекомендации лучше уже сейчас, чтобы не собирать согласия заново в сентябре.

Закон предупреждает, что оператору ПДн в случае проверки Роскомнадзора или в судебном процессе придется самому доказывать наличие у него Согласий на обработку соответствующих персональных данных. То же касается и случаев раскрытия ПДн неопределенному кругу лиц вследствие правонарушения, например, когда работодатель «забыл» получить Согласие на предоставление неограниченному кругу лиц персональных данных от работника перед отправкой согласия в ФНС на раскрытие налоговой тайны по кейсу GRUZ. В этом случае и работодатель, и получатель общедоступной информации, как и любое лицо, осуществившее распространение или иную обработку ПДн работника, будут обязаны предоставить доказательства законности последующего распространения или иной обработки таких персональных данных.

За нарушение законодательства в области ПДн предусматривается административная ответственность в соответствии с положениями ст. 13.11 КоАП, в которой с 27.03.2021 ужесточены наказания: штрафы удвоены, а предупреждения отменены. То есть при выявлении нарушения платить придется в любом случае. А в соответствии с положениями статьи 2.1 КоАП виновным в совершении административного правонарушения юридическое лицо признается, «если будет установлено, что у него имелась возможность для соблюдения правил и норм, за нарушение которых настоящим Кодексом или законами субъекта Российской Федерации предусмотрена административная ответственность, но данным лицом не были приняты все зависящие от него меры по их соблюдению». В случае выявления конкретных должностных лиц, по вине которых закон был нарушен, их привлекут к административной ответственности по той же норме, как и юридическое лицо. Таким образом, за одно правонарушение будут судить и компанию, и ее ответственных сотрудников.

Нарушение Закона о персональных данных участниками отраслевых проектов обеления будет являться длящимся, начиная с момента подачи Согласия на раскрытие налоговой тайны в ФНС, благодаря бессрочности такого согласия. При таком правонарушении сроки начинают исчисляться со дня его обнаружения должностным лицом, уполномоченным составлять протокол об административном правонарушении, выявило факт его совершения. Однако, судебная практика по этому вопросу разнородна. Поэтому привлечение к административной ответственности по срокам давности (3 месяца) останется на усмотрение конкретного суда.

Заинтересованные могут ознакомиться и самостоятельно рассчитать величину возможных штрафных санкций для компаний и их руководителей за нарушение Закона о персональных данных при участии в отраслевых проектах обеления ФНС.

Для справки: в настоящий момент в Реестре БелыйФМ 328 организаций и ИП со среднесписочной штатной численностью — 343 человека.

1. За использование компанией-работодателем стандартного Согласия работника, не предоставляющего прав на раскрытие информации неопределенному кругу лиц, в качестве основания для подачи Согласия на раскрытие налоговой тайны по кейсу GRUZ (п.1 ст. 13.11 КоАП) возможны штрафы:

  • для должностных лиц — от 10 тыс. до 20 тыс. руб.;
  • для юридических лиц — от 60 тыс. до 100 тыс. руб.

2. За раскрытие компанией-работодателем налоговой тайны по кейсу GRUZ без предварительного получения Согласия на обработку ПДнРР работника, не получение (отсутствие) Согласия у нового работника, принятого на работу после раскрытия налоговой тайны по кейсу GRUZ, использование Согласия с неполным составом сведений, установленным законом, в том числе сроков действия и операторов, которым разрешено обрабатывать и распространять персональные данные работника (п.2 ст. 13.11 КоАП) возможны штрафы:

  • для должностных лиц — от 20 тыс. до 40 тыс. руб.;
  • для юридических лиц — от 30 тыс. до 150 тыс. руб.

3. За отсутствие опубликованной Политики в отношении персональных данных у компании-работодателя или компании-получателя общедоступной информации по кейсу GRUZ (п.3 ст. 13.11 КоАП) возможны штрафы:

  • для должностных лиц — от 6 тыс. до 12 тыс. руб.;
  • для юридических лиц — от 30 тыс. до 60 тыс. руб.;
  • для ИП — от 10 тыс. до 20 тыс. руб.

4. За нарушение сроков (3-10 рабочих дней) выполнения требования субъекта ПДн по прекращению обработки или удалению персональных данных при их неправомерной обработке компанией-работодателем или компанией-получателем общедоступной информации по кейсу GRUZ (п.5 ст. 13.11 КоАП) возможны штрафы:

  • для должностных лиц — от 8 тыс. до 20 тыс. руб.;
  • для юридических лиц — от 50 тыс. до 90 тыс. руб.;
  • для ИП — от 20 тыс. до 40 тыс. руб.

Начать дискуссию