Закон о персональных данных и бухгалтер-аутсорсер

Здравствуйте! Я ИП на НПД, соответственно, без сотрудников. Являясь субъектом 7.1 по 115-ФЗ, провожу идентификацию клиентов до приема на обслуживание без согласия на обработку персональных данных (152-ФЗ, ст. 6, ч.1, п.2). Должна ли я далее как поставщик услуги при заключении договора брать у заказчика согласие на обработку перс. данных? И в целом должна ли разрабатывать пакет документов по 152-ФЗ (какие там документы и где в таком случае скачивать образцы), а также отправлять уведомление с 1.09.2022 в Роскомнадзор о начале обработки персональных данных при заключении договора, изменении персональных данных, прекращении работы с персональными данными? Нужно ли в таком случае отправлять в Роскомнадзор уведомление по договорам, заключенным до 01.09.2022?

Приосевую Вас, Анна, на форуме клерка!

Да, должны, если Вы берете сведения в большем объёме, чем нужно для выполнения договора, если же нет, в п. 5 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ (ред. от 02.07.2021) “О персональных данных” указано:

Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:

обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

Т.е. если вы не будете распространять персональные данные (ПД) третьим лицам, а только сами ПД обрабатывать в целях исполнения договора, в договоре чётко прописано, что именно вы будете делать, то не нужно брать специального, отдельного согласия.

С 01.09.2022 вступят в силу поправки, по которым, например, продавец не сможет отказать покупателю, если последний откажется предоставлять ПД. Также нужно будет становиться на учёт в РКН и подавать отчеты. Федеральным законом от 14.07.2022 № 266-ФЗ, поправки которого вступают в силу 01.09.2022 установлено, что:

Уведомлять Роскомнадзор о планах обрабатывать личную информацию придется и в случаях, когда эти сведения:

  • относятся к работникам;
  • принадлежат контрагентам оператора, а он использует персданные, чтобы исполнять договоры или заключать новые соглашения с теми же гражданами (при этом сведения не распространяют и не передают третьим лицам без согласия);
  • нужны для однократного пропуска гражданина на территорию оператора или для аналогичных целей.
    Сейчас в этих и некоторых других случаях извещать ведомство не нужно.

Отмечу, что мы об этом писали на сайте, см. статью, также можно в этой статье посмотреть, она хотя и писалась в конце 2020 года, но во многом актуальна.

Спасибо Вам большое!