Как магазину исполнить требования закона 152-ФЗ о защите персональных данных

Розничная торговля крайне часто использует персональные данные покупателей. Эти данные подлежат защите законом и, как следствие, у магазина — как офлайнового, так и онлайнового, появляются обязанности по выполнению требований, отраженных в нормативных актах, которые регулируют оборот персональных данных. Ознакомимся со спецификой таких требований и с порядком обеспечения их выполнения — с учетом нюансов, характеризующих применение онлайн-касс, подробнее.

Что относится к персональным данным физического лица и как они связаны с применением ККТ

К персональным данным (ПД) относятся любые данные, позволяющие тем или иным способом идентифицировать физическое лицо — об этом сказано в пункте 1 статьи 3 Закона № 152-ФЗ, который регулирует порядок использования персональных данных в России (ССЫЛКА).

Идентификация в данном случае может быть прямой — на основании персональных данных как таковых (например, если это ФИО и дата рождения человека), или косвенной — на основании сопоставления имеющихся персональных данных и сведений, получаемых тем или иным образом на стороне.

Таким образом, спектр данных, которые правомерно классифицировать как «персональные данные», может быть в принципе каким угодно широким. Есть судебные прецеденты, в которых к персональным данным относились даже файлы Cookie на компьютере — как разновидность идентификатора физического лица.

Но как связаны персональные данные и касса торгового предприятия?

Дело в том, что на кассе возможно осуществление сразу нескольких типов операций с персональными данными. По закону выделяются следующие операции:

• обработка;
• распространение;
• корректировка;
• целевая передача;
• удаление.

На кассе могут быть, в принципе, осуществлены любые из них. При этом, речь может идти о следующих основных правовых механизмах применения персональных данных:

• использования персональных данных покупателя для предоставления ему электронного кассового чека — в соответствии с требованиями Закона № 54-ФЗ;
• использования персональных данных покупателя при оформлении возврата товара.

Отдельными нюансами характеризуется использование персональных данных интернет-магазином.

Рассмотрим подробнее, каким образом торговое предприятие должно по закону использовать персональные данные в указанных случаях — начнем с традиционного, офлайнового формата торговли.

При отправке электронного кассового чека на E-mail или телефон покупателя по его просьбе

Электронный чек онлайн-кассы может быть отправлен покупателю на e-mail или телефон, которые он сообщает до момента расчетов продавцу.

Прежде всего, определимся — считать ли эти контакты персональными данными?

С точки зрения рассмотрения в качестве косвенных идентификаторов — безусловно. То или иное заинтересованное лицо может, как мы уже отметили выше, использовать e-mail для поиска аккаунта человека. Номер телефона, в принципе, может быть применен в аналогичных целях. На него заинтересованное лицо может и позвонить — чтобы, представившись, условно говоря, сотрудником сотового оператора, ненавязчиво уточнить ФИО пользователя номера для «корректировки базы данных».

Таким образом, покупатели осуществляют передачу «контактных» персональных данных продавцам — в целях получения электронного чека. Как следствие, у продавцов возникают обусловленные положениями Закона № 152-ФЗ обязанности по правильному использованию персональных данных. К числу ключевых обязанностей в данном направлении относятся:

• обеспечение конфиденциальности персональных данных покупателя;
• обеспечение надежного хранения персональных данных в соответствии с законодательством.

В общем случае Оператор персональных данных — частное лицо или организация, получившие в распоряжение чьи-либо персональные данные — в общем случае обязан запрашивать у их владельца согласие на обработку данных, причем, в письменном виде. Но у этого правила есть исключение: согласие не требуется, если передача данных Оператору связана с исполнением им тех или иных требований законодательства.

В данном случае речь идет об исполнении требований Закона № 54-ФЗ. Поэтому, правомерно говорить о том, что согласие продавец запрашивать не должен.

Но как быть с конфиденциальностью?

В контексте норм Закона № 54-ФЗ задача продавца в части выполнения рассматриваемых обязательств в определенной степени облегчается. Дело в том, что на практике функции по обеспечению конфиденциальности персональных данных (и обеспечению их надежного хранения) в случае с применением контрольно-кассовой техники по Закону № 54-ФЗ возлагаются не на продавца, а на Оператора фискальных данных — организацию, которая и осуществляет отправку электронных кассовых чеков на контактные данные покупателей.

Продавец заключает с ОФД обязательный — опять же, в соответствии с Законом № 54-ФЗ, договор, и ОФД выполняет в рамках него все процедуры, связанные с трансфером электронного чека. В договоре же обычно прописываются условия использования персональных данных. Безусловно, на стороне ОФД возникают свои обязательства по обеспечению безопасности использования персональных данных покупателей, которые передаются продавцом — но это уже отдельная история. Продавцу об этом не нужно задумываться.

Вместе с тем, очевидно, существует некоторый «промежуточный период» оборота персональных данных — между моментом их получения продавцом от покупателя и моментом их фактической передачи Оператору фискальных данных. Условно говоря, продавец, запросив у покупателя номер телефона в устной форме, может до того, как введет его в кассовую программу, которая передает данные в ОФД, незаметно записать их «на листочке» — чтобы затем использовать каким-либо иным образом. Разумеется, аналогичная процедура возможна и после передачи данных в ОФД.

Это означает, что продавец в теории все же может допустить нарушение конфиденциальности персональных данных. Но в его силах — гарантировать недопущение такого нарушения. В этих целях торговым предприятием разрабатывается особый документ — Положение о защите персональных данных (часто именуемый Политикой конфиденциальности и иными способами — но название здесь не главное, важнее содержание документа по существу). В нем регламентируется то, каким образом сотрудники магазина осуществляют оборот имеющихся у них в распоряжении персональных данных клиентов. Положение будет обязательным для исполнения работниками и может рассматриваться как основной руководящий норматив при обращении с персональными данными.

Сразу отметим — юрисдикция Положения распространится и на те правоотношения, в рамках которых будет производиться другая отмеченная нами процедура, в которой используются персональные данные — возврат товара. Специфику составления Положения для обоих случаев мы рассмотрим позже, а пока ознакомимся со спецификой применения персональных данных именно при возврате.

При возврате товара

Возврат товара — фискальная процедура, которая в соответствии с Законом № 54-ФЗ требует отражения в фискальной памяти ККТ (как и ранее проведенный отпуск товара с получением выручки, представленной оплатой от покупателя). Кроме того, наряду с обязательной фискализацией возврата, данная процедура должна быть задокументирована дополнительно с учетом законодательства о защите прав потребителей и иных нормативных актов, связанных с правоотношениями купли-продажи.

С учетом всей совокупности норм законодательства, применяемых при возврате товара, продавец в общем случае должен:

• запросить у покупателя заявление на возврат товара;
• согласовать с покупателем накладную по товару — как вариант, с использованием формы ТОРГ-13, или использовать аналогичный документ, на основании которого будут внесены изменения в бухгалтерские записи (если продавец имеет статус юрлица и обязан вести бухучет);
• сформировать кассовый чек с признаком «возврат прихода» — после приема возвращаемого товара и выдачи денежных средств клиенту.

Что с персональными данными? Они будут запрошены продавцом, как минимум, в целях заполнения заявления на возврат товара. И это «классические» персональные данные на прямую идентификацию физлица — ФИО и паспортные данные. Заявление при этом заверяется персональной подписью покупателя — соответственно, достоверность персональных данных будет гарантирована самим их владельцем.

Нужно ли продавцу запрашивать у покупателя в данном случае согласие на обработку персональных данных?

В среде юристов распространена точка зрения, что такое согласие правомерно не запрашивать. Она базируется на том факте, что прием персональных данных продавцом в рассматриваемом сценарии обусловлен действием, прежде всего, договора — на куплю-продажу товара. В рамках этого договора и осуществляется возврат, и, соответственно, запрашиваются в установленном порядке персональные данные. И, поскольку подпунктом 5 пункта 1 статьи 6 Закона № 152-ФЗ определено, что согласие не требуется как раз в том случае, если персональные данные передаются в рамках договора — соответствующая норма принимается во внимание. При этом, в договор должен предполагать, что носитель персональных данных выступает в качестве «стороны» или «выгодополучателя».

Важно, что в федеральном законе прямо не разъяснено, в какой форме должен быть заключен договор. В случае с обычной покупкой товара на кассе магазина эта форма приобретает «фискальный» характер: критериями признания договора заключенным становятся:

• выдача и оплата товара;
• удостоверение факта его выдачи и оплаты кассовым чеком.

Таким образом, говорить об отнесении такой сделки к исключениям, при которых согласие не запрашивается — совершенно правомерно.

Тем не менее, продавцу в любом случае не будет лишним запросить у покупателя — перед тем как оформлять возврат товара, письменное согласие на обработку персональных данных. Всегда есть вероятность, что у проверяющих органов возникнут вопросы к предприятию по организации порядка обработки персональных данных. Например — если выяснится, что фирма в принципе использует какие-либо персональные данные в целях, не связанных с исполнением договоров (как вариант, в рекламных рассылках). Несмотря на то, что эти рассылки не будут иметь отношения к «кассовым» процедурам, проверяющие органы могут уделить повышенное внимание установлению степени обоснованности этих рассылок — при которых, в свою очередь, согласие требуется. Как следствие — будут задавать вопросы по поводу отсутствия согласия на обработку персональных данных при возврате товара.

Тем более, что эта процедура — запрос согласия, как правило, совсем не сложна.

Как магазину получить согласие на обработку ПД

Согласие на обработку персональных данных, в принципе, может быть сформировано в любом виде, который позволил бы достоверно установить факт его передачи от владельца персональных данных к Оператору — в данном случае, торговому предприятию.

В предусмотренных законом случаях согласие, о котором идет речь, подлежит оформлению в письменном виде. Взаимодействие продавца и покупателя к таким случаям прямо законом не отнесено — но, объективно, нет никаких причин, чтобы не рассмотреть письменную форму в качестве оптимальной. Тем более, что официальных требований к ее структуре пока что нет — главное, чтобы она отражала согласие на обработку персональных данных по существу.

При этом, в согласии должна быть указана информация по перечню, приведенному в статье 9 Закона № 152-ФЗ. То есть, документ должен содержать:

• ФИО владельца персональных данных, адрес его проживания;
• реквизиты паспорта владельца персональных данных;
• наименование и адрес торгового предприятия;
• цель запроса персональных данных;
• конкретные типы персональных данных, получаемых продавцом;
• способы обработки персональных данных, которые будут применены продавцом;
• срок действия согласия;
• механизм отзыва согласия.

В согласие на обработку персональных данных можно включить ссылку на статью 9 Закона № 152-ФЗ — как руководящий источник норм, в соответствии с которыми документ запрашивается продавцом.

Таким образом, продавец при взаимодействии с покупателем может получать от покупателя — при наличии согласия, либо в предусмотренных законом случаях при отсутствии данного документа — широкий спектр персональных данных. Задача продавца — не только использовать их по назначению, но и обеспечить конфиденциальность.

Рассмотрим подробнее, каким образом Положение, о котором идет речь, принимается, и что оно должно содержать.

Положение о защите персональных данных: порядок принятия и содержание документа

Положение о защите персональных данных принимается достаточно просто: руководитель предприятия (директор или ИП) издает приказ о введении на предприятии соответствующего локального норматива. С приказом должны ознакомиться все работники магазина, кто будет принимать персональные данные от посетителей.

В самом Положении могут содержаться нормы, регулирующие, в частности:

1. Порядок получения персональных данных.

Очевидно, что этот порядок будет разным для персональных данных в виде контактов для получения электронного чека и тех, что указываются в заявлениях на возврат товаров. В Положениях может быть приведена необходимая классификация персональных данных — исходя из их содержания и способов получения (устно, письменно).

Одной из общих норм в данной части Положения может быть та, что регламентирует получение со стороны покупателей согласия на обработку персональных данных. Так, можно прописать, что данное согласие должно быть запрошено продавцом перед началом процедуры возврата товаров с оформлением заявления и выдачей кассового чека.

2. Порядок организации хранения носителей персональных данных.

Так, Положение может устанавливать, что заявления на возврат товаров подлежат немедленному (либо отложенному на заданное время) размещению в сейфе организации, доступ к которому разрешен только для ответственных сотрудников — как вариант, подписавших с работодателем соглашение о неразглашении конфиденциальных данных.

3. Порядок установления перечней работников, которым разрешено обрабатывать персональные данные.

Так, Положением может быть определено, что работник получает полномочия на такую обработку только в случае прохождения необходимого инструктажа (на предмет пользования сейфом, к примеру) и подписания соглашения о нераспространении персональных данных покупателей.

Положение может устанавливать перечни должностей сотрудников магазина, которым доступ к персональным данным может быть разрешен (или, наоборот, не разрешен ни при каких обстоятельствах).

4. Механизмы контроля над исполнением норм Положения сотрудниками предприятия.

Данный контроль может заключаться в ведении различных учетных и отчетных документов по тем действиям работников, которые связаны с использованием персональных данных. Самый простой пример — когда ключ к сейфу с документами, в которых содержатся персональные данные, осуществляется с занесением соответствующей записи в специальную тетрадь — под роспись человека, который данный ключ получает от сотрудника, ответственного за его хранение.

Могут быть прописаны различные технологические механизмы контроля — например, видеонаблюдение, аудиозапись в помещении.

К числу практических мер по обеспечению защиты персональных данных, прописываемых в Положении, можно отнести:

• установление на торговом предприятии порядка, в соответствии с которым устанавливается круг лиц, которым разрешено и лиц, которым не разрешено в принципе работать с персональными данными покупателей;
• установление на предприятии различных аппаратных и программных средств, направленных на обеспечение защиты данных (антивирусов, систем шифрования данных);
• определение лиц, ответственных за реализацию мер, направленных на обеспечение безопасности обработки персональных данных.

Каждый новый сотрудник предприятия должен будет получать копию Положения и удостоверять факт ознакомления с ним под роспись.

Какими должны быть дальнейшие действия торгового предприятия, разработавшего Положение о защите персональных данных? Нужно ли предъявлять принятое Положение каждому покупателю — по аналогии с запросом согласия на обработку данных?

В пункте 2 статьи 18.1 Закона № 152-ФЗ сказано о том, что Оператор персональных данных должен «опубликовать или иным образом обеспечить» свободный доступ к Положению. Таким образом, вручать документ покупателю всякий раз необязательно. Но распечатать и повесить на видном месте — например, на том же стенде, где расположена Жалобная книга, необходимо. Разумеется, его нужно будет предъявить и по первому требованию клиента.

Видео — что нужно делать чтобы исполнить закон о защите персональных данных:

Такова специфика законодательного регулирования обращения с персональными данными на «офлайновом» торговом предприятии, использующем контрольно-кассовую технику (а в части регламентации механизмов возврата товара рассмотренные нами правила актуальны для любого торгового предприятия в принципе).

В свою очередь, применение изученных нами правил интернет-магазинами имеет много нюансов. Рассмотрим подробнее, каким образом должна осуществляться обработка персональных данных при продаже товаров онлайн.

Защита персональных данных при продажах через интернет-магазин

Прежде всего, отметим, что базовые принципы обеспечения обработки персональных данных в соответствии с законом — рассмотренные нами в контексте офлайновых магазинов с ККТ, будут применимы и в случае с интернет-магазинами. При продаже товаров онлайн кассовые аппараты — соответствующие требованиям Закона № 54-ФЗ, необходимо применять в любом случае. Возврат товара — также процедура вполне типичная для интернет-магазина.

Таким образом, основные типы персональных данных интернет-магазин использует те же самые, что и в случае с обычными офлайновыми продажами — e-mail или телефон для отправки электронного чека, ФИО и прочие «прямые» идентификаторы физлица — при возврате товара. Кроме того, в большинстве случаев «прямые» персональные данные запрашиваются в целях доставки заказанного товара.

Как следствие, интернет-магазин практически всегда запрашивает у своих клиентов согласие на обработку персональных данных. И, разумеется, принимает как локальный норматив Положение о защите персональных данных.

Однако, на практике оба действия интернет-магазин осуществляет с учетом большого количества нюансов, обусловленных спецификой формата торговли. Дело в том, что «лицом» магазина в данном случае выступает не продавец в виде человека, а веб-интерфейс для заказа. Этим и обусловлены следующие особенности выполнения интернет-магазином обязанностей, связанных с исполнением норм Закона № 152-ФЗ.

Согласие на обработку и Положение о защите ПД при онлайн-продажах

В случае с интернет магазином согласие на обработку персональных данных содержательно не будет принципиально отличаться от документа, применяемого офлайновой торговой точкой. В согласии могут присутствовать те же самые пункты.

Довольно похожим на офлайновую версию с точки зрения структуры будет и онлайновое Положение о защите персональных данных — но различий между ними в данном случае может быть намного больше в силу особенностей взаимодействия владельца и Оператора персональных данных — поскольку в рассматриваемом случае оно осуществляется через интернет.

Так, в онлайновом Положении должны будут, к примеру, присутствовать гарантии Оператора по размещению персональных данных на российских серверах — в соответствии с пунктом 5 статьи 18 Закона № 152-ФЗ.

Один из ключевых вопросов обеспечения соответствия деятельности требованиям Закона № 152-ФЗ для интернет магазина — как именно запрашивать у покупателей согласие на обработку персональных данных — с технической точки зрения.

В случае с офлайновым магазином, как мы уже знаем, все довольно просто: человеку дается бумага и он подписывает ее ручкой вместе с подписанием прочих документов. В случае с интернет-магазином аналогичное с юридической точки зрения действие осуществить гораздо сложнее: заверение документа, эквивалентное производимому «ручкой», должно осуществляться с применением квалифицированной цифровой подписи. Понятное дело, что у покупателя ее с высокой вероятностью нет. А если и есть, то он, скорее всего, не захочет возиться с загрузкой электронного ключа.

Но на выручку интернет-магазину приходит как раз та норма закона, по которой письменная форма получения согласия — необязательна, если каким-либо правовым актом не установлено иного. И если офлайновому магазину, действительно, удобнее запросить именно письменное подтверждение — и нет необходимости искать ему альтернатив, то интернет-магазин такую альтернативу искать будет вынужден.

Вариантами здесь могут быть:

1. Получение согласия, запрашиваемого через веб-форму заказа товара.

Согласие может быть «прикреплено» к веб-форме разными способами. Например — в виде вкладки, которая «развертывается» при наведении мыши (или щелчке левой кнопкой на определенном участке веб-формы) или в виде отдельного документа.

Факт получения согласия может быть подтвержден проставлением галочки напротив соответствующего пункта. Здесь незачем что-либо усложнять.

Аналогично, в виде вложения или файла, может быть приведено и Положение о защите персональных данных. Но на него можно привести отдельную ссылку — и это распространенная практика, внизу страницы. Во многих случаях сайты уведомляют клиентов об отправке на их компьютеры файлов Cookie, которые, как мы уже знаем, могут рассматриваться в качестве носителей персональных данных — и ссылка на Политику конфиденциальности может содержаться в подобном уведомлении.

2. Получение согласия в рамках механизма регистрации пользователя (создания аккаунта покупателя на сайте).

Большинство крупнейших интернет-магазинов такую регистрацию практикуют. На одном из ее этапов пользователю может быть предложено дать согласие на обработку персональных данных (либо ознакомиться с Положением). Например:

• когда ссылки на согласие и Положение включаются непосредственно в форму регистрации;
• когда ссылки на согласие и Положение включаются в письмо на подтверждение регистрации (и в случае подтверждения пользователь одновременно удостоверяет факт предоставления согласия и ознакомления с Положением).

3. Получение согласия при подтверждении заказа на электронной почте (как правило, вариант применяется, если заказ осуществляется без регистрации, или если интернет-магазин не предоставляет пользователям возможности создавать аккаунты).

Аналогично, ссылки на согласие и Положение могут быть включены в письмо, присылаемое интернет-магазином — в данном случае, в целях подтверждения заказа.

Важно, чтобы у интернет-магазина был заключен контракт с хостинг-оператором, который также полностью выполняет требования Закона № 152-ФЗ и связанных с ним нормативных актов в области защиты персональных данных. Например — требований, определяемых исходя из разновидностей угроз, которые характерны для той или иной информационной системы — которые перечислены в Постановлении Правительства России от 01.11.2012 № 1119 (ССЫЛКА).

К числу прочих нюансов выполнения как офлайновым торговым предприятием, так и интернет-магазином требований законодательства о защите персональных данных можно отнести необходимость отправки в Роскомнадзор уведомления о приобретении статуса Оператора персональных данных — в соответствии с пунктом 1 статьи 22 Закона № 152-ФЗ.

Нужно ли магазину посылать уведомление об обработке персональных данных в Роскомнадзор

В общем случае — да. При этом, уведомление необходимо отправить до того, как персональные данные начнут собираться.

Вместе с тем, у магазина есть отличные шансы попасть под «исключения», перечисленные в подпункте 2 пункта 2 статьи 22 закона. Так, к числу определенных законом условий, при которых уведомление в Роскомнадзор можно не отправлять, относится заключение договора с владельцем персональных данных (в то время как обработка персональных данных осуществляется в соответствии с таким договором).

Частный пример такого договора — соглашение купли-продажи. В случае с обычным магазином, как мы уже отметили выше, договор считается заключенным при расчетах — о факте его заключения свидетельствует пробитый кассовый чек. То есть, пробив чек на онлайн-кассе, продавец автоматически гарантирует себе исключение по подпункту 2 пункта 2 статье 22 Закона № 152-ФЗ. Уведомление в Роскомнадзор отправлять будет не нужно.

В случае с интернет-магазином ситуация сложнее. Дело в том, что при заказе товара онлайн персональные данные в общем случае запрашиваются еще до заключения договора, а именно — на стадии заполнения формы заказа. Таким образом, исключение по умолчанию нельзя будет использовать — поскольку обязанности по отправке уведомления появляются до возникновения оснований такое исключение признать.

Однако, есть способ, по которому такое исключение — в виде заключенного договора купли-продажи, интернет-магазин может получить ранее наступления момента сбора персональных данных. Сущность такого способа заключается в следующем.

Выше мы отметили, что законодатель — в тех нормах, которые определяют условия освобождения продавца от получения согласия покупателя на обработку персональных данных, не устанавливает требований к форме договора купли-продажи. В случае с «исключением» в контексте уведомления — в виде заключения того же договора, ситуация та же самая. От необходимости отправки уведомления в Роскомнадзор освободит договор, заключенный в любой форме.

Для того, чтобы такой договор заключался до начала обработки интернет-магазином персональных данных, его можно предложить покупателям в форме оферты — то есть, открытого соглашения, к которому покупатель может присоединиться в любой момент. Сам факт такого «присоединения» может устанавливаться проставлением галочки, удостоверяющем факт прочтения оферты — во вкладке или в приложенном файле, которые будут присутствовать в форме заказа.

Как следствие — произойдет одновременная отправка заказа и подтверждение прочтения оферты (соответственно, заключение договора на основании оферты) «в режиме одного окна». Соответственно, персональные данные будут получены интернет-магазином в связи с заключением договора, и на основании подпункта 2 пункта 2 статьи 22 Закона № 152-ФЗ, интернет-магазин может быть освобожден от обязанности уведомлять Роскомнадзор о начале обработки персональных данных.

Схема с «письмом» — когда ссылка на оферту размещалась бы в письме на подтверждение регистрации (или заказа), здесь не очень подойдет, поскольку e-mail, как мы уже знаем, следует рассматривать как разновидность персональных данных — и указаны они в данном случае будут до того, как будет заключен договор в виде оферты.

Если у интернет-магазина нет технической возможности реализовать схему с офертой или альтернативную — по которой будут возможны исключения, то, в принципе, нет ничего сложного в том, чтобы требуемое уведомление отправить в Роскомнадзор. Уведомление может быть отправлено в электронном виде на этой странице — http://pd.rkn.gov.ru/operators-registry/notification/form/.

Следует особенно внимательно отнестись к указанию типов персональных данных, которые будет использовать магазин, а также к содержанию подсказок — которые появляются на экране по щелчку мыши по ссылкам с пунктирными линиями.

Нарушения требований Закона № 152-ФЗ и связанных с ним нормативных актов приведут к серьезным санкциям при проверке Роскомнадзора — ознакомимся с тем, какими эти санкции могут быть.

Ответственность за нарушение

Правовые последствия неисполнения торговым предприятием требований законодательства о защите персональных данных определяются на основании положений:

1. Административного законодательства.

В основном это нормы ст. 13.11 КоАП РФ (ССЫЛКА). Так, предусмотрены штрафы:

• за обработку персональных данных без получения согласия, когда это необходимо — до 20 000 рублей (на руководителя фирмы или ИП) либо до 75 000 рублей (на торговое предприятие как юрлицо);
• за некорректную (не соответствующую заявленным целям) обработку персональных данных — до 10 000 рублей (руководитель или ИП), либо до 50 000 рублей (юрлицо);
• за отсутствие Политики конфиденциальности — до 6000 рублей (руководители фирм), до 10 000 рублей (владельцы бизнеса как ИП), до 30 000 рублей (юридические лица);
• за отказ информировать физлицо о порядке обработки его персональных данных — до 6000 рублей (руководители фирм), до 15 000 рублей (предприниматели), до 40 000 рублей (юрлица).

Положениями ст. 5.39 КоАП РФ (ССЫЛКА) предусмотрен штраф за отказ в ознакомлении физлица с Политикой конфиденциальности торгового предприятия — 10 000 рублей (на руководителя организации или ИП).

2. Уголовного законодательства.

Незаконная обработка персональных данных, которые представляют собой личную тайну человека, может сопровождаться применением к нарушителю санкций в виде штрафа до 200 000 рублей, дисквалификации, исправительных работ, тюремного заключения до 2 лет.

Отдельные санкции могут быть применены к магазину по результатам исков пострадавших сторон в порядке гражданского судопроизводства.

Резюме

Магазин, использующий онлайн-кассу, работает со следующими основными типами персональных данных:

• e-mail, телефон — которые предоставляются покупателями в целях получения электронного кассового чека;
• ФИО, паспортными и иными данными — которые предоставляются покупателями при возврате товара (заказе онлайн).

В ходе взаимодействия с покупателем — в целях выполнения требований Закона № 152-ФЗ либо связанных с ним нормативных актах, магазин:

1. Запрашивает у него согласие на обработку персональных данных.

Данное действие — рекомендуемое, поскольку практически всегда торговое предприятие — как в офлайне, так и в онлайне, взаимодействует с покупателем в рамках договора купли-продажи. Наличие такого договора — основание для законного отказа от получения согласия на обработку персональных данных.

Но на случай вопросов со стороны проверяющих органов такое согласие желательно иметь.

2. Еще до начала фактических продаж принимает Положение о защите персональных данных (Политику конфиденциальности или аналогичный документ).

В нем регламентируется то, каким образом работники магазина гарантируют конфиденциальность получаемых от покупателей персональных данных. Положение должно быть публичным. Офлайновый магазин размещает его на видном месте либо показывает покупателю по первому требованию, интернет-магазин — предлагает прочесть при оформлении заказа.

В случае, если персональные данные собираются магазином до заключения договора купли-продажи (либо в целях, не связанных с заключением такого договора), то в Роскомнадзор торговому предприятию необходимо направить уведомление о начале обработки персональных данных.

Видео — защита персональных данных в интернете: