Всегда ли нужно согласие на обработку персональных данных контрагента
Предприниматель (исполнитель) регулярно оказывает услуги по договору о предоставлении услуг другому предпринимателю (заказчику) (реквизиты предпринимателей указываются в договорах). Нужно ли в данном случае исполнителю и заказчику получать друг у друга согласие на обработку персональных данных?
Прежде всего уточним, что получение согласия на обработку персональных данных контрагентов — это одно из требований Закона о защите персональных данных. Основная цель данного Закона — регулирование вопросов создания, использования и регистрации баз персональных данных (далее — БПД) любых физических лиц. Поэтому прежде всего согласие на обработку персональных данных нужно тогда, когда у предпринимателя создаются БПД, а это при работе с контрагентами происходит не всегда.
Разъяснение относительно того, когда у субъекта будет формироваться БПД, подлежащая регистрации, в частности, предоставлено в Письме Государственной службы Украины по вопросам защиты персональных данных от 20.08.2012 г. № 10/3905-12. В нем представители этого ведомства обращают внимание на то, что база данных — это не просто полученные сведения о физлицах, а именованная совокупность в электронной форме и/или в форме картотек, данные которой используются в работе ее владельца.
Поэтому субъект самостоятельно принимает решение о том, является ли та или иная совокупность персональных данных физических лиц БПД или нет.
В случае если субъектом не осуществляется обработка сведений о других физических лицах (контрагентах, работниках, клиентах и т. п.), у него отсутствует БПД. Следовательно, если оба предпринимателя просто заключают и хранят договоры и никак не систематизируют сведения о физлицах, тоБПД, которую нужно регистрировать, у них отсутствует. Это, в свою очередь, защищает предпринимателей от планового контроля со стороны органов по защите персональных данных.
Вместе с тем из положений Закона о защите персональных данных нельзя сделать четкий вывод о том, что в таком случае не нужно получать согласие на обработку данных.
Согласно статье 2 настоящего Закона персональные данные — это сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано. То есть персональные данные —это любая информация, по которой физическое лицо может быть идентифицировано непосредственно или опосредованно, в частности фамилия, имя, отчество, адрес проживания, контактный телефон, дата рождения, IP-адрес и т. п.
Первичными источниками сведений о физическом лице являются: выданные на его имя документы; подписанные им документы; сведения, которые лицо предоставляет о себе.
В свою очередь, согласно части 1 статьи 11 Закона о защите персональных данных основанием возникновения права на использование персональных данных, в частности, является согласие субъекта персональных данных на их обработку, причем не уточняется, относится ли это только к случаю формирования БПД.
Следовательно, осторожным предпринимателям мы можем порекомендовать такой вариант. Отдельно брать от контрагента письменное согласие им не нужно, а стоит просто включить в договор пункт такого содержания: «даю согласие на обработкусведений обо мне с целью подготовки в соответствии с требованиями законодательства налоговой и статистической отчетности, другой информации, а также внутренних документов предпринимателя».
