Меню

Актуально









Публикация

21 Августа 2017Когда пользователь ККТ – оператор персональных данных клиента


По новым правилам, если покупатель до момента расчета предоставляет пользователю онлайн-кассы абонентский номер (номер телефона) или адрес электронной почты, кассовый чек или бланк строгой отчетности в электронной форме должен быть направлен клиенту на этот номер или адрес[1]. (Фискальный документ (кассовый чек или БСО) направляется на адрес электронной почты покупателя при наличии на то у пользователя ККТ технической возможности.) Являются ли абонентский номер и адрес электронной почты персональными данными клиента? Нужно ли на их обработку получать согласие клиента? Какие иные требования должен соблюдать пользователь ККТ в части работы с указанными данными?

Абонентский номер и адрес электронной почты – персональные данные?

Отношения, связанные с обработкой персональных данных, регулируются Федеральным законом от 27.07.2006 № 152‑ФЗ «О персональных данных». Целью данного закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Основные понятия, в том числе определение термина «персональные данные», используемые в указанном законе, приведены в ст. 3.

Аналогичное определение представлено в Конвенции о защите физических лиц при автоматизированной обработке персональных данных[2]: персональные данные означают любую информацию об определенном или поддающемся определению физическом лице (субъекте данных).

Как видим, в Федеральном законе № 152‑ФЗ не конкретизировано, какую именно информацию следует считать персональными данными физического лица (на этом заострили внимание и судьи АС УО в Постановлении от 16.06.2017 № Ф09-2601/17 по делу № А76-31031/2015). В свою очередь, Роскомнадзор подчеркнул: принцип идентификации физического лица по фамилии, имени, отчеству из всего массива информации не является единственно возможным критерием отнесения обработанных сведений к персональным данным (см. Письмо от 20.01.2017 № 08АП-6054).

В связи с этим, как разъяснил Минкомсвязи в Письме от 07.07.2017 № П11-15054-ОГ, абонентский номер и адрес электронной почты могут быть признаны персональными данными в том случае, когда такая информация относится к прямо или косвенно определенному или определяемому физическому лицу. Соответственно, абонентский номер или адрес электронной почты, принадлежащий юридическому лицу, не может рассматриваться в качестве персональных данных.

Пользователь ККТ – оператор персональных данных?

Тот факт, что абонентский номер и адрес электронной почты могут являться персональными данными клиента – физического лица, означает, что пользователь ККТ, по сути, признается оператором персональных данных.

Нужно ли согласие клиента на обработку персональных данных при расчетах?

Что следует понимать под обработкой персональных данных, также указано в ст. 3 Федерального закона № 152‑ФЗ.

В силу п. 1 ч. 1 ст. 6 Федерального закона № 152‑ФЗ обработка персональных данных осуществляется с согласия субъекта персональных данных. В то же время в п. 2 – 11 ч. 1 указанной статьи перечислены случаи, когда допускается обработка персональных данных без согласия. Один из таких случаев – это когда обработка персональных данных необходима для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей.

Обязанность пользователя ККТ при осуществлении расчета направить покупателю фискальный документ в электронной форме на предоставленный им абонентский номер либо адрес электронной почты квалифицируется как осуществление и выполнение возложенных законодательством РФ на оператора персональных данных функций, полномочий и обязанностей в соответствии с п. 2 ч. 1 ст. 6 Федерального закона № 152‑ФЗ. Следовательно, пользователю ККТ (выступающему в роли оператора персональных данных) при предоставлении покупателем – физическим лицом номера телефона (адреса электронной почты) не нужно получать от него согласия на обработку персональных данных.

Обработка персональных данных при расчетах – уведомительное действие?

По общему правилу, закрепленному в ч. 1 ст. 22 Федерального закона № 152‑ФЗ, оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (таковым является Роскомнадзор) о своем намерении осуществлять обработку персональных данных. Из этого правила есть случаи-исключения, перечисленные в ч. 2 указанной статьи. В частности, оператор вправе осуществлять без уведомления уполномоченного органа обработку персональных данных:

  • полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения названного договора и заключения договоров с субъектом персональных данных;

  • включающих в себя только фамилии, имена и отчества субъектов персональных данных;

  • обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и соблюдению прав субъектов персональных данных[3].

Наш случай исключением не является, поэтому пользователь ККТ как оператор персональных данных должен поставить в известность территориальный орган Роскомнадзора по месту своей регистрации в налоговом органе о намерении производить обработку персональных данных. (Порядок заполнения формы[4] уведомления об обработке (о намерении осуществлять обработку) персональных данных разъяснен в рекомендациях по заполнению указанной формы, утвержденных Роскомнадзором 29.01.2016.) Если все в порядке, в течение 30 дней сведения, приведенные в уведомлении (перечислены в ч. 3 ст. 22 Федерального закона № 152‑ФЗ), вносятся уполномоченным органом в реестр операторов.

Непредставление или несвоевременное (например, после начала обработки персональных данных) представление в Роскомнадзор уведомления об обработке персональных данных является административно наказуемым деянием. Мера ответственности – предупреждение или штраф, размер которого колеблется от 100 до 300 руб. для граждан, от 300 до 500 руб. для должностных лиц и ИП, от 3 000 до 5 000 руб. для юридических лиц (ст. 19.7 КоАП РФ).

Какие иные требования должен соблюдать оператор персональных данных?

Список обязанностей оператора персональных данных представлен в гл. 4 Федерального закона № 152‑ФЗ. В список среди прочего входит необходимость издания оператором, являющимся юридическим лицом, документа, определяющего политику оператора в отношении обработки персональных данных. Причем этот документ должен быть опубликован или к нему должен быть обеспечен неограниченный доступ иным образом. Нарушение данного требования – также административно наказуемое деяние, следствием которого может стать предупреждение или штраф (для должностных лиц в размере от 3 000 до 6 000 руб., для юридических лиц в размере от 15 000 до 30 000 руб.) (ч. 3 ст. 13.11 КоАП РФ).

Обратите внимание: на официальном сайте Роскомнадзора (www.rkn.gov.ru) опубликованы рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, разработанные в целях выработки унифицированных

  • подходов к структуре и форме указанного документа. В политику рекомендовано включить такие структурные компоненты, как:

  • общие положения;

  • цели сбора персональных данных;

  • правовые основания обработки персональных данных;

  • объем и категории обрабатываемых персональных данных, категории субъектов персональных данных;

  • порядок и условия обработки персональных данных;

  • актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным.

Кстати, Роскомнадзор на своем официальном сайте сообщил, что наиболее частыми нарушениями в сфере защиты прав субъектов персональных данных по результатам проверок, проведенных в I полугодии 2017 года, явились:

представление в уполномоченный орган уведомления об обработке персональных данных, содержащего неполные и (или) недостоверные сведения;

непринятие оператором мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом № 152‑ФЗ;

несоответствие типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, требованиям законодательства РФ;

непредставление в уполномоченный орган сведений о прекращении обработки персональных данных или об изменении информации, содержащейся в уведомлении об обработке персональных данных;

несоблюдение оператором требований по информированию лиц, осуществляющих обработку персональных данных без использования средств автоматизации;

несоответствие содержания письменного согласия субъекта персональных данных на обработку персональных данных требованиям законодательства РФ;

обработка персональных данных в случаях, не предусмотренных Федеральным законом № 152‑ФЗ;

отсутствие у оператора места (мест) хранения персональных данных (материальных носителей), перечня лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

* * *

Абонентский номер и адрес электронной почты, если таковые относятся к прямо и (или) косвенно определенному (определяемому) физическому лицу, признаются персональными данными, поэтому пользователь онлайн-кассы, получивший данные сведения до момента расчета от покупателя, выступает в роли оператора персональных данных. Следствием того является необходимость соблюдения требований Федерального закона № 152‑ФЗ, в том числе требования подачи уведомления в соответствующий орган Роскомнадзора о намерении осуществлять обработку персональных данных, составления и издания документа, определяющего политику оператора в отношении обработки персональных данных. Несоблюдение данных требований – это административно наказуемое деяние.


[1] Это требование п. 2 ст. 1.2 Федерального закона от 22.05.2003 № 54‑ФЗ «О применении контрольно-кассовой техники при осуществлении наличных денежных расчетов и (или) расчетов с использованием электронных средств платежа».

[2] Заключена в г. Страсбурге 28.01.1981.

[3] Обработка персональных данных считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных, в отношении каждого из субъектов персональных данных производятся при непосредственном участии человека (п. 1 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утв. Постановлением Правительства РФ от 15.09.2008 № 687).

[4] Приведена в приложении 2 к Административному регламенту Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных», утв. Приказом Минкомсвязи РФ от 21.12.2011 № 346.

Источник: Журнал "Предприятия общественного питания: бухгалтерский учет и налогообложение"



Последние публикации

21 Сентября 2017

Если работник не хочет идти в отпуск

Право отдыхать как минимум 28 календарных дней имеют все без исключения постоянные работники. И если одним такого количества дней даже не хватает, то другие не ходят в отпуск годами. А ведь это не только неудобно для работодателя и, в частности, для кадровиков, но и чревато административной ответственностью. О том, сколько лет работник может не ходить в отпуск и что делать работодателю, если некоторые работники не используют свой ежегодный отдых, поговорим в статье.

Работнику противопоказана его работа: действия работодателя

Поскольку идеально здоровых людей у нас, к сожалению, не очень много, периодически то один, то другой работник уходит на больничный. Но больничный больничному рознь, и у работника может быть выявлено заболевание, при котором он не может работать по своей должности. Прежде всего, это касается работы с тяжелыми условиями труда, но не только. Что делать работодателю, если работник не может трудиться на своем рабочем месте по состоянию здоровья, расскажем в статье.

Сроки хранения первичных документов

Известно, что хозяйствующие субъекты должны соблюдать сроки хранения первичных документов. В противном случае их отсутствие может повлечь за собой налоговую ответственность.

20 Сентября 2017

ФНС излишне взыскала «старые» взносы: как их вернуть?

В последнее время многие плательщики страховых взносов столкнулись с ситуацией, когда налоговая инспекция произвела взыскание взносов, срок уплаты которых истек до 2017 года, в том случае, когда такое взыскание проводить не надо было. Кто и как должен возвращать излишне взысканное?

Обеденный зал + бар + VIP-зал = площадь зала обслуживания посетителей

Именно такую схему применили налоговые органы при определении площади зала обслуживания посетителей в целях исчисления ЕНВД и сделали вывод о неправомерности применения обществом «вмененной» системы налогообложения при оказании услуг общественного питания в кафе. Смог ли налогоплательщик отстоять в суде право на использование спецрежима в виде ЕНВД?

Вечерние курсы повышения квалификации юристов (2- 5 мес.)

Сентябрь 2017

19 - 22 Сентября Юридическое обеспечение деятельности органов местного самоуправления Санкт-Петербург, ЦНТИ Прогресс

25 - 29 Сентября Эффективная работа службы документационного обеспечения управления (ДОУ) Санкт-Петербург, ЦНТИ Прогресс

25 - 30 Сентября Повышение квалификации юриста: инструменты правового обеспечения деятельности организации Санкт-Петербург, ЦНТИ Прогресс

26 - 29 Сентября Претензионная и исковая работа с учетом изменений ГК, ГПК, АПК и КАС РФ Санкт-Петербург, ЦНТИ Прогресс

26 - 29 Сентября Защита прав юридических лиц при проверках контролирующими органами (с учетом актуальных изменений) Санкт-Петербург, ЦНТИ Прогресс

26 - 29 Сентября Внешнеторговый контракт. Оформление и сопровождение ВЭД сделок Санкт-Петербург, ЦНТИ Прогресс

27 - 29 Сентября Независимая оценка качества оказания социальных услуг: процедура проведения, инструменты оценки и контроль Санкт-Петербург, ЦНТИ Прогресс

28 - 29 Сентября Территориальное планирование и зонирование, планировка и комплексное освоение/развитие территорий Москва, ЦНТИ Прогресс



ТОП статьи

Учетная политика предприятия на 2017 год

Сдача электронной декларации по НДС 2017 онлайн через интернет

Бухгалтерия онлайн позволяет вести тестирование и подготовку отчетности бесплатно

1с электронная отчетность

 



Налоговые новости

21 Сентября 2017

ФНС планирует обновить форму декларации по налогу на прибыль и правила ее заполнения

Налоговики опубликовали основные признаки сведений ЕГРЮЛ, признаваемых недостоверными

Эксперты констатировали, что бизнесменов до сих пор заключают под стражу, несмотря на установленные ограничения

Роспотребнадзор разработал перечень вопросов для проверочных листов, используемых при плановых проверках предприятий общественного питания и торговли

Изменен состав сведений о госрегистрации юрлиц и ИП, размещаемых в Интернете

20 Сентября 2017

Для операций по привлечению средств некредитными финорганизациями изменился стандарт бухучета

Утверждена новая форма заявления на получение патента в электронной форме

Рост акцизов на топливо существенно не повлияет на цены для потребителей – ФАС

Возмещение коммунальных расходов относится к внереализационным доходам и учитывается при налогообложении прибыли

Представление одной декларации по налогу на имущество организаций необходимо согласовывать

19 Сентября 2017

Капвложения прежнего арендатора, включенные в сумму договора перенайма, можно отнести на расходы по налогу на прибыль

Реструктуризированную задолженность нельзя включить в резерв по сомнительным долгам

Банк России подсказал, как оформить распорядительный документ на выдачу наличных под отчет

Минфин вновь подтвердил, что журнал кассира-операциониста можно не вести

Предприниматель на УСН должен отслеживать стоимость ОС

читать все Новости