Легальное использование персональных данных в интернет-магазине

Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с ЗАО «Сбербанк-АСТ». Слушателям, успешно освоившим программу выдаются удостоверения установленного образца.

Программа, разработана совместно с ЗАО «Сбербанк-АСТ». Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.

Организация заключает договор на поставку и оказание услуг с физическими лицами (в том числе физическими лицами, являющимися ИП), при этом клиенты представляют свои персональные данные: фамилию, имя, отчество, адрес проживания, адрес регистрации, паспортные данные, данные об ИНН и из пенсионного свидетельства. Следует ли организации брать со своих контрагентов – физических лиц письменное согласие на обработку персональных данных?

Рассмотрев вопрос, мы пришли к следующему выводу:

Обработка персональных данных контрагентов – физических лиц (в том числе физических лиц, являющихся индивидуальными предпринимателями), с которыми непосредственно у организации заключен договор, может осуществляться без согласия на обработку персональных данных при условии, что эти данные не будут распространяться и предоставляться третьим лицам без согласия субъекта персональных данных и будут обрабатываться только в целях исполнения заключенных с ними договоров поставки (оказания услуг).

Обоснование вывода:

В соответствии со ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее – Закон N 152-ФЗ) персональными данными (далее – ПДн) является любая информация, относящаяся к прямо или косвенно определенному или определяемому на основании такой информации физическому лицу (субъекту ПДн). Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн, признаются обработкой ПДн (п. 3 ч. 1 ст. 3 Закона N 152-ФЗ). Оператором ПДн, как следует из п. 2 ст. 3 Закона N 152-ФЗ, является лицо, в том числе юридическое, организующее и (или) осуществляющее обработку ПДн, а также определяющее цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн. При этом лицо признается оператором ПДн вне зависимости от какой-либо регистрации, наличия или отсутствия специальных разрешений, а в силу самого факта осуществления им деятельности по обработке ПДн.

Следовательно, Ваша организация в рассматриваемом случае является оператором ПДн.

Случаи, при которых допускается обработка ПДн без согласия субъекта таких данных, установлены ст. 6 Закона N 152-ФЗ. Причем установлены они исчерпывающим образом. Так, например, допускается обработка ПДн, если она необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем (п. 5 ч. 1 ст. 6 Закона N 152-ФЗ). По смыслу этой нормы лицом, которому предоставляется возможность обработки ПДн, является стороной по указанному договору. В силу ч. 1 ст. 22 Закона N 152-ФЗ до начала обработки ПДн операторы обязаны уведомить уполномоченный орган по защите прав субъектов ПДн (далее – уполномоченный орган) о своем намерении осуществлять обработку ПДн, за исключением случаев, предусмотренных ч. 2 ст. 22 Закона N 152-ФЗ. Так, уведомлять уполномоченный орган не нужно, если ПДн получены оператором в связи с заключением договора, стороной которого является субъект ПДн, при том, что ПДн не распространяются, не предоставляются третьим лицам без согласия субъекта ПДн и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом ПДн (п. 2 ч. 2 ст. 22 Закона N 152-ФЗ).

Читать дальше Подтверждение экологического класса автомобиля

Таким образом, обработка ПДн контрагентов – физических лиц (в том числе являющихся индивидуальными предпринимателями), с которыми непосредственно у организации заключены договоры поставки (либо оказания услуг), может осуществляться без согласия на обработку ПДн и без уведомления уполномоченного органа при условии, что эти данные не будут распространяться и предоставляться третьим лицам без согласия субъекта ПДн и будут обрабатываться только в целях заключения с ними соответствующих договоров (определение СК по гражданским делам Московского городского суда от 06.04.2012 N 33-8687). Если же организация намерена осуществлять обработку ПДн в иных случаях, не связанных с исполнением договора, то она обязана получить согласие на обработку ПДн.

Отметим, несмотря на то, что в рассматриваемом случае оператор подпадает под исключение и не обязан получать согласие субъекта ПДн на обработку и уведомлять Роскомнадзор о работе с ПДн, это не освобождает его от необходимости применения мер по защите ПДн. Лица, виновные в нарушении требований Закона N 152-ФЗ, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность (ст. 24 Закона N 152-ФЗ).

Эксперт службы Правового консалтинга ГАРАНТ

Ответ прошел контроль качества

30 октября 2013 г.

Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг.

С июля этого года Закон о персональных данны х Федеральный закон от 27.07.2006 «О персональных данных» (далее — Закон действует в новой редакци и ст. 3 Федерального закона от 25.07.2011 . Многие поправки затронули обязанности операторов по обработке персональных данных, коими, напомним, являются все компании и предприниматели, если у них есть работник и п. 2 ст. 3 Закона . Поэтому далее о таких обязанностях и поговорим. В частности, о том, как в свете последних поправок работодатели должны оформлять основные документы в сфере защиты персональных данных (ПД) своих работников. Ведь решение этого вопроса руководитель часто вешает на главного бухгалтера, считая его универсальным специалистом.

Можно ли в договоре прописать согласие на обработку персональных данных

Так, например, допускается обработка ПДн, если она необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем (п. 5 ч. 1 ст. 6 Закона N 152-ФЗ). По смыслу этой нормы лицом, которому предоставляется возможность обработки ПДн, является стороной по указанному договору.

В силу ч. 1 ст. 22 Закона N 152-ФЗ до начала обработки ПДн операторы обязаны уведомить уполномоченный орган по защите прав субъектов ПДн (далее — уполномоченный орган) о своем намерении осуществлять обработку ПДн, за исключением случаев, предусмотренных ч. 2 ст. 22 Закона N 152-ФЗ. Москва Об установлении списка лиц, имеющих доступ к персональным данным работников В соответствии со ст. 88 Трудового кодекса РФ и п.

Распространяется ли требования закона о защите персональных данных на договор подряда?

Ответ на вопрос: Ответ на Ваш вопрос зависит от того, для каких целей обрабатываются персональные данные.

Если только с целью исполнения договора подряда, например, уплата взносов, налогов, то согласие на обработку персональных данный от исполнителя не нужно. Если персональные данные будут использоваться с иной целью, например, передача данных исполнителя в банк для оформления карты, то согласие нужно.

Обработка персональных данных возможна только с письменного согласия субъекта персональных данных, за исключением отдельных случаев, когда такая (ст.

6 Закона от 27 июля 2006 г. № 152-ФЗ).

При этом субъектами персональных данных могут быть как сотрудники, работающие по трудовому договору, так и граждане, с которыми у организации заключены гражданско-правовые договоры. Таким образом, организация в общем случае должна получить согласие на обработку персональных данных в том числе и граждан,

Положение о персональных данных

Любой работодатель должен закрепить на бумаге свою политику в области обработки и защиты ПД работнико в п. 2 ч. 1 ст. 18.1 Закона ; п. 8 ст. 86, статьи 87, 88 ТК РФ . Удобнее это сделать в одном локальном нормативном акте, который должен быть утвержден приказом и может именоваться как угодно, чаще всего — Положением о персональных данных.

Внимание

С Положением о ПД и изменениями к нему (если они вносились) нужно под роспись ознакомить всех работнико в ч. 1 ст. 18 Закона ; п. 8 ст. 86, ст. 88 ТК РФ .

Вот что должно содержаться в Положении о ПД:

• перечень обрабатываемых П Д п. 2 ст. 3 Закона . То есть всех тех ПД работников, которые вам необходимы для оформления кадровой документации, составления отчетности в ИФНС, внебюджетные фонды и выполнения иных обязанностей, возложенных на вас законодательством, а также коллективным и трудовыми договорами. К примеру, это паспортные данные работников, сведения об их образовании, семейном положении, воинской обязанности, состоянии здоровья, доходах и т. д.;
• цели обработки П Д п. 2 ст. 3, ч. 2 ст. 5 Закона . Их можно переписать из Трудового кодекс а п. 1 ст. 86 ТК РФ ;
• перечень действий с П Д п. 2 ст. 3 Закона . Они перечислены в определении понятия «обработка персональных данных». Например, это сбор ПД, их накопление, уточнение, хранение, удаление и т. п . п. 3 ст. 3 Закона В принципе, работодатели могут предпринимать все из указанных в этом определении действий;

Рассказываем руководителю

За нарушение порядка обработки ПД предусмотрена административная ответственност ь ст. 13.11 КоАП РФ . Привлекают к ней судьи на основании проверочных материалов органов Роскомнадзор а Решение Приморского краевого суда от 04.07.2011 № 7-12-228/11 . Но органы Роскомнадзора по результатам проверок предпочитают выносить предписание об устранении выявленных нарушени й п. 82 Административного регламента проведения проверок. утв. Приказом Роскомнадзора от 01.12.2009 № 630; Постановления ФАС МО от 08.09.2011 № А40-129858/10-147-805; ФАС ВСО от 12.05.2011 № А33-10809/2010, от 05.04.2011 № А19-25289/09, Четвертого ААС от 04.10.2010 № А58-3498/2010 . Если эти нарушения своевременно устранить, то опасаться штрафо в ст. 19.5 КоАП РФ не стоит. Кроме того, за несоблюдение порядка обработки ПД (как за нарушение трудового законодательств а ч. 1 ст. 5.27 КоАП РФ ) пытаются штрафовать трудинспекции, но суды с ними не соглашаютс я Постановление Девятого ААС от 14.06.2006 № 09АП-4259/2006-АК .

• права и обязанности работников в сфере обработки П Д п. 8 ст. 86 ТК РФ . Их тоже можно переписать из Закона о ПД и Трудового кодекс а ст. 14 Закона ; ст. 89 ТК РФ . К примеру, работники имеют право получать доступ к своим ПД и информацию об их обработк е ч. 1 ст. 14, ч. 1 ст. 18, ч. 1 ст. 20 Закона ;
• порядок обработки ПД, в том числе хранения, использования и передач и п. 8 ст. 86, статьи 87, 88 ТК РФ . Здесь нужно указать:

Читать дальше Через сколько лет судимость убирается из базы

— общие требования к обработке П Д статьи 5—7, ст. 9 Закона ; ст. 86, ст. 88 ТК РФ . В частности, все ПД работника нужно получать у него самог о п. 3 ст. 86 ТК РФ , обрабатывать их можно лишь в соответствии с целями их сбор а ч. 4 ст. 5 Закона ; п. 1 ст. 86 ТК РФ , нельзя сообщать их третьим лицам без согласия работник а ст. 7 Закона ; ст. 88 ТК РФ . Работодатель обязан ознакомить работников с локальными актами, устанавливающими порядок обработки П Д п. 8 ст. 86 ТК РФ , разрешать доступ к ПД только уполномоченным работника м ст. 88 ТК РФ ;

— состав и перечень ваших мер по обеспечению защиты П Д ст. 18.1, ст. 19 Закона . Например, перечислите, где хранятся ПД, кто из работников имеет доступ к ним без дополнительного разрешения, как оформляется допуск к ПД иным работникам, какие используются средства защиты информации в компьютерах и т. п.;

• ответственность работников за нарушение требований к обработке и защите ПД. Они могут нести дисциплинарную, материальную, административную и даже уголовную ответственност ь ст. 90 ТК РФ; ч. 1 ст. 24 Закона .

Совет

Если у вас уже есть Положение и оно составлялось в соответствии с прежней редакцией Закона о ПД, то Положение нужно доработать с учетом последних поправок.

Персональные данные в договоре как прописать

/ / Принимающая сторона обеспечивает доступ к Персональным данным только лиц, которым она необходима для выполнения обязательств Принимающей стороны перед Передающей стороной, и только в том случае, если ими приняты обязательства обеспечивать сохранность ставшими им известными Персональные данные на условиях настоящего Соглашения.

Рекомендуем прочесть: Порядок оплаты работы в выходные и праздничные дни

2.7. Принимающая сторона обязуется по требованию Передающей стороны предоставлять информацию о состоянии дел по защите персональных данных.Образец обязательства о неразглашении персональных данных работников приказа о неразглашении персональных данных Скачать Ответственность за нарушение Ст.

24 федерального закона № 152-ФЗ гласит, что нарушение правил обращения с личной информацией влечет за собой ответственность, установленную законодательством Российской Федерации.

Трудовой договор неразглашение персональных данных

Бесплатная юридическая консультация: Вся Россия ПРИМЕР В свою очередь, содержание регистров бухгалтерского учета и внутренней бухгалтерской отчетности является коммерческой тайной (ст. 10 Федерального закона от 21.11.1996 № 129-ФЗ «О бухгалтерском учете»). НЕЛЬЗЯ! Предусматривать условие о неразглашении коммерческой тайны в трудовых договорах всех работников организации без исключения При заключении трудового договора с лицом, трудовая функция которого будет связана с доступом к сведениям, составляющим коммерческую тайну, условие о доступе к этим сведениям, а также взаимные обязательства сторон трудового договора, связанные с таким доступом, должны быть прописаны в трудовом договоре.

Однако работодателю следует включать условие о неразглашении коммерческой тайны в трудовые договоры только тех работников, которые действительно имеют доступ к таким сведениям в связи с исполнением трудовых обязанностей. Важно, чтобы приказ имел собственный порядковый номер. Образец обязательства Обязательство о неразглашении персональных данных работника должно быть подписано всеми подчиненными, чья деятельность в период рабочего времени связана с обработкой и использованием приватных сведений.

Подписывая обязательство о неразглашении, лица берут на себя ответственность не только не рассказывать о своих коллегах, но и во всем следовать установленному «Положению».

К сведению Привлечение к ответственности лица, нарушившего обязательство, возможно только тогда, когда официальный документ между сотрудником и организацией существует. Устная договоренность между подчиненным и работодателем о хранении в секрете является недоказуемой и не может быть использована в суде как доказательство его вины.

Положения данной главы основываются на Конституции РФ, согласно ст.

23 и 24 которой каждому человеку гарантируется право на неприкосновенность частной жизни, личную и семейную тайну, при этом сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.

Согласие на обработку персональных данных

4,91 Отзывов::148088 Голосов:33 Обновлено:15.11.2016 Тип файла .doc (Microsoft Word 97) Тип документа: Персональные данные – это информация, которая прямо или косвенно относится к конкретному человеку.

Характер ответственности конкретизируется в ст.

Развитие компьютерных технологий позволило эти данные собирать и систематизировать. Если эта информация не защищена, ее легко можно выкрасть и использовать в преступных целях. Для защиты этих сведений в 2006 году был принят Федеральный закон от 27 июля 2006 г.№ 152-ФЗ «», который определяет принципы и условия их обработки.

Статья 3 Закона «О персональных данных» определяет обработку персональных данных как любые действия, которые совершаются с ними, а именно: сбор, запись, систематизация, накопление, хранение, уточнение, использование, передача третьим лицам, обезличивание, блокирование, удаление, уничтожение.

Согласно ст.ст. , Закона 152-ФЗ, при обработке

Можно ли включать согласие на обработку персональных данных в трудовой договор с сотрудником?

Ответ на вопрос: Согласие на обработку персональных данных целесообразно оформить отдельным документом.

Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, при этом форма должна быть или письменной, или электронной (с электронно-цифровыми подписями) (ч. 1, ч. 4 ст. 9 Закона от 27 июля 2006 г.

№ 152-ФЗ). При этом согласие субъекта персональных данных на обработку его персональных данных должно включать в себя: 1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе; 2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и

Пункты документа

Законы Российской Федерации не утверждают точную форму бланка согласия, поэтому, чтобы договор имел юридическую силу нужно лишь проконтролировать, чтобы он содержал все сведения, диктуемые пунктом 4 статьей 9 закона № 152-ФЗ.

Любой человек может разработать бланк согласия подходящий именно под то, какие сведения он хочет в нем отразить и как впоследствии их обработают.

Договор включает в себя такие пункты как:

1. Сначала вы должны указать свое имя, фамилию, отчество.
2. Потом субъект соглашения указывает, какой документ он использует для удостоверения своей личности и его номер.
3. Указывает кем и когда выдан этот документ.
4. Вы должны написать место вашей постоянной регистрации.
5. И уточнить название организации, которой вы даете свое согласие.
6. Потом указываются цели, для которых оператор берет в обработку ваши персональные данные.
7. И перечень личной информации, которую вы передаете на обработку.
8. Следующий пункт, включает в себя информацию о том, какие действия оператор может делать с данными при согласии субъекта.
9. Упоминается, что соглашение действует бессрочно (подробнее о сроках хранения и обработки читайте тут).
10. Может быть отозвано в любое время, а в случае неправомерного использования отзывается с помощью письменного заявления.
11. Указывается, что субъект имеет право на получение информации о том, как обрабатываются его данные.
12. Ставится число, подпись, фамилия, имя и отчество.
13. И после информации о том, что вы ознакомлены с №152-ФЗ, также ставится дата, ваша подпись и Ф.И.О.

Как правильно прописать в договоре пункт о неразглашении персональных данных?

1168 юристов сейчас на сайте Консультируйтесь с юристом онлайн Спросить юриста 1168 юристов готовы ответить сейчас Ответ за 15 минут Здравствуйте, подскажите пожалуйста, Председатель Совета Дома заключает договор с рекламораспространителем, нужно прописать в договоре пункт о конфиденциальности персональных данных (пожелание рекламораспрострарителя), чтобы его паспортные данные не узнали третьи лица.

Фамилия имя отчество (индивидуальный предприниматель), серия номер паспорта.

Как это правильно прописать? 04 Мая 2020, 14:16, вопрос №1986224 Людмила, г. Здравствуйте, подскажите пожалуйста,

Правомерен ли пункт об обработке личных данных в договоре между юридическими лицами

Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. Согласно ч.4 ст. 5Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 29.07.2020) «О персональных данных» Обработке подлежат только персональные данные, которые отвечают целям их обработки Согласно ч.5 ст. 5Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 29.07.2020) «О персональных данных» Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

Это интересно: 1с 8.3 зуп в каком документе печатается справка 182н

Добрый день. При заключении договора на оказание услуг между юридическими лицами одна сторона включила в договор пункт «Согласие на обработку персональных данных» в котором указано что другая сторона предоставляет паспортные данные (номер документа, дата выдачи, ФИО, прописку, гражданство, почтовый адрес, дату рождения) Директора учреждения и главного бухгалтера. Правомерно ли такое требование?

Согласие на обработку персональных данных

25892 Относительно недавно в России был введен в оборот новый документ под названием «».

Сочи Свернуть Консультация юриста онлайн Ответ на сайте в течение 15 минут Ответы юристов (1) 286 ответов 119 отзывов Общаться в чате Бесплатная оценка вашей ситуации Юрист, г. Нижний Новгород Бесплатная оценка вашей ситуации Добрый день, Людмила.

Очень быстро он получил повсеместное распространение и на данный момент широко используется в самых разных организациях, начиная от государственных бюджетных учреждений и до коммерческих компаний. ФАЙЛЫ – это письменное разрешение гражданина Российской Федерации, которое он дает заинтересованной стороне на получение, сбор, хранение и использование персональных сведений о себе.

Также документ гарантирует человеку то, что информация о нем будет применяться для строго определенных целей и будет защищена от неправомерных действий.

Сейчас согласие необходимо писать почти повсеместно: при подаче документов на ребенка в садик или школу; при трудоустройстве; при заключении договора с банком, страховой компанией и т.д.

Можно ли включить пункт согласия на обработку персональных данных при заключении дгпх в сам договор?

Можете и в сам договор, закон это не запрещает. Главное, чтобы было все прописано в соответствии с Законом «О персональных данных». Статья 9. на обработку его персональных данных 1.

Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором. 2. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.

Отдельные особенности договорного регулирования обработки персональных данных

При регулировании некоторых видов общественных отношений законодателем отдельно указаны особенности договорного регулирования обработки ПД. В частности:

• положения о защите сведений о гражданах должны содержать соглашения, заключаемые между организацией, оказывающей коммунальные услуги, и организациями, которые снимают показания счетчиков, производят начисление, подготовку и доставку платежных документов физическим лицам (подп. «е» п. 32 правил предоставления коммунальных услуг собственникам и пользователям помещений в многоквартирных домах и жилых домов, утв. постановлением Правительства РФ от 06.05.2011 № 354);
• соглашение об оценке эффективности мер защиты ПД может быть заключено только с организацией, имеющей лицензию на осуществление деятельности по техзащите информации конфиденциального характера (п. 6 состава и содержания организационных и технических мер по обеспечению безопасности персональных данных…, утв. приказом ФСТЭК России от 18.02.2013 № 21);
• в соответствии с ч. 1 ст. 15.3 закона «О государственном оборонном заказе» от 29.12.2012 № 275-ФЗ по запросам контролирующих органов организации и органы власти обязаны представлять документы и информацию, включая соглашения, несмотря на содержащиеся в них ПД.

Согласие обработку ПД в договоре о предоставлении КУ

Согласие на обработку персональных данных можно прописать в договоре о предоставлении коммунальных услуг.

Договор, содержащий положения о предоставлении КУ (договор управления МКД в том числе), можно заключить с исполнителем (п. 6 и пп. «а» п. 9 Правил № 354):

• в письменной форме;
• путём совершения потребителем действий, свидетельствующих о его намерении потреблять КУ или о фактическом потреблении таких услуг (конклюдентные действия).

Договор считается заключённым с момента, когда потребитель начал пользоваться коммунальными услугами и оплачивать их. Это значит, что потребитель согласен со всеми условиями договора, в том числе на обработку персональных данных.

Я к вам пишу – чего же боле: Минкомсвязи разъяснило вопрос раскрытия информации, содержащей персональные данные
10550

0

Что относится к персональным данным физического лица и как они связаны с применением ККТ

К персональным данным (ПД) относятся любые данные, позволяющие тем или иным способом идентифицировать физическое лицо — об этом сказано в пункте 1 статьи 3 Закона № 152-ФЗ, который регулирует порядок использования персональных данных в России (ССЫЛКА).

Идентификация в данном случае может быть прямой — на основании персональных данных как таковых (например, если это ФИО и дата рождения человека), или косвенной — на основании сопоставления имеющихся персональных данных и сведений, получаемых тем или иным образом на стороне.

Например, косвенная идентификация может быть осуществлена по адресу e-mail – который может быть, как вариант, вписан в качестве критерия поиска нужного пользователя в интерфейсе какого-либо мессенджера — например, Майл Агента или Skype. Очень часто люди указывают в мессенджерах свои реальные данные.

Таким образом, спектр данных, которые правомерно классифицировать как «персональные данные», может быть в принципе каким угодно широким. Есть судебные прецеденты, в которых к персональным данным относились даже файлы Cookie на компьютере — как разновидность идентификатора физического лица.

Но как связаны персональные данные и касса торгового предприятия?

Дело в том, что на кассе возможно осуществление сразу нескольких типов операций с персональными данными. По закону выделяются следующие операции:

• обработка;
• распространение;
• корректировка;
• целевая передача;
• удаление.

На кассе могут быть, в принципе, осуществлены любые из них. При этом, речь может идти о следующих основных правовых механизмах применения персональных данных:

• использования персональных данных покупателя для предоставления ему электронного кассового чека — в соответствии с требованиями Закона № 54-ФЗ;
• использования персональных данных покупателя при оформлении возврата товара.

Отдельными нюансами характеризуется использование персональных данных интернет-магазином.

Рассмотрим подробнее, каким образом торговое предприятие должно по закону использовать персональные данные в указанных случаях — начнем с традиционного, офлайнового формата торговли.

При отправке электронного кассового чека на E-mail или телефон покупателя по его просьбе

Электронный чек онлайн-кассы может быть отправлен покупателю на e-mail или телефон, которые он сообщает до момента расчетов продавцу.

Прежде всего, определимся — считать ли эти контакты персональными данными?

С точки зрения рассмотрения в качестве косвенных идентификаторов — безусловно. То или иное заинтересованное лицо может, как мы уже отметили выше, использовать e-mail для поиска аккаунта человека. Номер телефона, в принципе, может быть применен в аналогичных целях. На него заинтересованное лицо может и позвонить — чтобы, представившись, условно говоря, сотрудником сотового оператора, ненавязчиво уточнить ФИО пользователя номера для «корректировки базы данных».

Таким образом, покупатели осуществляют передачу «контактных» персональных данных продавцам — в целях получения электронного чека. Как следствие, у продавцов возникают обусловленные положениями Закона № 152-ФЗ обязанности по правильному использованию персональных данных. К числу ключевых обязанностей в данном направлении относятся:

• обеспечение конфиденциальности персональных данных покупателя;
• обеспечение надежного хранения персональных данных в соответствии с законодательством.

В общем случае Оператор персональных данных — частное лицо или организация, получившие в распоряжение чьи-либо персональные данные — в общем случае обязан запрашивать у их владельца согласие на обработку данных, причем, в письменном виде. Но у этого правила есть исключение: согласие не требуется, если передача данных Оператору связана с исполнением им тех или иных требований законодательства.

В данном случае речь идет об исполнении требований Закона № 54-ФЗ. Поэтому, правомерно говорить о том, что согласие продавец запрашивать не должен.

Но как быть с конфиденциальностью?

В контексте норм Закона № 54-ФЗ задача продавца в части выполнения рассматриваемых обязательств в определенной степени облегчается. Дело в том, что на практике функции по обеспечению конфиденциальности персональных данных (и обеспечению их надежного хранения) в случае с применением контрольно-кассовой техники по Закону № 54-ФЗ возлагаются не на продавца, а на Оператора фискальных данных — организацию, которая и осуществляет отправку электронных кассовых чеков на контактные данные покупателей.

Продавец заключает с ОФД обязательный — опять же, в соответствии с Законом № 54-ФЗ, договор, и ОФД выполняет в рамках него все процедуры, связанные с трансфером электронного чека. В договоре же обычно прописываются условия использования персональных данных. Безусловно, на стороне ОФД возникают свои обязательства по обеспечению безопасности использования персональных данных покупателей, которые передаются продавцом — но это уже отдельная история. Продавцу об этом не нужно задумываться.

Вместе с тем, очевидно, существует некоторый «промежуточный период» оборота персональных данных — между моментом их получения продавцом от покупателя и моментом их фактической передачи Оператору фискальных данных. Условно говоря, продавец, запросив у покупателя номер телефона в устной форме, может до того, как введет его в кассовую программу, которая передает данные в ОФД, незаметно записать их «на листочке» — чтобы затем использовать каким-либо иным образом. Разумеется, аналогичная процедура возможна и после передачи данных в ОФД.

Это означает, что продавец в теории все же может допустить нарушение конфиденциальности персональных данных. Но в его силах — гарантировать недопущение такого нарушения. В этих целях торговым предприятием разрабатывается особый документ — Положение о защите персональных данных (часто именуемый Политикой конфиденциальности и иными способами — но название здесь не главное, важнее содержание документа по существу). В нем регламентируется то, каким образом сотрудники магазина осуществляют оборот имеющихся у них в распоряжении персональных данных клиентов. Положение будет обязательным для исполнения работниками и может рассматриваться как основной руководящий норматив при обращении с персональными данными.

Сразу отметим — юрисдикция Положения распространится и на те правоотношения, в рамках которых будет производиться другая отмеченная нами процедура, в которой используются персональные данные — возврат товара. Специфику составления Положения для обоих случаев мы рассмотрим позже, а пока ознакомимся со спецификой применения персональных данных именно при возврате.

При возврате товара

Возврат товара — фискальная процедура, которая в соответствии с Законом № 54-ФЗ требует отражения в фискальной памяти ККТ (как и ранее проведенный отпуск товара с получением выручки, представленной оплатой от покупателя). Кроме того, наряду с обязательной фискализацией возврата, данная процедура должна быть задокументирована дополнительно с учетом законодательства о защите прав потребителей и иных нормативных актов, связанных с правоотношениями купли-продажи.

С учетом всей совокупности норм законодательства, применяемых при возврате товара, продавец в общем случае должен:

• запросить у покупателя заявление на возврат товара;
• согласовать с покупателем накладную по товару — как вариант, с использованием формы ТОРГ-13, или использовать аналогичный документ, на основании которого будут внесены изменения в бухгалтерские записи (если продавец имеет статус юрлица и обязан вести бухучет);
• сформировать кассовый чек с признаком «возврат прихода» — после приема возвращаемого товара и выдачи денежных средств клиенту.

Что с персональными данными? Они будут запрошены продавцом, как минимум, в целях заполнения заявления на возврат товара. И это «классические» персональные данные на прямую идентификацию физлица — ФИО и паспортные данные. Заявление при этом заверяется персональной подписью покупателя — соответственно, достоверность персональных данных будет гарантирована самим их владельцем.

Нужно ли продавцу запрашивать у покупателя в данном случае согласие на обработку персональных данных?

В среде юристов распространена точка зрения, что такое согласие правомерно не запрашивать. Она базируется на том факте, что прием персональных данных продавцом в рассматриваемом сценарии обусловлен действием, прежде всего, договора — на куплю-продажу товара. В рамках этого договора и осуществляется возврат, и, соответственно, запрашиваются в установленном порядке персональные данные. И, поскольку подпунктом 5 пункта 1 статьи 6 Закона № 152-ФЗ определено, что согласие не требуется как раз в том случае, если персональные данные передаются в рамках договора — соответствующая норма принимается во внимание. При этом, в договор должен предполагать, что носитель персональных данных выступает в качестве «стороны» или «выгодополучателя».

Важно, что в федеральном законе прямо не разъяснено, в какой форме должен быть заключен договор. В случае с обычной покупкой товара на кассе магазина эта форма приобретает «фискальный» характер: критериями признания договора заключенным становятся:

• выдача и оплата товара;
• удостоверение факта его выдачи и оплаты кассовым чеком.

Таким образом, говорить об отнесении такой сделки к исключениям, при которых согласие не запрашивается — совершенно правомерно.

Тем не менее, продавцу в любом случае не будет лишним запросить у покупателя — перед тем как оформлять возврат товара, письменное согласие на обработку персональных данных. Всегда есть вероятность, что у проверяющих органов возникнут вопросы к предприятию по организации порядка обработки персональных данных. Например — если выяснится, что фирма в принципе использует какие-либо персональные данные в целях, не связанных с исполнением договоров (как вариант, в рекламных рассылках). Несмотря на то, что эти рассылки не будут иметь отношения к «кассовым» процедурам, проверяющие органы могут уделить повышенное внимание установлению степени обоснованности этих рассылок — при которых, в свою очередь, согласие требуется. Как следствие — будут задавать вопросы по поводу отсутствия согласия на обработку персональных данных при возврате товара.

Тем более, что эта процедура — запрос согласия, как правило, совсем не сложна.

Ответственность за нарушение

Правовые последствия неисполнения торговым предприятием требований законодательства о защите персональных данных определяются на основании положений:

1. Административного законодательства.

В основном это нормы ст. 13.11 КоАП РФ (ССЫЛКА). Так, предусмотрены штрафы:

• за обработку персональных данных без получения согласия, когда это необходимо — до 20 000 рублей (на руководителя фирмы или ИП) либо до 75 000 рублей (на торговое предприятие как юрлицо);
• за некорректную (не соответствующую заявленным целям) обработку персональных данных — до 10 000 рублей (руководитель или ИП), либо до 50 000 рублей (юрлицо);
• за отсутствие Политики конфиденциальности — до 6000 рублей (руководители фирм), до 10 000 рублей (владельцы бизнеса как ИП), до 30 000 рублей (юридические лица);
• за отказ информировать физлицо о порядке обработки его персональных данных — до 6000 рублей (руководители фирм), до 15 000 рублей (предприниматели), до 40 000 рублей (юрлица).

Положениями ст. 5.39 КоАП РФ (ССЫЛКА) предусмотрен штраф за отказ в ознакомлении физлица с Политикой конфиденциальности торгового предприятия — 10 000 рублей (на руководителя организации или ИП).

1. Уголовного законодательства.

Незаконная обработка персональных данных, которые представляют собой личную тайну человека, может сопровождаться применением к нарушителю санкций в виде штрафа до 200 000 рублей, дисквалификации, исправительных работ, тюремного заключения до 2 лет.

Отдельные санкции могут быть применены к магазину по результатам исков пострадавших сторон в порядке гражданского судопроизводства.

Можете обратиться к специалистам, которые помогут в решении всех вопросов, связанных с защитой персональных данных на вашем предприятии — подробнее ЗДЕСЬ.

Лайфхак по 152-ФЗ

Для начала небольшое, но важное отступление.
Недавно знакомый из торговой компании попросил посмотреть их договор с веб-студией. Те собирались дорабатывать сайт магазина. Первым делом я открыл техзадание и увидел, что ребята планируют зарегистрировать владельца сайта в Роскомнадзоре как оператора персональных данных. Я подумал: «Они это серьезно?» И сам же ответил: «К сожалению, да». Такой же совет будет в семи из десяти статей-инструкций по соблюдению закона «О персональных данных» (152-ФЗ). Советчики говорят: «Первым делом подайте заявление о включении в реестр операторов персональных данных». И многие этой рекомендации следуют.

А теперь внимание! Статья 22 того же закона определяет, что если обработка данных необходима для исполнения договора, то уведомлять Роскомнадзор не нужно.

Вы продаёте товары/услуги через интернет? Отлично! Если не используете данные ни для чего больше, то и уведомление в Роскомнадзор подавать не надо. Вот такой простой рецепт. Ну а теперь к теме.

Базис законного интереса на практике

Предположим, компания-разработчик предоставляет доступ к веб-сервису по лицензии. Персональные данные использует для заключения договора и сбора статистики (не обезличенной). Налицо две цели обработки данных: исполнение договора и улучшение продукта, решение технических проблем.
Первая цель относится к договорному базису (подп. (b) ст. 6(1)) и не требует согласия.

Вторая цель может реализовываться на основании:

а) согласия (подп. (b) ст. 6(1)), б) базиса законного интереса (подп. (f) ст. 6(1)).

Если компания решит применять базис согласия, ей придется добавить в форму заказа не отмеченный заранее чекбокс. Много ли пользователей согласится предоставлять данные для сбора статистики? Вряд ли.

При применении базиса законного интереса компания только рассказывает о правах, не требуя активных действий (ст. 21 (4) GDPR). Более того, если преобладающий интерес над правами субъекта данных обоснован, компания вправе обрабатывать данные независимо от отказа.

Сможет ли компания ответить на вопросы для применения базиса законного интереса? Проверим:

Как видим, у компании есть все основания не получать согласия. Но следует помнить об ограничениях:

• До сбора персональных данных субъекту должно быть сообщено о целях и законном интересе обработки (пункт (d) ст. 13 (1), пункт (b) ст. 14(2) GDPR). То есть применение должно быть публично мотивировано и документировано.
• Субъекту данных должно быть предоставлено право на возражение против обработки (ст. 21), право на удаление и ограничение.

С другой стороны, при сборе статистики просто соблюсти закон можно другим способом: обезличить данные. Обработка анонимизированных данных не регламентируется GDPR.

Персональные данные и договор: обрабатываем и не спрашиваем

Базис по своему содержанию аналогичен российскому законодательству (вспомним историю из введения).
Согласно подп. (b) ст. 6(1) GDPR, если обработка данных необходима для исполнения договора, вы можете без труда — и, главное, без согласия — ее производить. Даже до заключения договора, но при условии, что действия были запрошены самим субъектом данных (например, он отправил заявку).

Здесь стоит сделать ремарку: данные должны обрабатываться только в том объеме, который необходим для исполнения договора. Если информация нужна для заполнения полей CRM, то она остается вне этого базиса.

Простой пример

. Компания продает товары через интернет. При оформлении покупки клиент предоставляет персональные данные, магазин обрабатывает их в связи с исполнением договора. Надо получать согласие? Нет, если данные не избыточны и не будут использоваться иным способом.

Необходимо только сообщить пользователю, что данные все-таки обрабатываются, а также рассказать о способах обработки, мерах по защите и ознакомить с иной информацией в соответствии с GDPR (ст. 5, ст. 13, 14).

В форму заказа магазину надо добавить только уведомление об ознакомлении с политикой. Требовать поставить пресловутую галочку о согласии, создавать технические условия с целью возможности подтверждения получения согласия (п. 42 преамбулы) не нужно. Отмечу, что хорошо бы иметь галочку об ознакомлении с политикой.

Однако, если компания хочет использовать персональные данные, например, для точечных рекламных рассылок, то это уже не подпадает под договорный базис. В этом случае обработка имеет две цели, вторая из которых должна строиться на основании согласия или на основании законного интереса (о нем ниже).