У контрагента статус ИП. Нужно ли согласие на обработку его персональных данных?
конфликты с партнерами по бизнесу
Отвечаем на насущный вопрос
Краткие выводы
1. Нет, не нужно. Если ваша компания заключает договор с индивидуальным предпринимателем, то нет необходимости дополнительно получать согласие на обработку его персональных данных.
2. Обратите внимание, что ваша компания (как оператор персональных данных) в силу закона обязана уведомить Роскомнадзор об обработке персональных данных и наладить взаимодействие с ГосСОПКа. Такое уведомление следует сделать до начала обработки данных. Уведомление возможно направить как в бумажном виде, так и в электронном виде с использованием УКЭП.
3. Данное правило относится исключительно к персональным данным самого контрагента-ИП. И не распространяется на случаи, когда ваш контрагент-ИП в ходе исполнения договора передает вам персональных данные иных лиц.
4. Следует помнить, что согласие на обработку персональных данных контрагента-ИП не требуется, если вы используете его персональные данные исключительно и только для заключения и исполнения договора с ним.
Если же ваша компания намерена использовать персональные данные контрагента-ИП для иных целей, то следует получить согласие именно на эти дополнительные цели (рассылка рекламных материалов, иные маркетинговые цели, передача данных иным лицам, хранение за пределами нормативных сроков хранения первичных бухгалтерских документов и т.п.)
2. Обратите внимание, что ваша компания (как оператор персональных данных) в силу закона обязана уведомить Роскомнадзор об обработке персональных данных и наладить взаимодействие с ГосСОПКа. Такое уведомление следует сделать до начала обработки данных. Уведомление возможно направить как в бумажном виде, так и в электронном виде с использованием УКЭП.
3. Данное правило относится исключительно к персональным данным самого контрагента-ИП. И не распространяется на случаи, когда ваш контрагент-ИП в ходе исполнения договора передает вам персональных данные иных лиц.
4. Следует помнить, что согласие на обработку персональных данных контрагента-ИП не требуется, если вы используете его персональные данные исключительно и только для заключения и исполнения договора с ним.
Если же ваша компания намерена использовать персональные данные контрагента-ИП для иных целей, то следует получить согласие именно на эти дополнительные цели (рассылка рекламных материалов, иные маркетинговые цели, передача данных иным лицам, хранение за пределами нормативных сроков хранения первичных бухгалтерских документов и т.п.)
Подробности
По общему правилу обработка персональных данных осуществляется с согласия субъекта персональных данных (ч. 1 ст. 6 Закона о персональных данных).
Вместе с тем имеется целый ряд случаев, когда получения такого согласия не требуется.
Так, в частности, согласие не требуется, если обработка персональных данных необходима для заключения и исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных (п. 5 ч. 1 ст. 6 Закона о персональных данных).
Следовательно, если ваша компания заключает договор с индивидуальным предпринимателем (контрагент-ИП), то нет необходимости дополнительно получать от него согласие на обработку его персональных данных.
Однако компания обязана уведомить Роскомнадзор о самой обработке персональных данных контрагента-ИП, если такая обработка осуществляется автоматизированным способом (т.е. с использованием компьютеров).
Такая обязанность появилась с 01.09.2022 и не зависит от того, что получать само согласие на обработку персональных данных от субъекта этих данных не требуется. А за нарушение правила предусмотрена административная ответственность в виде штрафа
Но с 01.09.2022 данного исключения в законе более нет. Следовательно, компании обязаны уведомлять Роскомнадзор о намерении начать осуществлять обработку персональных данных. Т.е. уведомление следует сделать до начала обработки персональных данных.
Такая обязанность касается всех компании и индивидуальных предпринимателей, которые получают персональные данные иных лиц и обрабатывают их.
Вместе с тем имеется целый ряд случаев, когда получения такого согласия не требуется.
Так, в частности, согласие не требуется, если обработка персональных данных необходима для заключения и исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных (п. 5 ч. 1 ст. 6 Закона о персональных данных).
Следовательно, если ваша компания заключает договор с индивидуальным предпринимателем (контрагент-ИП), то нет необходимости дополнительно получать от него согласие на обработку его персональных данных.
***
Однако компания обязана уведомить Роскомнадзор о самой обработке персональных данных контрагента-ИП, если такая обработка осуществляется автоматизированным способом (т.е. с использованием компьютеров).
Такая обязанность появилась с 01.09.2022 и не зависит от того, что получать само согласие на обработку персональных данных от субъекта этих данных не требуется. А за нарушение правила предусмотрена административная ответственность в виде штрафа
Ранее компании могли осуществлять обработку персональных данных своих контрагентов-физических лиц (и ИП) без уведомления Роскомнадзора. Работа с такими данными подпадала под специальный перечень исключений. Вот как ранее звучал в законе этот пункт с исключением (ч. 2 п. 2. ст. 22 Закона о персональных данных):
- Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:… полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных.
Но с 01.09.2022 данного исключения в законе более нет. Следовательно, компании обязаны уведомлять Роскомнадзор о намерении начать осуществлять обработку персональных данных. Т.е. уведомление следует сделать до начала обработки персональных данных.
Такая обязанность касается всех компании и индивидуальных предпринимателей, которые получают персональные данные иных лиц и обрабатывают их.
***
Нарушение правила об уведомлении Роскомнадзора влечет административную ответственность (штраф). На момент подготовки данной заметки размер штрафа 5 000 руб., но учитывая общую направленность на усилие защиты персональных данных, следует ожидать увеличение размера штрафа.После уведомления Роскомнадзора такие компании и ИП обязаны будут наладить взаимодействие с государственной системой ГосСОПКА - система обнаружения, предупреждения и ликвидации последствий кибератак на информресурсы РФ (ч. 12 ст. 19 Закона):
- Оператор обязан в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.
Материал отражает позицию автора, подготовлен исключительно в информационных целях и не предназначен для решения конкретной ситуации. Не является юридической консультацией.
Tilda Publishing
Благодарны за репост!