Как обрабатывать персональные данные покупателей при отправке электронного чека клиенту
Закон обязывает продавцов проводить торговые операции на зарегистрированных онлайн-кассах и выдавать покупателям чеки или бланки строгой отчётности (БСО), которые являются доказательством сделки (совершения покупки). Кассовый документ разрешено передавать как в бумажном, так и в электронном виде.
Электронный чек — это цифровой аналог бумажного кассового чека, который отправляется покупателю по электронной почте или SMS в виде PDF-документа, ссылки или изображения. Отправлять их может любая торговая точка или предприятие, занимающееся продажей и оказанием услуг.
Для получения электронного чека клиент предоставляет свои персональные данные: номер телефона или электронную почту. После расчёта на контрольно-кассовой технике (ККТ) данные по кассовому чеку отправляются SMS-сообщением или на email. В статье рассмотрим, нужно ли продавцу получать согласие покупателя на обработку персональных данных и как не нарушить законодательство при их использовании.
Почему всё больше организаций переходят на электронные чеки
Чтобы понять, почему предприниматели переходят на электронные версии, рассмотрим основные преимущества электронных чеков для компании.
- Долговечность. Электронные чеки не выцветают, не деформируются и не теряются.
- Доступность в любое время. Для покупателей имеется сервис «Мои чеки онлайн», который хранит все полученные фискальные документы в одном месте.
- Сокращение затрат на чековую ленту и закупку краски.
- Продление срока эксплуатации печатающих устройств за счёт снижения нагрузки.
- Снижение количества бумажных отходов.
- Экономия времени покупателя. Не создаются очереди, так как не нужно ждать, когда напечатается чек.
Согласно п.2 ст. 1.2 54-ФЗ, бумажную версию чека может заменить электронная, в случае если об этом попросил покупатель и сам предоставил номер телефона для отправки чека по SMS или email.
Являются ли абонентский номер телефона и email клиента персональными данными
Обеспечение защиты прав и свобод гражданина при обработке его личной информации регулирует Федеральный закон «О персональных данных» № 152-ФЗ. В соответствии с ст.3 152-ФЗ, персональные данные — это любые сведения, которые прямо или косвенно относятся к физлицу. В документе не прописано, является ли номер телефона или адрес электронной почты личными сведениями субъекта. Конкретного перечня, что именно причисляют к такой информации, законодательством РФ не предусмотрено.
Разъяснение даёт Минкомсвязи. Согласно письму ведомства №П11-15054-ОГ, если номер телефона и адрес электронной почты принадлежат физлицу, то их относят к персональным данным. Обрабатывают такую информацию только с согласия субъекта. Исключения составляют абонентские номера, привязанные к юридическому лицу.
Является ли пользователь онлайн-кассы оператором персональных данных клиента
Оператор персональных данных записывает, систематизирует, хранит и обновляет личную информацию граждан РФ. Для обработки сведений используется информационно-телекоммуникационная интернет-сеть и государственная база данных.
Операторами персональных данных могут быть:
- государственные или муниципальные органы;
- физические или юридические лица.
Покупатель предоставляет свой номер телефона или электронную почту перед пробитием чека. На основе полученной информации продавец отправляет фискальный документ по SMS или на email. Учитывая данные условия, юрлицо и ИП, применяющее онлайн-кассу, является оператором персональных данных клиента.
Обработка персональных данных при расчётах: куда сообщить об отправке чеков
Организация, которая осуществляет расчёты с покупателями, обязана уведомить Роскомнадзор о намерении обрабатывать персональные сведения. Данную меру регулирует ч.1 ст.22 152-ФЗ. Сообщить ведомству о своих намерениях требуется за 30 календарных дней до начала отправки электронных чеков. Форма уведомления утверждена приложением 1 к Методическим рекомендациям приказа службы по надзору в сфере связи, информационных технологий и массовых коммуникаций.
Согласно ст.19.7 КоАП РФ, если уведомление не сдать вовремя, компанию и её сотрудников оштрафуют:
- организацию — от 3 тыс. до 5 тыс. рублей;
- руководителей — от 300 до 500 рублей.
Нужно ли согласие клиента на обработку персональных данных при расчётах
В соответствии с п.1 ч.1 ст.6 52-ФЗ, оператор персональных данных должен получить разрешение от субъекта перед обработкой информации. Однако существуют исключения, когда данные правила не действуют. Например, если выполнение обязанностей организации закреплены на законодательном уровне.
Одну из таких особенностей регулирует п.2 ст. 1.2 54-ФЗ. Документ указывает на то, что пользователь ККТ обязан выдавать чек или БСО покупателям. Отсюда делается вывод, что в случае с кассовым электронным документом, запрашивать разрешение на обработку персональных данных у гражданина не требуется. Также данные действия не применяют в случаях возврата денежных средств за товары или услуги. Отчитываться в Роскомнадзор об обработке персональных данных при таких операциях не нужно.
За разглашение личной конфиденциальной информации клиентов организация и должностные лица несут ответственность согласно ст.137 УК РФ.
Какие дополнительные требования должен соблюдать оператор персональных данных
Обязанности оператора персональных данных регулирует глава 4 152-ФЗ. Среди требований в перечень включена необходимость создания политики в отношении обработки указанных сведений. Данная мера применима только к юрлицам. По правилам документ публикуют в свободном для ознакомления доступе. Если этого не сделать, компании грозит штрафное взыскание согласно ч. 3 ст.13.11 КоАП РФ, а именно:
- от 3 тыс. до 6 тыс. рублей — для должностных лиц;
- от 15 тыс. до 30 тыс. рублей — для организации.
Документ, определяющий политику оператора по обработке персональных данных, должен включать в себя:
- общее положение;
- цель сбора персональной информации;
- правовые основания для совершения операции;
- объём, категория субъекта и обрабатываемых сведений;
- порядок и условия работы;
- актуализацию, исправления, удаление данных и ответы на запрос субъекта о доступе.
Подготовить политику обработки персональных данных и полный пакет нормативных актов для соблюдения закона № 152-ФЗ вам поможет сервис 152DOC.
Помимо всего, оператор должен соблюдать установленные сроки отправки электронного чека по 192-ФЗ:
- в день оплаты или на следующий рабочий день;
- при оплате в момент получения покупки от курьера или на почте.
Законодательством также регламентированы форматы файла с чеком, которые должен направлять оператор, чтобы клиент не испытывал проблем с открытием и чтением документа. Это изображение формата JPG или PNG, PDF-файл, текстовый формат с кодом HTML.
Заключение
- Персональными данными являются номер телефона и адрес электронной почты, которые напрямую или косвенно относятся к покупателю.
- Продавец, осуществляющий обработку таких сведений, выполняет роль оператора персональных данных.
- Перед обработкой информации организация подаёт уведомление в Роскомнадзор за 30 дней до начала своей деятельности.
- При расчётах на ККТ согласие клиента на обработку персональных данных не требуется.