Клерк.Ру

Нужно ли получать согласие клиента на обработку его данных пользователям онлайн-ККТ?

По новым правилам, если покупатель до момента расчета предоставляет пользователю онлайн-кассы абонентский номер (номер телефона) или адрес электронной почты, кассовый чек или бланк строгой отчетности в электронной форме должен быть направлен клиенту на этот номер или адрес[1]. Являются ли абонентский номер и адрес электронной почты персональными данными клиента? Нужно ли на их обработку получать согласие клиента? Какие иные требования должен соблюдать пользователь ККТ в части работы с такими данными?

Абонентский номер и адрес электронной почты – персональные данные?

Отношения, связанные с обработкой персональных данных, регулируются Федеральным законом от 27.07.2006 № 152‑ФЗ «О персональных данных». Целью данного закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

📌 Реклама

Основные понятия, в том числе определение термина «персональные данные», используемые в указанном законе, приведены в ст. 3.

ппв

Аналогичное определение представлено в Конвенции о защите физических лиц при автоматизированной обработке персональных данных: персональные данные означают любую информацию об определенном или поддающемся определению физическом лице (субъекте данных).

Как видим, в Федеральном законе № 152‑ФЗ не конкретизировано, какую именно информацию следует считать персональными данными физического лица (на этом заострили внимание и судьи АС УО в Постановлении от 16.06.2017 № Ф09-2601/17 по делу № А76-31031/2015). В свою очередь, Роскомнадзор подчеркнул: принцип идентификации физического лица по фамилии, имени, отчеству из всего массива информации не является единственно возможным критерием отнесения обработанных сведений к персональным данным (см. Письмо от 20.01.2017 № 08АП-6054).

В связи с этим, как разъяснил Минкомсвязи в Письме от 07.07.2017 № П11-15054-ОГ, абонентский номер и адрес электронной почты могут быть признаны персональными данными в том случае, когда такая информация относится к прямо или косвенно определенному или определяемому физическому лицу. Соответственно, абонентский номер или адрес электронной почты, принадлежащий юридическому лицу, не может рассматриваться в качестве персональных данных.

Пользователь ККТ – оператор персональных данных?

Тот факт, что абонентский номер и адрес электронной почты могут являться персональными данными клиента – физического лица, означает, что пользователь ККТ, по сути, признается оператором персональных данных.

аавыав

📌 Реклама

Нужно ли согласие клиента на обработку персональных данных при расчетах?

Что следует понимать под обработкой персональных данных, также указано в ст. 3 Федерального закона № 152‑ФЗ.

лоло

В силу п. 1 ч. 1 ст. 6 Федерального закона № 152‑ФЗ обработка персональных данных осуществляется с согласия субъекта персональных данных. В то же время в п. 2 – 11 ч. 1 указанной статьи перечислены случаи, когда допускается обработка персональных данных без согласия. Один из таких случаев – это когда обработка персональных данных необходима для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей.

📌 Реклама

Обязанность пользователя ККТ при осуществлении расчета направить покупателю фискальный документ в электронной форме на предоставленный им абонентский номер либо адрес электронной почты квалифицируется как осуществление и выполнение возложенных законодательством РФ на оператора персональных данных функций, полномочий и обязанностей в соответствии с п. 2 ч. 1 ст. 6 Федерального закона № 152‑ФЗ. Следовательно, пользователю ККТ (выступающему в роли оператора персональных данных) при предоставлении покупателем – физическим лицом номера телефона (адреса электронной почты) не нужно получать от него согласия на обработку персональных данных.

Обработка персональных данных при расчетах – уведомительное действие?

По общему правилу, закрепленному в ч. 1 ст. 22 Федерального закона № 152‑ФЗ, оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (таковым является Роскомнадзор) о своем намерении осуществлять обработку персональных данных. Из этого правила есть случаи-исключения, перечисленные в ч. 2 указанной статьи. В частности, оператор вправе осуществлять без уведомления уполномоченного органа обработку персональных данных:

апа

Наш случай исключением не является, поэтому пользователь ККТ как оператор персональных данных должен поставить в известность территориальный орган Роскомнадзора по месту своей регистрации в налоговом органе о намерении производить обработку персональных данных. (Порядок заполнения формы[1] уведомления об обработке (о намерении осуществлять обработку) персональных данных разъяснен в рекомендациях по заполнению указанной формы, утвержденных Роскомнадзором 29.01.2016.) Если все в порядке, в течение 30 дней сведения, приведенные в уведомлении (перечислены в ч. 3 ст. 22 Федерального закона № 152‑ФЗ), вносятся уполномоченным органом в реестр операторов.

📌 Реклама

Непредставление или несвоевременное (например, после начала обработки персональных данных) представление в Роскомнадзор уведомления об обработке персональных данных является административно наказуемым деянием. Мера ответственности – предупреждение или штраф, размер которого колеблется от 100 до 300 руб. для граждан, от 300 до 500 руб. для должностных лиц и ИП, от 3 000 до 5 000 руб. для юридических лиц (ст. 19.7 КоАП РФ).

Какие иные требования должен соблюдать
оператор персональных данных?

Список обязанностей оператора персональных данных представлен в гл. 4 Федерального закона № 152‑ФЗ. В список среди прочего входит необходимость издания оператором, являющимся юридическим лицом, документа, определяющего политику оператора в отношении обработки персональных данных. Причем этот документ должен быть опубликован или к нему должен быть обеспечен неограниченный доступ иным образом. Нарушение данного требования – также административно наказуемое деяние, следствием которого может стать предупреждение или штраф (для должностных лиц в размере от 3 000 до 6 000 руб., для юридических лиц в размере от 15 000 до 30 000 руб.) (ч. 3 ст. 13.11 КоАП РФ).

📌 Реклама

Обратите внимание: на официальном сайте Роскомнадзораопубликованы рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, разработанные в целях выработки унифицированных подходов к структуре и форме указанного документа. В политику рекомендовано включить такие структурные компоненты, как:

  • общие положения;
  • цели сбора персональных данных;
  • правовые основания обработки персональных данных;
  • объем и категории обрабатываемых персональных данных, категории субъектов персональных данных;
  • порядок и условия обработки персональных данных;
  • актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным.
Кстати, Роскомнадзор на своем официальном сайте сообщил, что наиболее частыми нарушениями в сфере защиты прав субъектов персональных данных по результатам проверок, проведенных в I полугодии 2017 года, явились:

  • представление в уполномоченный орган уведомления об обработке персональных данных, содержащего неполные и (или) недостоверные сведения;
  • непринятие оператором мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом № 152‑ФЗ;
  • несоответствие типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, требованиям законодательства РФ;
  • непредставление в уполномоченный орган сведений о прекращении обработки персональных данных или об изменении информации, содержащейся в уведомлении об обработке персональных данных;
  • несоблюдение оператором требований по информированию лиц, осуществляющих обработку персональных данных без использования средств автоматизации;
  • несоответствие содержания письменного согласия субъекта персональных данных на обработку персональных данных требованиям законодательства РФ;
  • обработка персональных данных в случаях, не предусмотренных Федеральным законом № 152‑ФЗ;
  • отсутствие у оператора места (мест) хранения персональных данных (материальных носителей), перечня лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

[1] Приведена в приложении 2 к Административному регламенту Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных», утв. Приказом Минкомсвязи РФ от 21.12.2011 № 346.

📌 Реклама

 

⚡ Бух! Молния – самые краткие и быстрые бухновости
Подписаться

Подборка полезных мероприятий

Разместить
📌 Реклама