Автор: Е. Е. Каравайкина

Журнал "Предприятия общественного питания: бухгалтерский учет и налогообложение" № 8/2017

Являются ли абонентский номер и адрес электронной почты, передаваемые клиентом до момента расчета пользователю ККТ, его персональными данными? Нужно ли на их обработку получать согласие клиента? Какие иные требования должен соблюдать пользователь ККТ в части работы с указанными данными?

По новым правилам, если покупатель до момента расчета предоставляет пользователю онлайн-кассы абонентский номер (номер телефона) или адрес электронной почты, кассовый чек или бланк строгой отчетности в электронной форме должен быть направлен клиенту на этот номер или адрес[1]. (Фискальный документ (кассовый чек или БСО) направляется на адрес электронной почты покупателя при наличии на то у пользователя ККТ технической возможности.) Являются ли абонентский номер и адрес электронной почты персональными данными клиента? Нужно ли на их обработку получать согласие клиента? Какие иные требования должен соблюдать пользователь ККТ в части работы с указанными данными?

Абонентский номер и адрес электронной почты – персональные данные?

Отношения, связанные с обработкой персональных данных, регулируются Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». Целью данного закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Основные понятия, в том числе определение термина «персональные данные», используемые в указанном законе, приведены в ст. 3.

Персональные данные

Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)

Аналогичное определение представлено в Конвенции о защите физических лиц при автоматизированной обработке персональных данных[2]: персональные данные означают любую информацию об определенном или поддающемся определению физическом лице (субъекте данных).

Как видим, в Федеральном законе № 152-ФЗ не конкретизировано, какую именно информацию следует считать персональными данными физического лица (на этом заострили внимание и судьи АС УО в Постановлении от 16.06.2017 № Ф09-2601/17 по делу № А76-31031/2015). В свою очередь, Роскомнадзор подчеркнул: принцип идентификации физического лица по фамилии, имени, отчеству из всего массива информации не является единственно возможным критерием отнесения обработанных сведений к персональным данным (см. Письмо от 20.01.2017 № 08АП-6054).

В связи с этим, как разъяснил Минкомсвязи в Письме от 07.07.2017 № П11-15054-ОГ, абонентский номер и адрес электронной почты могут быть признаны персональными данными в том случае, когда такая информация относится к прямо или косвенно определенному или определяемому физическому лицу. Соответственно, абонентский номер или адрес электронной почты, принадлежащий юридическому лицу, не может рассматриваться в качестве персональных данных.

Пользователь ККТ – оператор персональных данных?

Тот факт, что абонентский номер и адрес электронной почты могут являться персональными данными клиента – физического лица, означает, что пользователь ККТ, по сути, признается оператором персональных данных.

Оператор персональных  Государственный (муниципальный) орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), 

Нужно ли согласие клиента на обработку персональных данных при расчетах?

Что следует понимать под обработкой персональных данных, также указано в ст. 3 Федерального закона № 152-ФЗ.

Обработка персональных 

Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных

В силу п. 1 ч. 1 ст. 6 Федерального закона № 152-ФЗ обработка персональных данных осуществляется с согласия субъекта персональных данных. В то же время в п. 2 – 11 ч. 1 указанной статьи перечислены случаи, когда допускается обработка персональных данных без согласия. Один из таких случаев – это когда обработка персональных данных необходима для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей.

Обязанность пользователя ККТ при осуществлении расчета направить покупателю фискальный документ в электронной форме на предоставленный им абонентский номер либо адрес электронной почты квалифицируется как осуществление и выполнение возложенных законодательством РФ на оператора персональных данных функций, полномочий и обязанностей в соответствии с п. 2 ч. 1 ст. 6 Федерального закона № 152-ФЗ. Следовательно, пользователю ККТ (выступающему в роли оператора персональных данных) при предоставлении покупателем – физическим лицом номера телефона (адреса электронной почты) не нужно получать от него согласия на обработку персональных данных.

Обработка персональных данных при расчетах – уведомительное действие?

По общему правилу, закрепленному в ч. 1 ст. 22 Федерального закона № 152-ФЗ, оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (таковым является Роскомнадзор) о своем намерении осуществлять обработку персональных данных. Из этого правила есть случаи-исключения, перечисленные в ч. 2 указанной статьи. В частности, оператор вправе осуществлять без уведомления уполномоченного органа обработку персональных данных:

  • полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения названного договора и заключения договоров с субъектом персональных данных;

  • включающих в себя только фамилии, имена и отчества субъектов персональных данных;

  • обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и соблюдению прав субъектов персональных данных[3].

Наш случай исключением не является, поэтому пользователь ККТ как оператор персональных данных должен поставить в известность территориальный орган Роскомнадзора по месту своей регистрации в налоговом органе о намерении производить обработку персональных данных. (Порядок заполнения формы[4] уведомления об обработке (о намерении осуществлять обработку) персональных данных разъяснен в рекомендациях по заполнению указанной формы, утвержденных Роскомнадзором 29.01.2016.) Если все в порядке, в течение 30 дней сведения, приведенные в уведомлении (перечислены в ч. 3 ст. 22 Федерального закона № 152-ФЗ), вносятся уполномоченным органом в реестр операторов.


Уведомление об обработке (о намерении осуществлять обработку)
персональных данных


(полное и сокращенное наименования, фамилия, имя, отчество оператора)


(адрес местонахождения и почтовый адрес оператора)

руководствуясь: 


(правовое основание обработки персональных данных)

с целью: 


цель обработки персональных данных)

осуществляет обработку: 


(категории персональных данных)

принадлежащих: 


(категории субъектов, персональные данные которых обрабатываются)

Обработка вышеуказанных персональных данных будет осуществляться путем: 


(перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных)

Для обеспечения безопасности персональных данных принимаются следующие меры: 


(описание мер, предусмотренных ст. ст. 18.1 и 19 Федерального закона № 152-ФЗ от 27.07.2006


“О персональных данных”, в т.ч. сведения о наличии шифровальных (криптографических)

средств и наименования этих средств; фамилия, имя, отчество физического лица или наименование

юридического лица, ответственных за организацию обработки персональных данных,

и номера их контактных телефонов, почтовые адреса и адреса электронной почты)

Сведения о наличии или об отсутствии трансграничной передачи персональных данных: 


(при наличии трансграничной передачи персональных данных в процессе их обработки указывается


перечень иностранных государств, на территорию которых осуществляется трансграничная передача персональных данных)

Сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации: 


(страна, адрес местонахождения базы данных, наименование информационной системы (базы данных)

Сведения об обеспечении безопасности персональных данных: 


(сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации)

Дата начала обработки персональных данных         


                                                                                                                                     (число, месяц, год)

Срок или условие прекращения обработки персональных данных: 


(число, месяц, год или основание (условие), наступление которого повлечет прекращение обработки персональных данных)

 

 

 

 

 

(должность)

 

(подпись)

 

расшифровка подписи

 

 

20

 

г.


Непредставление или несвоевременное (например, после начала обработки персональных данных) представление в Роскомнадзор уведомления об обработке персональных данных является административно наказуемым деянием. Мера ответственности – предупреждение или штраф, размер которого колеблется от 100 до 300 руб. для граждан, от 300 до 500 руб. для должностных лиц и ИП, от 3 000 до 5 000 руб. для юридических лиц (ст. 19.7 КоАП РФ).

Какие иные требования должен соблюдать оператор персональных данных?

Список обязанностей оператора персональных данных представлен в гл. 4 Федерального закона № 152-ФЗ. В список среди прочего входит необходимость издания оператором, являющимся юридическим лицом, документа, определяющего политику оператора в отношении обработки персональных данных. Причем этот документ должен быть опубликован или к нему должен быть обеспечен неограниченный доступ иным образом. Нарушение данного требования – также административно наказуемое деяние, следствием которого может стать предупреждение или штраф (для должностных лиц в размере от 3 000 до 6 000 руб., для юридических лиц в размере от 15 000 до 30 000 руб.) (ч. 3 ст. 13.11 КоАП РФ).

Обратите внимание: на официальном сайте Роскомнадзора (www.rkn.gov.ru) опубликованы рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, разработанные в целях выработки унифицированных подходов к структуре и форме указанного документа. В политику рекомендовано включить такие структурные компоненты, как:

  • общие положения;

  • цели сбора персональных данных;

  • правовые основания обработки персональных данных;

  • объем и категории обрабатываемых персональных данных, категории субъектов персональных данных;

  • порядок и условия обработки персональных данных;

  • актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным.

Кстати, Роскомнадзор на своем официальном сайте сообщил, что наиболее частыми нарушениями в сфере защиты прав субъектов персональных данных по результатам проверок, проведенных в I полугодии 2017 года, явились:

  • представление в уполномоченный орган уведомления об обработке персональных данных, содержащего неполные и (или) недостоверные сведения;

  • непринятие оператором мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом № 152-ФЗ;

  • несоответствие типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, требованиям законодательства РФ;

  • непредставление в уполномоченный орган сведений о прекращении обработки персональных данных или об изменении информации, содержащейся в уведомлении об обработке персональных данных;

  • несоблюдение оператором требований по информированию лиц, осуществляющих обработку персональных данных без использования средств автоматизации;

  • несоответствие содержания письменного согласия субъекта персональных данных на обработку персональных данных требованиям законодательства РФ;

  • обработка персональных данных в случаях, не предусмотренных Федеральным законом № 152-ФЗ;

  • отсутствие у оператора места (мест) хранения персональных данных (материальных носителей), перечня лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

* * *

Абонентский номер и адрес электронной почты, если таковые относятся к прямо и (или) косвенно определенному (определяемому) физическому лицу, признаются персональными данными, поэтому пользователь онлайн-кассы, получивший данные сведения до момента расчета от покупателя, выступает в роли оператора персональных данных. Следствием того является необходимость соблюдения требований Федерального закона № 152-ФЗ, в том числе требования подачи уведомления в соответствующий орган Роскомнадзора о намерении осуществлять обработку персональных данных, составления и издания документа, определяющего политику оператора в отношении обработки персональных данных. Несоблюдение данных требований – это административно наказуемое деяние.


[1] Это требование п. 2 ст. 1.2 Федерального закона от 22.05.2003 № 54-ФЗ «О применении контрольно-кассовой техники при осуществлении наличных денежных расчетов и (или) расчетов с использованием электронных средств платежа».

[2] Заключена в г. Страсбурге 28.01.1981.

[3] Обработка персональных данных считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных, в отношении каждого из субъектов персональных данных производятся при непосредственном участии человека (п. 1 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утв. Постановлением Правительства РФ от 15.09.2008 № 687).

[4] Приведена в приложении 2 к Административному регламенту Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных», утв. Приказом Минкомсвязи РФ от 21.12.2011 № 346.