Фискальный чек Kaspi содержит не только данные о транзакции, но и персональную информацию покупателя и продавца: ФИО, ИИН/БИН, адрес. При проверке чеков бизнес неизбежно обрабатывает эти персональные данные, что подпадает под действие Закона РК «О персональных данных и их защите».
В этой статье разберём, какие персональные данные содержит чек Kaspi, какие обязательства возникают у бизнеса при их обработке, и как обеспечить соответствие требованиям закона при использовании сервисов проверки чеков.
Какие персональные данные содержит чек Kaspi
Фискальный чек Kaspi содержит несколько категорий данных, часть из которых относится к персональным:
| Данные | Пример | Персональные? |
|---|---|---|
| ФИО покупателя | АЛИБЕКОВ С. | Да |
| ИИН/БИН продавца | 860415300789 | Да (для ИП) |
| Название продавца (ИП) | ИП АЛИБЕКОВ | Да (для ИП) |
| Адрес продавца | г. Алматы, Сейфуллина, 472 | Нет |
| Сумма транзакции | 15 000 ₸ | Нет |
| Номер чека | QR13973837513 | Нет |
| Дата и время | 2026-02-16T14:30:00 | Нет |
ФИО покупателя в чеке Kaspi частично скрыто (указывается только фамилия и инициал), но даже такая информация в совокупности с суммой и датой может идентифицировать конкретного человека, что делает её персональными данными.
Важно: ИИН индивидуального предпринимателя является персональными данными, поскольку позволяет однозначно идентифицировать физическое лицо. БИН юридического лица (ТОО, АО) к персональным данным не относится.
Закон РК «О персональных данных и их защите»
Основным нормативным актом, регулирующим обработку персональных данных в Казахстане, является Закон РК от 21 мая 2013 года «О персональных данных и их защите». Этот закон определяет основные понятия, права субъектов данных и обязанности операторов.
Ключевые понятия закона
- Персональные данные — сведения, относящиеся к определённому или определяемому физическому лицу, зафиксированные на электронном, бумажном или ином носителе.
- Субъект персональных данных — физическое лицо, к которому относятся данные (покупатель, ИП-продавец).
- Оператор — лицо, осуществляющее сбор и обработку персональных данных. При проверке чеков оператором является ваш бизнес.
- Третье лицо — лицо, которому оператор передаёт данные для обработки. Сервис проверки чеков является третьим лицом.
Основания для обработки данных из чеков
Закон устанавливает несколько оснований для обработки персональных данных. При проверке чеков применимы два основания:
- Исполнение договора. Когда покупатель отправляет вам чек как подтверждение оплаты, он добровольно предоставляет свои данные для исполнения договора купли-продажи. Дополнительного согласия для верификации чека не требуется.
- Законный интерес. Проверка подлинности чека и предотвращение мошенничества — законный интерес бизнеса, который не нарушает права субъекта данных. Это основание позволяет обрабатывать данные без отдельного согласия.
Обязанности бизнеса при обработке данных из чеков
Даже при наличии законного основания для обработки, бизнес обязан соблюдать ряд требований:
Принцип минимизации данных
Обрабатывайте только те данные, которые необходимы для цели проверки. Для верификации чека нужны: номер чека, сумма, дата, ИИН/БИН продавца. ФИО покупателя для проверки подлинности не требуется — оно извлекается системой, но не используется в процессе валидации.
Ограничение срока хранения
Персональные данные должны храниться не дольше, чем это необходимо для заявленных целей. Для проверки чеков рекомендуемый срок хранения — период действия подписки плюс время, необходимое для налогового учёта (до 5 лет). После истечения срока данные должны быть удалены или обезличены.
Обеспечение безопасности
Оператор обязан принимать технические и организационные меры для защиты персональных данных от несанкционированного доступа, изменения, распространения или уничтожения. Это включает:
- Шифрование данных при передаче (HTTPS/TLS)
- Контроль доступа к базе данных с чеками
- Журналирование операций с персональными данными
- Регулярное резервное копирование
Уведомление субъекта
Если вы собираете персональные данные (например, через форму загрузки чека на сайте), необходимо информировать субъекта о целях обработки, составе данных и третьих лицах, которым данные могут передаваться.
Передача данных третьим лицам: сервисы проверки чеков
Когда вы используете сервис проверки чеков, такой как ProverkaCheka, вы передаёте данные третьему лицу. Закон допускает такую передачу при соблюдении условий:
- Договорные обязательства. Третье лицо должно принять обязательства по защите данных. ProverkaCheka обрабатывает данные строго в рамках публичной оферты и политики конфиденциальности.
- Целевое использование. Третье лицо может использовать данные только для заявленных целей — проверки подлинности чека. Перепродажа или использование данных для маркетинга запрещены.
- Технические меры защиты. Передача данных должна осуществляться по защищённым каналам. Все API-запросы к ProverkaCheka проходят через HTTPS с шифрованием TLS 1.2+.
ProverkaCheka обрабатывает минимально необходимый набор данных: номер чека, сумму, дату и ИИН/БИН продавца. ФИО покупателя извлекается из ответа Kaspi, но не индексируется и не используется для каких-либо целей, кроме отображения в результате проверки. Все данные передаются по зашифрованным каналам, доступ к базе данных ограничен.
Трансграничная передача данных
Закон устанавливает дополнительные требования к передаче персональных данных за пределы Казахстана. Это актуально, если сервер проверки чеков расположен за рубежом или если данные передаются в облачные сервисы зарубежных провайдеров.
Трансграничная передача допускается в страны, обеспечивающие адекватный уровень защиты данных. Список таких стран определяется уполномоченным органом. При передаче в страны, не входящие в список, необходимо получить согласие субъекта данных.
ProverkaCheka: Серверы расположены в Казахстане. Персональные данные не передаются за пределы страны. Это исключает необходимость соблюдения дополнительных требований по трансграничной передаче.
Права субъектов данных
Закон предоставляет субъектам персональных данных (покупателям, чьи чеки вы проверяете) ряд прав:
- Право на информацию — узнать, какие данные о нём обрабатываются и кому передаются.
- Право на доступ — получить копию своих персональных данных.
- Право на исправление — потребовать исправления неточных данных.
- Право на удаление — потребовать удаления данных, если основания для обработки отпали.
- Право на возражение — возразить против обработки данных на основании законного интереса.
На практике покупатели редко обращаются с такими запросами в контексте проверки чеков, но бизнес должен быть готов их исполнить.
Ответственность за нарушения
Нарушение требований закона о персональных данных влечёт административную, а в серьёзных случаях — уголовную ответственность:
| Нарушение | Ответственность |
|---|---|
| Обработка без законного основания | Штраф от 100 до 200 МРП |
| Непринятие мер по защите данных | Штраф от 200 до 600 МРП |
| Незаконная передача третьим лицам | Штраф от 200 до 1000 МРП |
| Утечка данных по халатности | Штраф + возможная уголовная ответственность |
| Незаконная трансграничная передача | Штраф от 200 до 600 МРП + блокировка сервиса |
Практические рекомендации для бизнеса
Чтобы обеспечить соответствие требованиям закона при проверке чеков Kaspi, рекомендуем следующие шаги:
- Разместите политику конфиденциальности. Если ваш сайт принимает загрузку чеков, опубликуйте политику конфиденциальности с описанием целей обработки, состава данных и третьих лиц.
- Используйте HTTPS. Все страницы, где покупатели загружают чеки, должны работать через HTTPS. Передача PDF-чеков по незащищённому HTTP-каналу — нарушение закона.
- Ограничьте доступ. Результаты проверки чеков должны быть доступны только уполномоченным сотрудникам. Не храните чеки в общих папках или чатах без ограничений доступа.
- Выбирайте проверенных партнёров. При использовании сервисов проверки чеков убедитесь, что провайдер соблюдает требования законодательства, хранит данные на территории РК и имеет политику конфиденциальности.
- Удаляйте устаревшие данные. Настройте автоматическое удаление данных по истечении срока хранения. Чеки, проверенные более 5 лет назад, должны быть удалены из базы.
Сравнение с международными стандартами
Закон РК «О персональных данных» во многом гармонизирован с GDPR (General Data Protection Regulation) Европейского союза. Основные совпадения: принцип минимизации данных, требование законного основания, право на удаление, обязанность уведомления о нарушениях. Однако есть и отличия:
- Штрафы — в Казахстане значительно ниже, чем в ЕС (где штрафы могут достигать 4% мирового оборота).
- DPO (Data Protection Officer) — в РК нет обязательного требования назначать ответственного за защиту данных.
- Уведомление об утечках — в РК требования менее формализованы, чем 72-часовое уведомление в GDPR.
Если ваш бизнес работает с клиентами из ЕС, необходимо соблюдать требования обоих законодательств. Для работы исключительно на казахстанском рынке достаточно соблюдения местного закона.
Итоги
Проверка чеков Kaspi неизбежно связана с обработкой персональных данных — ФИО покупателя, ИИН продавца, данных о транзакциях. Закон РК «О персональных данных» устанавливает чёткие правила такой обработки, и их нарушение влечёт серьёзные штрафы.
Ключевые принципы: обрабатывайте только необходимые данные, обеспечивайте их защиту, используйте проверенных партнёров, информируйте субъектов и удаляйте устаревшие данные. Следуя этим принципам, вы сможете проверять чеки эффективно и в полном соответствии с законом.
ProverkaCheka разработан с учётом требований казахстанского законодательства: серверы в РК, минимизация данных, HTTPS-шифрование, прозрачная политика конфиденциальности. Это позволяет вашему бизнесу сосредоточиться на проверке чеков, а не на юридических рисках.