Как отправить электронный чек клиенту и не нарушить закон о защите персональных данных
14 мая 2022
Закон обязывает продавцов выдавать покупателям чеки или бланки строгой отчётности (БСО). Кассовый документ разрешено передавать как в бумажном, так и в электронном виде. Для получения электронного чека клиент предоставляет свои персональные данные: номер телефона или электронную почту. После расчёта на ККТ данные отправляются по СМС или на e-mail.
В статье рассмотрим, нужно ли продавцу получать согласие покупателя на обработку персональных данных и как не нарушить законодательство при их использовании.
Являются ли абонентский номер телефона и e-mail клиента персональными данными
Обеспечение защиты прав и свобод гражданина при обработке его личной информации регулирует Федеральный закон «О персональных данных» № 152-ФЗ. В соответствии с ст.3 152-ФЗ, персональные данные — это любые сведения, которые прямо или косвенно относятся к физлицу. В документе не прописано, является ли номер телефона или адрес электронной почты личными сведениями субъекта. Конкретного перечня, что именно причисляют к такой информации, законодательством РФ не предусмотрено.
Данные условия разъясняет Минкомсвязи. Согласно письму ведомства №П11-15054-ОГ, если номер телефона и адрес электронной почты принадлежат физлицу, то их относят к персональным данным. Обрабатывают такую информацию только с согласия субъекта. Исключения составляют абонентские номера, привязанные к юридическому лицу.
Является ли пользователь онлайн-кассы оператором персональных данных клиента
Оператор персональных данных записывает, систематизирует, хранит и обновляет личную информацию граждан РФ. Для обработки сведений используется информационно-телекоммуникационная интернет-сеть и государственная база данных.
Операторами персональных данных могут быть:
государственные или муниципальные органы;
физические или юридические лица.
Покупатель предоставляет свой номер телефона или электронную почту перед пробитием чека. На основе полученной информации продавец отправляет фискальный документ по СМС или на e-mail. Учитывая данные условия, юрлица и ИП, применяющие онлайн-кассы, являются оператором персональных данных клиента.
Обработка персональных данных при расчётах: куда сообщить об отправке чеков
Организация, которая осуществляет расчёты с покупателями, обязана уведомить Роскомнадзор о намерении обрабатывать персональные сведения. Данную меру регулирует ч.1 ст.22 152-ФЗ. Сообщить ведомству о своих намерениях требуется за 30 календарных дней до начала отправки электронных чеков. Форма уведомления утверждена приложением 1 к Методическим рекомендациям приказа службы по надзору в сфере связи, информационных технологий и массовых коммуникаций.
Согласно ст.19.7 КоАП РФ, если уведомление не сдать вовремя, компанию и её сотрудников оштрафуют:
организацию — от 3 тыс. до 5 тыс. рублей;
руководителей — от 300 до 500 рублей.
Нужно ли согласие клиента на обработку персональных данных при расчётах
В соответствии с п.1 ч.1 ст.6 52-ФЗ, оператор персональных данных должен получить разрешение от субъекта перед обработкой информации. Однако существуют исключения, когда данные правила не действуют. Например, если выполнение обязанностей организации закреплены на законодательном уровне.
Одну из таких особенностей регулирует п.2 ст. 1.2 54-ФЗ. Документ указывает на то, что пользователь ККТ обязан выдавать чек или БСО покупателям. Отсюда делается вывод, что в случае с кассовым электронным документом, запрашивать разрешение на обработку персональных данных у гражданина не требуется.
Также данные действия не применяют в случаях возврата денежных средств за товары или услуги. Отчитываться в Роскомнадзор об обработке персональных данных при таких операциях не нужно.
За разглашение личной конфиденциальной информации клиентов организация и должностные лица несут ответственность согласно ст.137 УК РФ.
Какие дополнительные требования должен соблюдать оператор персональных данных
Обязанности оператора персональных данных регулирует глава 4 152-ФЗ. Среди требований в перечень включена необходимость создания политики в отношении обработки указанных сведений. Данная мера применима только к юрлицам. По правилам документ публикуют в свободном для ознакомления доступе. Если этого не сделать, компании грозит штрафное взыскание согласно ч. 3 ст. 13.11 КоАП РФ, а именно:
от 3 тыс. до 6 тыс. рублей — для должностных лиц;
от 15 тыс. до 30 тыс. рублей — для организации.
Документ, определяющий политику оператора по обработке персональных данных, должен включать в себя:
общее положение;
цель сбора персональной информации;
правовые основания для совершения операции;
объём, категория субъекта и обрабатываемых сведений;
порядок и условия работы;
актуализацию, исправления, удаление данных и ответы на запрос субъекта о доступе.
Заключение
Персональными данными являются номер телефона и адрес электронной почты, которые напрямую или косвенно относятся к покупателю.
Продавец, осуществляющий обработку таких сведений, выполняет роль оператора персональных данных.
Перед обработкой информации организация подаёт уведомление в Роскомнадзор за 30 дней до начала своей деятельности.
При расчётах на ККТ согласие клиента на обработку персональных данных не требуется.
В статье рассмотрим, нужно ли продавцу получать согласие покупателя на обработку персональных данных и как не нарушить законодательство при их использовании.
Являются ли абонентский номер телефона и e-mail клиента персональными данными
Обеспечение защиты прав и свобод гражданина при обработке его личной информации регулирует Федеральный закон «О персональных данных» № 152-ФЗ. В соответствии с ст.3 152-ФЗ, персональные данные — это любые сведения, которые прямо или косвенно относятся к физлицу. В документе не прописано, является ли номер телефона или адрес электронной почты личными сведениями субъекта. Конкретного перечня, что именно причисляют к такой информации, законодательством РФ не предусмотрено.
Данные условия разъясняет Минкомсвязи. Согласно письму ведомства №П11-15054-ОГ, если номер телефона и адрес электронной почты принадлежат физлицу, то их относят к персональным данным. Обрабатывают такую информацию только с согласия субъекта. Исключения составляют абонентские номера, привязанные к юридическому лицу.
Является ли пользователь онлайн-кассы оператором персональных данных клиента
Оператор персональных данных записывает, систематизирует, хранит и обновляет личную информацию граждан РФ. Для обработки сведений используется информационно-телекоммуникационная интернет-сеть и государственная база данных.
Операторами персональных данных могут быть:
государственные или муниципальные органы;
физические или юридические лица.
Покупатель предоставляет свой номер телефона или электронную почту перед пробитием чека. На основе полученной информации продавец отправляет фискальный документ по СМС или на e-mail. Учитывая данные условия, юрлица и ИП, применяющие онлайн-кассы, являются оператором персональных данных клиента.
Обработка персональных данных при расчётах: куда сообщить об отправке чеков
Организация, которая осуществляет расчёты с покупателями, обязана уведомить Роскомнадзор о намерении обрабатывать персональные сведения. Данную меру регулирует ч.1 ст.22 152-ФЗ. Сообщить ведомству о своих намерениях требуется за 30 календарных дней до начала отправки электронных чеков. Форма уведомления утверждена приложением 1 к Методическим рекомендациям приказа службы по надзору в сфере связи, информационных технологий и массовых коммуникаций.
Согласно ст.19.7 КоАП РФ, если уведомление не сдать вовремя, компанию и её сотрудников оштрафуют:
организацию — от 3 тыс. до 5 тыс. рублей;
руководителей — от 300 до 500 рублей.
Нужно ли согласие клиента на обработку персональных данных при расчётах
В соответствии с п.1 ч.1 ст.6 52-ФЗ, оператор персональных данных должен получить разрешение от субъекта перед обработкой информации. Однако существуют исключения, когда данные правила не действуют. Например, если выполнение обязанностей организации закреплены на законодательном уровне.
Одну из таких особенностей регулирует п.2 ст. 1.2 54-ФЗ. Документ указывает на то, что пользователь ККТ обязан выдавать чек или БСО покупателям. Отсюда делается вывод, что в случае с кассовым электронным документом, запрашивать разрешение на обработку персональных данных у гражданина не требуется.
Также данные действия не применяют в случаях возврата денежных средств за товары или услуги. Отчитываться в Роскомнадзор об обработке персональных данных при таких операциях не нужно.
За разглашение личной конфиденциальной информации клиентов организация и должностные лица несут ответственность согласно ст.137 УК РФ.
Какие дополнительные требования должен соблюдать оператор персональных данных
Обязанности оператора персональных данных регулирует глава 4 152-ФЗ. Среди требований в перечень включена необходимость создания политики в отношении обработки указанных сведений. Данная мера применима только к юрлицам. По правилам документ публикуют в свободном для ознакомления доступе. Если этого не сделать, компании грозит штрафное взыскание согласно ч. 3 ст. 13.11 КоАП РФ, а именно:
от 3 тыс. до 6 тыс. рублей — для должностных лиц;
от 15 тыс. до 30 тыс. рублей — для организации.
Документ, определяющий политику оператора по обработке персональных данных, должен включать в себя:
общее положение;
цель сбора персональной информации;
правовые основания для совершения операции;
объём, категория субъекта и обрабатываемых сведений;
порядок и условия работы;
актуализацию, исправления, удаление данных и ответы на запрос субъекта о доступе.
Заключение
Персональными данными являются номер телефона и адрес электронной почты, которые напрямую или косвенно относятся к покупателю.
Продавец, осуществляющий обработку таких сведений, выполняет роль оператора персональных данных.
Перед обработкой информации организация подаёт уведомление в Роскомнадзор за 30 дней до начала своей деятельности.
При расчётах на ККТ согласие клиента на обработку персональных данных не требуется.