Является ли скидочная карта персональными данными?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Зависит от того, как используется карта. Сама по себе пластиковая или виртуальная скидочная карта с уникальным номером ещё не всегда персональные данные. Но как только карта связывается с конкретным человеком — его ФИО, телефоном, e-mail, историей покупок, датой рождения, — она становится инструментом идентификации и подпадает под действие ФЗ-152.

Когда скидочная карта не считается ПДн:

• если карта выдаётся анонимно, без анкетирования, и скидка применяется только по предъявлению карты;
• если оператор не хранит связки «номер карты ↔ клиент».

Когда скидочная карта считается ПДн:

• если при выдаче карты собираются данные держателя (ФИО, телефон, e-mail);
• если карта используется для накопления бонусов и ведения истории покупок;
• если компания по номеру карты может однозначно определить конкретного клиента.

Обоснование по законодательству

• Ст. 3 ФЗ-152 — персональные данные — любая информация, относящаяся к прямо или косвенно определяемому лицу. Номер карты, привязанный к анкете клиента, подходит под это определение.
• Ст. 6 ФЗ-152 — обработка возможна только с согласия субъекта или для исполнения договора (например, обслуживания карты).
• Ст. 5 ФЗ-152 — обработка должна быть ограничена конкретными целями, указанными при сборе данных.

Практика и позиция Роскомнадзора

Роскомнадзор отмечает: если скидочная или бонусная карта используется исключительно как анонимный инструмент (без сбора данных о держателе), она не подпадает под ФЗ-152. Но если карта связана с анкетой, историей покупок или контактами клиента — это полноценные персональные данные.

Пример: магазин выдавал скидочные карты без анкетирования, только для предъявления на кассе. Проверка РКН не выявила нарушений, так как данные о клиентах не собирались.
В другом случае розничная сеть собирала анкеты клиентов при оформлении карты и использовала их контакты для рассылок. Роскомнадзор обязал компанию привести обработку в соответствие с ФЗ-152 и оформить согласия.

Ключевой момент для организаций

Скидочная карта превращается в персональные данные, как только по ней можно определить конкретного клиента. Даже если карта выдаётся «для удобства», но в базе есть связка «номер ↔ ФИО/телефон», то обработка регулируется ФЗ-152.

Рекомендации и выводы

Да, в большинстве случаев скидочная карта считается персональными данными. Чтобы работать законно:

1. При оформлении карт получайте согласие на обработку ПДн.
2. Указывайте цели обработки (обслуживание, бонусная программа, рассылки).
3. Храните и защищайте базу карт как базу персональных данных.
4. Включите порядок работы со скидочными картами в комплект документов по ФЗ-152.

Компания ICTech поможет вашей организации выстроить программу лояльности так, чтобы она соответствовала ФЗ-152: оформить согласия клиентов, защитить базы данных и подготовить все необходимые документы.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге