По новым правилам, если покупатель до момента расчета предоставляет пользователю онлайн-кассы абонентский номер (номер телефона) или адрес электронной почты, кассовый чек или бланк строгой отчетности в электронной форме должен быть направлен клиенту на этот номер или адрес[1]. Являются ли абонентский номер и адрес электронной почты персональными данными клиента? Нужно ли на их обработку получать согласие клиента? Какие иные требования должен соблюдать пользователь ККТ в части работы с такими данными?
Абонентский номер и адрес электронной почты – персональные данные?
Отношения, связанные с обработкой персональных данных, регулируются Федеральным законом от 27.07.2006 № 152‑ФЗ «О персональных данных». Целью данного закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Основные понятия, в том числе определение термина «персональные данные», используемые в указанном законе, приведены в ст. 3.
Аналогичное определение представлено в Конвенции о защите физических лиц при автоматизированной обработке персональных данных: персональные данные означают любую информацию об определенном или поддающемся определению физическом лице (субъекте данных).
Как видим, в Федеральном законе № 152‑ФЗ не конкретизировано, какую именно информацию следует считать персональными данными физического лица (на этом заострили внимание и судьи АС УО в Постановлении от 16.06.2017 № Ф09-2601/17 по делу № А76-31031/2015). В свою очередь, Роскомнадзор подчеркнул: принцип идентификации физического лица по фамилии, имени, отчеству из всего массива информации не является единственно возможным критерием отнесения обработанных сведений к персональным данным (см. Письмо от 20.01.2017 № 08АП-6054).
В связи с этим, как разъяснил Минкомсвязи в Письме от 07.07.2017 № П11-15054-ОГ, абонентский номер и адрес электронной почты могут быть признаны персональными данными в том случае, когда такая информация относится к прямо или косвенно определенному или определяемому физическому лицу. Соответственно, абонентский номер или адрес электронной почты, принадлежащий юридическому лицу, не может рассматриваться в качестве персональных данных.
Пользователь ККТ – оператор персональных данных?
Тот факт, что абонентский номер и адрес электронной почты могут являться персональными данными клиента – физического лица, означает, что пользователь ККТ, по сути, признается оператором персональных данных.
Нужно ли согласие клиента на обработку персональных данных при расчетах?
Что следует понимать под обработкой персональных данных, также указано в ст. 3 Федерального закона № 152‑ФЗ.
В силу п. 1 ч. 1 ст. 6 Федерального закона № 152‑ФЗ обработка персональных данных осуществляется с согласия субъекта персональных данных. В то же время в п. 2 – 11 ч. 1 указанной статьи перечислены случаи, когда допускается обработка персональных данных без согласия. Один из таких случаев – это когда обработка персональных данных необходима для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей.
Обязанность пользователя ККТ при осуществлении расчета направить покупателю фискальный документ в электронной форме на предоставленный им абонентский номер либо адрес электронной почты квалифицируется как осуществление и выполнение возложенных законодательством РФ на оператора персональных данных функций, полномочий и обязанностей в соответствии с п. 2 ч. 1 ст. 6 Федерального закона № 152‑ФЗ. Следовательно, пользователю ККТ (выступающему в роли оператора персональных данных) при предоставлении покупателем – физическим лицом номера телефона (адреса электронной почты) не нужно получать от него согласия на обработку персональных данных.
Обработка персональных данных при расчетах – уведомительное действие?
По общему правилу, закрепленному в ч. 1 ст. 22 Федерального закона № 152‑ФЗ, оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (таковым является Роскомнадзор) о своем намерении осуществлять обработку персональных данных. Из этого правила есть случаи-исключения, перечисленные в ч. 2 указанной статьи. В частности, оператор вправе осуществлять без уведомления уполномоченного органа обработку персональных данных:
Наш случай исключением не является, поэтому пользователь ККТ как оператор персональных данных должен поставить в известность территориальный орган Роскомнадзора по месту своей регистрации в налоговом органе о намерении производить обработку персональных данных. (Порядок заполнения формы[1]уведомления об обработке (о намерении осуществлять обработку) персональных данных разъяснен в рекомендациях по заполнению указанной формы, утвержденных Роскомнадзором 29.01.2016.) Если все в порядке, в течение 30 дней сведения, приведенные в уведомлении (перечислены в ч. 3 ст. 22 Федерального закона № 152‑ФЗ), вносятся уполномоченным органом в реестр операторов.
Непредставление или несвоевременное (например, после начала обработки персональных данных) представление в Роскомнадзор уведомления об обработке персональных данных является административно наказуемым деянием. Мера ответственности – предупреждение или штраф, размер которого колеблется от 100 до 300 руб. для граждан, от 300 до 500 руб. для должностных лиц и ИП, от 3 000 до 5 000 руб. для юридических лиц (ст. 19.7 КоАП РФ).
Какие иные требования должен соблюдать
оператор персональных данных?
Список обязанностей оператора персональных данных представлен в гл. 4 Федерального закона № 152‑ФЗ. В список среди прочего входит необходимость издания оператором, являющимся юридическим лицом, документа, определяющего политику оператора в отношении обработки персональных данных. Причем этот документ должен быть опубликован или к нему должен быть обеспечен неограниченный доступ иным образом. Нарушение данного требования – также административно наказуемое деяние, следствием которого может стать предупреждение или штраф (для должностных лиц в размере от 3 000 до 6 000 руб., для юридических лиц в размере от 15 000 до 30 000 руб.) (ч. 3 ст. 13.11 КоАП РФ).
Обратите внимание: на официальном сайте Роскомнадзораопубликованы рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, разработанные в целях выработки унифицированных подходов к структуре и форме указанного документа. В политику рекомендовано включить такие структурные компоненты, как:
- общие положения;
- цели сбора персональных данных;
- правовые основания обработки персональных данных;
- объем и категории обрабатываемых персональных данных, категории субъектов персональных данных;
- порядок и условия обработки персональных данных;
- актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным.
Кстати, Роскомнадзор на своем официальном сайте сообщил, что наиболее частыми нарушениями в сфере защиты прав субъектов персональных данных по результатам проверок, проведенных в I полугодии 2017 года, явились:
- представление в уполномоченный орган уведомления об обработке персональных данных, содержащего неполные и (или) недостоверные сведения;
- непринятие оператором мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренныхФедеральным законом № 152‑ФЗ;
- несоответствие типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, требованиям законодательства РФ;
- непредставление в уполномоченный орган сведений о прекращении обработки персональных данных или об изменении информации, содержащейся в уведомлении об обработке персональных данных;
- несоблюдение оператором требований по информированию лиц, осуществляющих обработку персональных данных без использования средств автоматизации;
- несоответствие содержания письменного согласия субъекта персональных данных на обработку персональных данных требованиям законодательства РФ;
- обработка персональных данных в случаях, не предусмотренных Федеральным законом № 152‑ФЗ;
- отсутствие у оператора места (мест) хранения персональных данных (материальных носителей), перечня лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.