Автор: Е. Е. Каравайкина
Журнал "Предприятия общественного питания: бухгалтерский учет и налогообложение" № 8/2017
Являются ли абонентский номер и адрес электронной почты, передаваемые клиентом до момента расчета пользователю ККТ, его персональными данными? Нужно ли на их обработку получать согласие клиента? Какие иные требования должен соблюдать пользователь ККТ в части работы с указанными данными?
По новым правилам, если покупатель до момента расчета предоставляет пользователю онлайн-кассы абонентский номер (номер телефона) или адрес электронной почты, кассовый чек или бланк строгой отчетности в электронной форме должен быть направлен клиенту на этот номер или адрес[1]. (Фискальный документ (кассовый чек или БСО) направляется на адрес электронной почты покупателя при наличии на то у пользователя ККТ технической возможности.) Являются ли абонентский номер и адрес электронной почты персональными данными клиента? Нужно ли на их обработку получать согласие клиента? Какие иные требования должен соблюдать пользователь ККТ в части работы с указанными данными?
Абонентский номер и адрес электронной почты – персональные данные?
Отношения, связанные с обработкой персональных данных, регулируются Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». Целью данного закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Основные понятия, в том числе определение термина «персональные данные», используемые в указанном законе, приведены в ст. 3.
Персональные данные |
→ |
Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) |
Аналогичное определение представлено в Конвенции о защите физических лиц при автоматизированной обработке персональных данных[2]: персональные данные означают любую информацию об определенном или поддающемся определению физическом лице (субъекте данных).
Как видим, в Федеральном законе № 152-ФЗ не конкретизировано, какую именно информацию следует считать персональными данными физического лица (на этом заострили внимание и судьи АС УО в Постановлении от 16.06.2017 № Ф09-2601/17 по делу № А76-31031/2015). В свою очередь, Роскомнадзор подчеркнул: принцип идентификации физического лица по фамилии, имени, отчеству из всего массива информации не является единственно возможным критерием отнесения обработанных сведений к персональным данным (см. Письмо от 20.01.2017 № 08АП-6054).
В связи с этим, как разъяснил Минкомсвязи в Письме от 07.07.2017 № П11-15054-ОГ, абонентский номер и адрес электронной почты могут быть признаны персональными данными в том случае, когда такая информация относится к прямо или косвенно определенному или определяемому физическому лицу. Соответственно, абонентский номер или адрес электронной почты, принадлежащий юридическому лицу, не может рассматриваться в качестве персональных данных.
Пользователь ККТ – оператор персональных данных?
Тот факт, что абонентский номер и адрес электронной почты могут являться персональными данными клиента – физического лица, означает, что пользователь ККТ, по сути, признается оператором персональных данных.
Оператор персональных | → | Государственный (муниципальный) орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), |
Нужно ли согласие клиента на обработку персональных данных при расчетах?
Что следует понимать под обработкой персональных данных, также указано в ст. 3 Федерального закона № 152-ФЗ.
Обработка персональных | → |
Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных |
В силу п. 1 ч. 1 ст. 6 Федерального закона № 152-ФЗ обработка персональных данных осуществляется с согласия субъекта персональных данных. В то же время в п. 2 – 11 ч. 1 указанной статьи перечислены случаи, когда допускается обработка персональных данных без согласия. Один из таких случаев – это когда обработка персональных данных необходима для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей.
Обязанность пользователя ККТ при осуществлении расчета направить покупателю фискальный документ в электронной форме на предоставленный им абонентский номер либо адрес электронной почты квалифицируется как осуществление и выполнение возложенных законодательством РФ на оператора персональных данных функций, полномочий и обязанностей в соответствии с п. 2 ч. 1 ст. 6 Федерального закона № 152-ФЗ. Следовательно, пользователю ККТ (выступающему в роли оператора персональных данных) при предоставлении покупателем – физическим лицом номера телефона (адреса электронной почты) не нужно получать от него согласия на обработку персональных данных.
Обработка персональных данных при расчетах – уведомительное действие?
По общему правилу, закрепленному в ч. 1 ст. 22 Федерального закона № 152-ФЗ, оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (таковым является Роскомнадзор) о своем намерении осуществлять обработку персональных данных. Из этого правила есть случаи-исключения, перечисленные в ч. 2 указанной статьи. В частности, оператор вправе осуществлять без уведомления уполномоченного органа обработку персональных данных:
-
полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения названного договора и заключения договоров с субъектом персональных данных;
-
включающих в себя только фамилии, имена и отчества субъектов персональных данных;
-
обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и соблюдению прав субъектов персональных данных[3].
Наш случай исключением не является, поэтому пользователь ККТ как оператор персональных данных должен поставить в известность территориальный орган Роскомнадзора по месту своей регистрации в налоговом органе о намерении производить обработку персональных данных. (Порядок заполнения формы[4] уведомления об обработке (о намерении осуществлять обработку) персональных данных разъяснен в рекомендациях по заполнению указанной формы, утвержденных Роскомнадзором 29.01.2016.) Если все в порядке, в течение 30 дней сведения, приведенные в уведомлении (перечислены в ч. 3 ст. 22 Федерального закона № 152-ФЗ), вносятся уполномоченным органом в реестр операторов.
Уведомление об обработке (о намерении осуществлять обработку)
персональных данных
(полное и сокращенное наименования, фамилия, имя, отчество оператора)
(адрес местонахождения и почтовый адрес оператора)
руководствуясь:
(правовое основание обработки персональных данных)
с целью:
цель обработки персональных данных)
осуществляет обработку:
(категории персональных данных)
принадлежащих:
(категории субъектов, персональные данные которых обрабатываются)
Обработка вышеуказанных персональных данных будет осуществляться путем:
(перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных)
Для обеспечения безопасности персональных данных принимаются следующие меры:
(описание мер, предусмотренных ст. ст. 18.1 и 19 Федерального закона № 152-ФЗ от 27.07.2006
“О персональных данных”, в т.ч. сведения о наличии шифровальных (криптографических)
средств и наименования этих средств; фамилия, имя, отчество физического лица или наименование
юридического лица, ответственных за организацию обработки персональных данных,
и номера их контактных телефонов, почтовые адреса и адреса электронной почты)Сведения о наличии или об отсутствии трансграничной передачи персональных данных:
(при наличии трансграничной передачи персональных данных в процессе их обработки указывается
перечень иностранных государств, на территорию которых осуществляется трансграничная передача персональных данных)Сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации:
(страна, адрес местонахождения базы данных, наименование информационной системы (базы данных)
Сведения об обеспечении безопасности персональных данных:
(сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации)
Дата начала обработки персональных данных
(число, месяц, год)
Срок или условие прекращения обработки персональных данных:
(число, месяц, год или основание (условие), наступление которого повлечет прекращение обработки персональных данных)
(должность)
(подпись)
расшифровка подписи
“
”
20
г.
Непредставление или несвоевременное (например, после начала обработки персональных данных) представление в Роскомнадзор уведомления об обработке персональных данных является административно наказуемым деянием. Мера ответственности – предупреждение или штраф, размер которого колеблется от 100 до 300 руб. для граждан, от 300 до 500 руб. для должностных лиц и ИП, от 3 000 до 5 000 руб. для юридических лиц (ст. 19.7 КоАП РФ).
Какие иные требования должен соблюдать оператор персональных данных?
Список обязанностей оператора персональных данных представлен в гл. 4 Федерального закона № 152-ФЗ. В список среди прочего входит необходимость издания оператором, являющимся юридическим лицом, документа, определяющего политику оператора в отношении обработки персональных данных. Причем этот документ должен быть опубликован или к нему должен быть обеспечен неограниченный доступ иным образом. Нарушение данного требования – также административно наказуемое деяние, следствием которого может стать предупреждение или штраф (для должностных лиц в размере от 3 000 до 6 000 руб., для юридических лиц в размере от 15 000 до 30 000 руб.) (ч. 3 ст. 13.11 КоАП РФ).
Обратите внимание: на официальном сайте Роскомнадзора (www.rkn.gov.ru) опубликованы рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, разработанные в целях выработки унифицированных подходов к структуре и форме указанного документа. В политику рекомендовано включить такие структурные компоненты, как:
-
общие положения;
-
цели сбора персональных данных;
-
правовые основания обработки персональных данных;
-
объем и категории обрабатываемых персональных данных, категории субъектов персональных данных;
-
порядок и условия обработки персональных данных;
-
актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным.
Кстати, Роскомнадзор на своем официальном сайте сообщил, что наиболее частыми нарушениями в сфере защиты прав субъектов персональных данных по результатам проверок, проведенных в I полугодии 2017 года, явились:
-
представление в уполномоченный орган уведомления об обработке персональных данных, содержащего неполные и (или) недостоверные сведения;
-
непринятие оператором мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом № 152-ФЗ;
-
несоответствие типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, требованиям законодательства РФ;
-
непредставление в уполномоченный орган сведений о прекращении обработки персональных данных или об изменении информации, содержащейся в уведомлении об обработке персональных данных;
-
несоблюдение оператором требований по информированию лиц, осуществляющих обработку персональных данных без использования средств автоматизации;
-
несоответствие содержания письменного согласия субъекта персональных данных на обработку персональных данных требованиям законодательства РФ;
-
обработка персональных данных в случаях, не предусмотренных Федеральным законом № 152-ФЗ;
-
отсутствие у оператора места (мест) хранения персональных данных (материальных носителей), перечня лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
* * *
Абонентский номер и адрес электронной почты, если таковые относятся к прямо и (или) косвенно определенному (определяемому) физическому лицу, признаются персональными данными, поэтому пользователь онлайн-кассы, получивший данные сведения до момента расчета от покупателя, выступает в роли оператора персональных данных. Следствием того является необходимость соблюдения требований Федерального закона № 152-ФЗ, в том числе требования подачи уведомления в соответствующий орган Роскомнадзора о намерении осуществлять обработку персональных данных, составления и издания документа, определяющего политику оператора в отношении обработки персональных данных. Несоблюдение данных требований – это административно наказуемое деяние.
[1] Это требование п. 2 ст. 1.2 Федерального закона от 22.05.2003 № 54-ФЗ «О применении контрольно-кассовой техники при осуществлении наличных денежных расчетов и (или) расчетов с использованием электронных средств платежа».
[2] Заключена в г. Страсбурге 28.01.1981.
[3] Обработка персональных данных считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных, в отношении каждого из субъектов персональных данных производятся при непосредственном участии человека (п. 1 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утв. Постановлением Правительства РФ от 15.09.2008 № 687).
[4] Приведена в приложении 2 к Административному регламенту Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных», утв. Приказом Минкомсвязи РФ от 21.12.2011 № 346.
Дадим работу чиновникам! Пусть в каждой области, как, напр. в Орловской, будет семь чиновников на одного труженика!!!