Закон о персональных данных интернет магазин

Что относится к персональным данным физического лица и как они связаны с применением ККТ

<!–

h2

1,0,0,0,0–>

К персональным данным (ПД) относятся любые данные, позволяющие тем или иным способом идентифицировать физическое лицо — об этом сказано в пункте 1 статьи 3 Закона № 152-ФЗ, который регулирует порядок использования персональных данных в России (ССЫЛКА).

<!–

p, blockquote

3,0,0,0,0–>

Идентификация в данном случае может быть прямой — на основании персональных данных как таковых (например, если это ФИО и дата рождения человека), или косвенной — на основании сопоставления имеющихся персональных данных и сведений, получаемых тем или иным образом на стороне.

<!–

p, blockquote

4,0,0,0,0–>

Таким образом, спектр данных, которые правомерно классифицировать как «персональные данные», может быть в принципе каким угодно широким. Есть судебные прецеденты, в которых к персональным данным относились даже файлы Cookie на компьютере — как разновидность идентификатора физического лица.

<!–

p, blockquote

7,0,0,0,0–>

Но как связаны персональные данные и касса торгового предприятия?

<!–

p, blockquote

8,0,0,0,0–>

Дело в том, что на кассе возможно осуществление сразу нескольких типов операций с персональными данными. По закону выделяются следующие операции:

<!–

p, blockquote

9,0,0,0,0–>

  • обработка;
  • распространение;
  • корректировка;
  • целевая передача;
  • удаление.

На кассе могут быть, в принципе, осуществлены любые из них. При этом, речь может идти о следующих основных правовых механизмах применения персональных данных:

<!–

p, blockquote

10,0,0,0,0–>

  • использования персональных данных покупателя для предоставления ему электронного кассового чека — в соответствии с требованиями Закона № 54-ФЗ;
  • использования персональных данных покупателя при оформлении возврата товара.

Отдельными нюансами характеризуется использование персональных данных интернет-магазином.

<!–

p, blockquote

11,0,0,0,0–>

Рассмотрим подробнее, каким образом торговое предприятие должно по закону использовать персональные данные в указанных случаях — начнем с традиционного, офлайнового формата торговли.

<!–

p, blockquote

12,0,0,0,0–>

При отправке электронного кассового чека на E-mail или телефон покупателя по его просьбе

<!–

h3

1,0,0,0,0–>

Электронный чек онлайн-кассы может быть отправлен покупателю на e-mail или телефон, которые он сообщает до момента расчетов продавцу.

<!–

p, blockquote

13,0,0,0,0–>

Прежде всего, определимся — считать ли эти контакты персональными данными?

<!–

p, blockquote

14,0,0,0,0–>

С точки зрения рассмотрения в качестве косвенных идентификаторов — безусловно. То или иное заинтересованное лицо может, как мы уже отметили выше, использовать e-mail для поиска аккаунта человека. Номер телефона, в принципе, может быть применен в аналогичных целях. На него заинтересованное лицо может и позвонить — чтобы, представившись, условно говоря, сотрудником сотового оператора, ненавязчиво уточнить ФИО пользователя номера для «корректировки базы данных».

<!–

p, blockquote

15,0,0,0,0–>

Таким образом, покупатели осуществляют передачу «контактных» персональных данных продавцам — в целях получения электронного чека. Как следствие, у продавцов возникают обусловленные положениями Закона № 152-ФЗ обязанности по правильному использованию персональных данных. К числу ключевых обязанностей в данном направлении относятся:

<!–

p, blockquote

16,0,0,0,0–>

  • обеспечение конфиденциальности персональных данных покупателя;
  • обеспечение надежного хранения персональных данных в соответствии с законодательством.

В общем случае Оператор персональных данных — частное лицо или организация, получившие в распоряжение чьи-либо персональные данные — в общем случае обязан запрашивать у их владельца согласие на обработку данных, причем, в письменном виде. Но у этого правила есть исключение: согласие не требуется, если передача данных Оператору связана с исполнением им тех или иных требований законодательства.

<!–

p, blockquote

17,0,0,0,0–>

В данном случае речь идет об исполнении требований Закона № 54-ФЗ. Поэтому, правомерно говорить о том, что согласие продавец запрашивать не должен.

<!–

p, blockquote

18,0,0,0,0–>

Но как быть с конфиденциальностью?

<!–

p, blockquote

19,0,0,0,0–>

В контексте норм Закона № 54-ФЗ задача продавца в части выполнения рассматриваемых обязательств в определенной степени облегчается. Дело в том, что на практике функции по обеспечению конфиденциальности персональных данных (и обеспечению их надежного хранения) в случае с применением контрольно-кассовой техники по Закону № 54-ФЗ возлагаются не на продавца, а на Оператора фискальных данных — организацию, которая и осуществляет отправку электронных кассовых чеков на контактные данные покупателей.

<!–

p, blockquote

20,0,0,0,0–>

Продавец заключает с ОФД обязательный — опять же, в соответствии с Законом № 54-ФЗ, договор, и ОФД выполняет в рамках него все процедуры, связанные с трансфером электронного чека. В договоре же обычно прописываются условия использования персональных данных. Безусловно, на стороне ОФД возникают свои обязательства по обеспечению безопасности использования персональных данных покупателей, которые передаются продавцом — но это уже отдельная история. Продавцу об этом не нужно задумываться.

<!–

p, blockquote

21,0,0,0,0–>

Вместе с тем, очевидно, существует некоторый «промежуточный период» оборота персональных данных — между моментом их получения продавцом от покупателя и моментом их фактической передачи Оператору фискальных данных. Условно говоря, продавец, запросив у покупателя номер телефона в устной форме, может до того, как введет его в кассовую программу, которая передает данные в ОФД, незаметно записать их «на листочке» — чтобы затем использовать каким-либо иным образом. Разумеется, аналогичная процедура возможна и после передачи данных в ОФД.

<!–

p, blockquote

22,0,0,0,0–>

Это означает, что продавец в теории все же может допустить нарушение конфиденциальности персональных данных. Но в его силах — гарантировать недопущение такого нарушения. В этих целях торговым предприятием разрабатывается особый документ — Положение о защите персональных данных (часто именуемый Политикой конфиденциальности и иными способами — но название здесь не главное, важнее содержание документа по существу). В нем регламентируется то, каким образом сотрудники магазина осуществляют оборот имеющихся у них в распоряжении персональных данных клиентов. Положение будет обязательным для исполнения работниками и может рассматриваться как основной руководящий норматив при обращении с персональными данными.

<!–

p, blockquote

23,0,0,0,0–>

Сразу отметим — юрисдикция Положения распространится и на те правоотношения, в рамках которых будет производиться другая отмеченная нами процедура, в которой используются персональные данные — возврат товара. Специфику составления Положения для обоих случаев мы рассмотрим позже, а пока ознакомимся со спецификой применения персональных данных именно при возврате.

<!–

p, blockquote

24,0,0,0,0–>

При возврате товара

<!–

h3

2,0,0,0,0–>

Возврат товара — фискальная процедура, которая в соответствии с Законом № 54-ФЗ требует отражения в фискальной памяти ККТ (как и ранее проведенный отпуск товара с получением выручки, представленной оплатой от покупателя). Кроме того, наряду с обязательной фискализацией возврата, данная процедура должна быть задокументирована дополнительно с учетом законодательства о защите прав потребителей и иных нормативных актов, связанных с правоотношениями купли-продажи.

<!–

p, blockquote

25,0,0,0,0–>

С учетом всей совокупности норм законодательства, применяемых при возврате товара, продавец в общем случае должен:

<!–

p, blockquote

26,0,0,0,0–>

  • запросить у покупателя заявление на возврат товара;
  • согласовать с покупателем накладную по товару — как вариант, с использованием формы ТОРГ-13, или использовать аналогичный документ, на основании которого будут внесены изменения в бухгалтерские записи (если продавец имеет статус юрлица и обязан вести бухучет);
  • сформировать кассовый чек с признаком «возврат прихода» — после приема возвращаемого товара и выдачи денежных средств клиенту.

Что с персональными данными? Они будут запрошены продавцом, как минимум, в целях заполнения заявления на возврат товара. И это «классические» персональные данные на прямую идентификацию физлица — ФИО и паспортные данные. Заявление при этом заверяется персональной подписью покупателя — соответственно, достоверность персональных данных будет гарантирована самим их владельцем.

<!–

p, blockquote

27,0,1,0,0–>

Нужно ли продавцу запрашивать у покупателя в данном случае согласие на обработку персональных данных?

<!–

p, blockquote

28,0,0,0,0–>

В среде юристов распространена точка зрения, что такое согласие правомерно не запрашивать. Она базируется на том факте, что прием персональных данных продавцом в рассматриваемом сценарии обусловлен действием, прежде всего, договора — на куплю-продажу товара. В рамках этого договора и осуществляется возврат, и, соответственно, запрашиваются в установленном порядке персональные данные. И, поскольку подпунктом 5 пункта 1 статьи 6 Закона № 152-ФЗ определено, что согласие не требуется как раз в том случае, если персональные данные передаются в рамках договора — соответствующая норма принимается во внимание. При этом, в договор должен предполагать, что носитель персональных данных выступает в качестве «стороны» или «выгодополучателя».

<!–

p, blockquote

29,0,0,0,0–>

Важно, что в федеральном законе прямо не разъяснено, в какой форме должен быть заключен договор. В случае с обычной покупкой товара на кассе магазина эта форма приобретает «фискальный» характер: критериями признания договора заключенным становятся:

<!–

p, blockquote

30,0,0,0,0–>

  • выдача и оплата товара;
  • удостоверение факта его выдачи и оплаты кассовым чеком.

Таким образом, говорить об отнесении такой сделки к исключениям, при которых согласие не запрашивается — совершенно правомерно.

<!–

p, blockquote

31,0,0,0,0–>

Тем не менее, продавцу в любом случае не будет лишним запросить у покупателя — перед тем как оформлять возврат товара, письменное согласие на обработку персональных данных. Всегда есть вероятность, что у проверяющих органов возникнут вопросы к предприятию по организации порядка обработки персональных данных. Например — если выяснится, что фирма в принципе использует какие-либо персональные данные в целях, не связанных с исполнением договоров (как вариант, в рекламных рассылках). Несмотря на то, что эти рассылки не будут иметь отношения к «кассовым» процедурам, проверяющие органы могут уделить повышенное внимание установлению степени обоснованности этих рассылок — при которых, в свою очередь, согласие требуется. Как следствие — будут задавать вопросы по поводу отсутствия согласия на обработку персональных данных при возврате товара.

<!–

p, blockquote

32,0,0,0,0–>

Тем более, что эта процедура — запрос согласия, как правило, совсем не сложна.

<!–

p, blockquote

33,0,0,0,0–>

Оформляем документы для защиты личных данных работников

7. Не указываются меры ответственности за нарушение норм, регулирующих получение, обработку и защиту персональных данных работников в локальных документах. Начнем с того, что в трудовом договоре должен быть пункт, устанавливающий ответственность работника за разглашение персональных данных (п. 8 ст. 86 ТК РФ).

Как правило, доступ к персональным данным имеют сотрудники работодателя, которым необходима эта информация в связи с исполнением ими трудовых обязанностей. В Положении о персональных данных работников можно предусмотреть порядок действий в случае, если лицо в списке не поименовано, но срочно требуется доступ к данным.

Сформулировать пункт об этом можно следующим образом: «Доступ к персональным данным может быть предоставлен иному сотруднику Работодателя, должность которого не поименована в списке лиц, имеющих доступ к персональным данным работника, если этого требует производственная необходимость и выполняемая им трудовая функция.

В чем здесь сложность? А в том, что мы обрабатываем персональные данные работника не только в связи с исполнением трудового договора. Трудовым законодательством не предусмотрено обязательное оформление работодателем работнику банковской карточки для выплаты зарплаты через банк.

Также не предусмотрены трудовым законодательством и оформление полиса ДМС, абонемента в фитнес-клуб, заказ в мастерской услуг по изготовлению визиток работника. Так что, если работодатель это делает, нельзя сказать, что это все происходит в рамках исполнения трудового договора.

Кроме того, отправляя человека в командировку, мы часто сами заказываем ему билеты и комнату в гостинице. Следовательно, персональные данные передаются в кассу РЖД, авиакассу или транспортное агентство, гостиницу в месте командирования. И все эти действия тоже происходят, как вы понимаете, вне рамок трудового договора.

При этом часть 1 статьи 22 Закона N 152-ФЗ требует, чтобы оператор персональных данных до начала их обработки по общему правилу уведомил об этом уполномоченный орган. А именно Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций, сокращенно — Роскомнадзор.

На основании этого уведомления Роскомнадзор зарегистрирует организацию в реестре операторов, после чего она может работать с персональными данными на законных основаниях. Впрочем, операторами работодатели являются независимо от включения в этот реестр.

    Похожие записи

  • Можно зделать для гражданина грузии паспорт армении в москве

  • Примеры простейших задач по бухгалтерскому учету

  • Какие Льготы Есть У Лиц Под Вергшихся Радиации Вследствие Чаэсв Московской Области

  • График работы полный день это сколько

Механизма определения количества похожих имен законодательство не предусматривает. В судебной практике есть случаи, когда истцы, доказывающие нарушение своих прав на защиту ПД, предъявляли справку из органов Федеральной миграционной службы (ФМС) об уникальности их фамилии и имени.

Постараемся их развеять. Первый. ПД — это любые сведения о гражданине.

Важно отметить, что обработка ПД для заключения контракта допускается только по инициативе самого гражданина (субъекта). То рассылка писем (SMS или прочие) под предлогом того, что их получатели будут клиентами, является неправомерной (вряд ли суд примет излюбленный аргумент спамеров, что, мол, все адресаты тысяч писем мечтают получить наиважнейшую информацию и тому подобное).

Более того, закон прямо предусматривает необходимость получения согласия адресата (субъекта ПД) на использование его данных «в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи».

Причем отсутствие такого согласия презюмируется (доказывание его наличия возлагается на отправителя). Кроме того, в отличие от законодательства о рекламе, закон о ПД запрещает не только электронную, но и любую иную рассылку (в том числе почтовую).

Но в договоре между вами и представителем необходимо закрепить положение о конфиденциальности персональных данных (ч. 10 ст. 3, ч. 4 ст. 6, ч. 1 ст. 7 № 152-ФЗ). Можно ли обнародовать список должников 7312 0 Каким должно быть согласие на обработку ПД Субъект передаёт управляющей компании согласие на обработку персональных данных в любой форме, позволяющей подтвердить факт получения:

  • в договоре управления,
  • в договоре ресурсоснабжения,
  • в уставе товарищества собственников жилья.

Роскомнадзор советует оформлять его в письменной форме отдельным документом. Единственный минус такой позиции – управляющая компания может физически не собрать со всех субъектов персональных данных такое согласие.

Но даже такой документ можно обойти, не указывая, например, место жительство такого субъекта (то есть писать просто о гражданине Иване Пупкине) – справка, как правило, выдается территориальным управлением ФМС, а потому не исключает наличия однофамильцев/тезок в других регионах.

Второй. Обработка ПД допускается только с согласия гражданина. На самом деле согласно действующему закону такое согласие напоминает Константинопольского патриарха – оно «первое среди равных». Всего же в пункте 1 статьи 6 закона прописано аж десять альтернативных оснований для обработки ПД без санкции или даже ведома самого лица. Разрешающий договор В коммерческих целях чаще всего использует основание, предусмотренное п.

Законы Российской Федерации не утверждают точную форму бланка согласия, поэтому, чтобы договор имел юридическую силу нужно лишь проконтролировать, чтобы он содержал все сведения, диктуемые пунктом 4 статьей 9 закона № 152-ФЗ.

Любой человек может разработать бланк согласия подходящий именно под то, какие сведения он хочет в нем отразить и как впоследствии их обработают.

Договор включает в себя такие пункты как:

  1. Сначала вы должны указать свое имя, фамилию, отчество.
  2. Потом субъект соглашения указывает, какой документ он использует для удостоверения своей личности и его номер.
  3. Указывает кем и когда выдан этот документ.
  4. Вы должны написать место вашей постоянной регистрации.
  5. И уточнить название организации, которой вы даете свое согласие.
  6. Потом указываются цели, для которых оператор берет в обработку ваши персональные данные.
  7. И перечень личной информации, которую вы передаете на обработку.
  8. Следующий пункт, включает в себя информацию о том, какие действия оператор может делать с данными при согласии субъекта.
  9. Упоминается, что соглашение действует бессрочно.
  10. Может быть отозвано в любое время, а в случае неправомерного использования отзывается с помощью письменного заявления.
  11. Указывается, что субъект имеет право на получение информации о том, как обрабатываются его данные.
  12. Ставится число, подпись, фамилия, имя и отчество.
  13. И после информации о том, что вы ознакомлены с №152-ФЗ, также ставится дата, ваша подпись и Ф.И.О.

Что относится к персональным данным физического лица, который является посетителем интернет-магазина

Персональные данные — это любая информация, которая прямо или косвенно относится к конкретному физическому лицу либо позволяет идентифицировать его (п. 1 ст. 3 Закона «О персональных данных» № 152-ФЗ).

В контексте организации работы интернет-магазина к персональным данным, в принципе, могут быть отнесены даже файлы Cookie – применяемые, в частности, для персонификации товарных предложений конкретным пользователям. Есть судебные прецеденты, подтверждающие отнесение таких файлов к персональным данным — например, Решение Арбитражного суда г. Москвы от 11.03.2016 года по делу № А40-14902/2016-84-126 11.

Персональные данные могут быть:

  • обработаны;
  • распространены;
  • изменены;
  • предоставлены тем или иным лицам (раскрыты);
  • удалены.

Указанные действия совершает оператор персональных данных. Им может быть любое физлицо, организация либо государственный или муниципальный орган власти. В том числе, безусловно, и интернет-магазин — учрежденный физлицом (ИП) либо принадлежащий юридическому лицу.

Поэтому, становясь оператором персональных данных, интернет-магазин обязан соблюдать нормы Закона № 152-ФЗ. Но в каких случаях он приобретает такой статус?

Чтобы приобрести статус оператора персональных данных, хозяйствующему субъекту достаточно совершить любую процедуру, которая характеризует их обработку, в частности:

  • сбор;
  • запись;
  • систематизацию;
  • накопление;
  • уточнение;
  • применение;
  • распространение.

То есть, осуществив хотя бы первую процедуру — сбор данных (на практике — получение от клиента через онлайн-форму) интернет-магазин становится оператором, и у него возникают обязательства по исполнению норм Закона № 152-ФЗ.

Отдельный сегмент правоотношений, в которых требуется соблюдение законодательства о персональных данных — взаимодействие интернет-магазина как работодателя и его наемных сотрудников (работающих как удаленно, так и в офлайновых подразделениях интернет-магазина). Однако, такие правоотношения, в целом, осуществляются в юрисдикции тех правовых норм, которые актуальны для взаимодействия работодателей и работников (удаленного или офлайнового) вне зависимости от вида осуществляемой ими деятельности.

В свою очередь, обмен данными именно между интернет-магазином и его клиентами образует отдельный и, фактически, уникальный – в части применения норм Закона № 152-ФЗ, сегмент правоотношений, в котором у хозяйствующего субъекта образуется широкий спектр прав и обязанностей в соответствии с законодательством.

Рассмотрим подробнее, какие именно обязательства должен выполнять интернет-магазин в связи с необходимостью исполнения норм Закона № 152-ФЗ.

Подпишись на наш канал в Яндекс Дзен – Онлайн-касса!
Получай первым горячие новости и лайфхаки!