Если оператор, который допустил утечку персональных данных, производит гражданину денежную выплату, то такая сумма учитывается в доходах, облагаемых НДФЛ. ФНС считает, что эта выплата образует экономическую выгоду в рамках ст.41 НК РФ, при этом оснований для освобождения выплаты от налога в ст.217 НК РФ нет.
Оператор в данном случае признается налоговым агентом и обязан исчислить, удержать у налогоплательщика и уплатить сумму налога в бюджет. Также оператор обязан отразить доход в отчетности по НДФЛ.
С нашей стороны добавим, что в настоящее время на рассмотрении в Госдуме находится законопроект, который предусматривает введение отдельных административных штрафов за утечку персональных данных (см. новость от 05.12.2023). Правительство предлагало внести в проект норму о смягчении ответственности, в частности, в случае осуществления оператором денежной компенсации предполагаемого вреда, нанесенного правам субъектов персональных данных.
Подробнее о том, кто и какую ответственность несет за нарушение законодательства о персональных данных, можно узнать из Готового решения.
Письмо ФНС России от 26.04.2024 N БС-4-11/5038@