Оператор - лицо, которое организует и осуществляет обработку персональных данных (ч.2 ст.3 Федерального закона от 27.07.2006 N 152-ФЗ). Любые действия или операции с персональными данными считаются их обработкой. К таким действиям относятся сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача персональных данных (их распространение, предоставление, доступ к ним), обезличивание, блокирование, удаление, уничтожение данных.
Согласно п.2 ст.1.2 Федерального закона N 54-ФЗ, при осуществлении расчета пользователь ККТ обязан направить кассовый чек (БСО) в электронной форме клиенту на абонентский номер либо адрес электронной почты (при наличии технической возможности), если он был представлен покупателем до момента расчета.
Абонентский номер и адрес электронной почты, если они относятся прямо или косвенно к определенному физическому лицу, признаются персональными данными (Письмо Минкомсвязи России от 07.07.2017 N П11-15054-ОГ). Тот факт, что абонентский номер и адрес электронной почты могут являться персональными данными клиента - физического лица, означает, что пользователь ККТ, по сути, признается оператором персональных данных. Подтверждение этого есть и в Письме Минфина России от 03.08.2017 N 03-01-15/49809.
Операторы персональных данных должны соблюдать требования Федерального закона N 152-ФЗ от 27.07.2006, в том числе требования подачи уведомления в соответствующий орган Роскомнадзора о намерении осуществлять обработку персональных данных, составления и издания документа, определяющего политику оператора в отношении обработки персональных данных. Несоблюдение данных требований - это административно наказуемое деяние.
При этом пользователю ККТ, выступающему в роли оператора персданных, не нужно получать согласие клиента на обработку его персональных данных. В частности, в силу п. 2 ч. 1 ст. 6 Федерального закона N 152-ФЗ обработка персональных данных допускается без согласия гражданина, если необходима для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей.
На заметку: за непредставление или несвоевременное (например, после начала обработки персональных данных) представление в Роскомнадзор уведомления об обработке персональных данных предусмотрена административная ответственность - предупреждение или штраф в размере от 100 до 300 руб. для граждан, от 300 до 500 руб. для должностных лиц и ИП, от 3 000 до 5 000 руб. для юридических лиц (ст.19.7 КоАП РФ). Неисполнение другой обязанности - опубликования или обеспечения иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, - повлечет штраф для должностных лиц от 3 000 до 6 000 руб., для юридических лиц от 15 000 до 30 000 руб. (ч.3 ст.13.11 КоАП РФ).
Полный текст документа смотрите в СПС КонсультантПлюс
Бухгалтерам
Кадровикам
