Юридический анализ использования данных фискальных чеков из государственной системы при наличии согласия пользователя
Анализ ситуации
Вы планируете получать сведения из чеков через государственную систему проверки кассовых документов (сервис ФНС России) для отображения детализации покупок в вашем приложении. Возникает коллизия между согласием пользователя на обработку его данных и договорными ограничениями, установленными владельцем государственной информационной системы. Рассмотрю данную ситуацию с точки зрения законодательства о персональных данных, налоговой тайне и информационной безопасности.
Правовой режим сведений из фискальных чеков
Сведения из кассовых чеков содержат несколько категорий охраняемой информации одновременно, и это ключевой момент для вашей ситуации.
Персональные данные. Данные фискальных чеков однозначно подпадают под определение персональных данных, установленное Федеральным законом «О персональных данных»:
«персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)» (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных», статья 3, пункт 1)
Сведения о покупках, их составе, времени, месте и сумме позволяют идентифицировать конкретного покупателя, особенно в совокупности с другими данными.
Фискальные данные. Федеральный закон «О применении контрольно-кассовой техники» определяет:
«фискальные данные — сведения о расчетах, в том числе сведения об организации или индивидуальном предпринимателе, осуществляющих расчеты, о контрольно-кассовой технике, применяемой при осуществлении расчетов, и иные сведения, сформированные контрольно-кассовой техникой или оператором фискальных данных» (Источник: Федеральный закон от 22.05.2003 N 54-ФЗ, статья 1.1)
При этом закон устанавливает специальное требование к оператору фискальных данных:
«обеспечивать конфиденциальность фискальных данных» (Источник: Федеральный закон от 22.05.2003 N 54-ФЗ, статья 4.5, пункт 2)
Налоговая тайна. Важно понимать, что сведения, полученные от налогового органа через государственную систему, также охраняются режимом налоговой тайны:
«Налоговую тайну составляют любые полученные налоговым органом... сведения о налогоплательщике, плательщике страховых взносов» (Источник: Налоговый кодекс РФ, статья 102, пункт 1)
«Налоговая тайна не подлежит разглашению налоговыми органами... их должностными лицами и привлекаемыми специалистами, экспертами, за исключением случаев, предусмотренных федеральным законом» (Источник: Налоговый кодекс РФ, статья 102, пункт 2)
Однако Налоговый кодекс предусматривает возможность передачи таких сведений с согласия налогоплательщика:
«Не является разглашением налоговой тайны представление налоговым органом сведений о налогоплательщике... составляющих налоговую тайну, иному лицу при наличии согласия на это указанного налогоплательщика» (Источник: Налоговый кодекс РФ, статья 102, пункт 2.3)
Пределы действия согласия пользователя
Федеральный закон «О персональных данных» действительно предусматривает согласие субъекта как одно из оснований для обработки:
«Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных» (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных», статья 6, часть 1, пункт 1)
При этом согласие должно соответствовать строгим требованиям:
«Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным» (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных», статья 9, часть 1)
Ключевой вывод: наличие согласия пользователя на обработку его персональных данных не преодолевает договорные ограничения, установленные оператором государственной информационной системы. Согласие субъекта персональных данных регулирует отношения между субъектом и оператором, но не освобождает от соблюдения условий использования информационной системы, установленных ее владельцем.
Ограничения, установленные владельцем информационной системы
Федеральный закон «Об информации, информационных технологиях и о защите информации» устанавливает права обладателя информации:
«Обладатель информации, если иное не предусмотрено федеральными законами, вправе:
- разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа;
- защищать установленными законом способами свои права в случае незаконного получения информации или ее незаконного использования иными лицами» (Источник: Федеральный закон от 27.07.2006 N 149-ФЗ, статья 6, пункт 3)
Это означает, что ФНС России как обладатель государственной информационной системы вправе устанавливать условия использования предоставляемой информации, включая ограничение целей ее применения.
Более того, законодательство допускает включение в договоры об оказании услуг по предоставлению информации специальных ограничительных условий:
«Договором, в силу которого исполнитель обязуется совершить действия по предоставлению определенной информации заказчику (договор об оказании услуг по предоставлению информации), может быть предусмотрена обязанность одной из сторон или обеих сторон не совершать в течение определенного периода действий, в результате которых информация может быть раскрыта третьим лицам» (Источник: Гражданский кодекс РФ, статья 783.1)
Принципы обработки персональных данных, которые нарушаются
Ваши планируемые действия противоречат фундаментальным принципам обработки персональных данных, установленным законом:
«Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных» (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных», статья 5, пункт 2)
Если государственная система предоставляет данные исключительно для целей отображения чека и подачи жалоб, то их использование для детализации покупок в коммерческом приложении является несовместимым с изначальными целями сбора этих данных в системе ФНС.
Риски ответственности
Административная ответственность за нарушение законодательства о персональных данных:
«Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных...
влечет наложение административного штрафа на граждан в размере от десяти тысяч до пятнадцати тысяч рублей; на должностных лиц — от пятидесяти тысяч до ста тысяч рублей; на юридических лиц — от ста пятидесяти тысяч до трехсот тысяч рублей» (Источник: КоАП РФ, статья 13.11, часть 1)
Ответственность за незаконное получение информации с ограниченным доступом:
«Получение информации любым незаконным способом, доступ к которой ограничен федеральным законом...
влечет наложение административного штрафа на граждан в размере от пяти тысяч до десяти тысяч рублей; на должностных лиц — от сорока тысяч до пятидесяти тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц — от ста тысяч до двухсот тысяч рублей» (Источник: КоАП РФ, статья 13.14.1)
Гражданско-правовая ответственность за нарушение требований законодательства об информации:
«Нарушение требований настоящего Федерального закона влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации» (Источник: Федеральный закон от 27.07.2006 N 149-ФЗ, статья 17, пункт 1)
Кроме того, существует риск предъявления требований со стороны налогового органа:
«Лица, права и законные интересы которых были нарушены в связи с разглашением информации ограниченного доступа или иным неправомерным использованием такой информации, вправе обратиться в установленном порядке за судебной защитой своих прав, в том числе с исками о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации» (Источник: Федеральный закон от 27.07.2006 N 149-ФЗ, статья 17, пункт 2)
Выводы и рекомендации
1. Согласие пользователя не преодолевает договорные ограничения. Вы связаны условиями пользовательского соглашения государственной системы, даже если пользователь вашего приложения дает согласие на обработку данных. Согласие субъекта персональных данных и соглашение с оператором информационной системы — это два разных правовых института, регулирующих разные правоотношения.
2. Цели обработки должны быть совместимы. Обработка данных для детализации покупок в вашем приложении несовместима с целями, для которых эти данные предоставляются через государственную систему (отображение чека и подача жалоб), что нарушает принципы обработки персональных данных.
3. Высокий риск привлечения к ответственности. Существует реальный риск административной ответственности как за нарушение законодательства о персональных данных, так и за неправомерное использование информации с ограниченным доступом.
4. Что делать. Рассмотрите альтернативные законные способы получения информации о покупках клиентов:
- Получать данные напрямую от клиента (например, через сканирование QR-кода с чека самим пользователем в вашем приложении без обращения к системе ФНС)
- Заключить соглашение с оператором фискальных данных
- Получить данные от самих пользователей через их личные кабинеты в иных сервисах
Для разработки законной схемы обработки таких данных настоятельно рекомендую обратиться к адвокату, специализирующемуся на информационном праве и защите персональных данных, который сможет проанализировать конкретные формулировки пользовательского соглашения государственной системы и предложить юридически корректное решение.
