Для обеспечения своей деятельности мы заключаем договоры - и с юр.лицами, и с ИП, и с самозанятыми. Ранее по тексту договора у нас шли пункты о согласии на обработку персональных данных.
Сейчас я поняла, поправьте, если не права. По юр.лицам не указываем пункты и не добавляем согласие отдельным приложением, а по ИП и самозанятым-пункт не указываем, но включаем приложение к договору?
Продолжаю отвечать на вопросы с курса, предыдущий вопрос здесь.
1. Нужно отметить, что российское законодательство, в отличие от европейского, позволяет нам одновременно использовать несколько правовых оснований для обработки ПД.
Например, согласие субъекта и заключение / исполнение договора, стороной которого является субъект ПД. И это не значит, что согласие и договор могут быть совмещены в одном документе.
2. Идея разграничения данных правовых оснований происходит из особенностей бизнес-процессов. И это необходимо учитывать.
Например, если вы осуществляете продажу каких-либо товаров через сайт и ваша регистрационная форма, необходимая для заказа этого товара, предусматривает введение ПД, и Вам их достаточно для совершения сделки, то Вы фактически в своем бизнес-процессе реализуете такое основание, как (п.5 ч.1 ст. 6 ФЗ-152):
обработка ПД необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект ПД будет являться выгодоприобретателем или поручителем.
Для понимания такого бизнес-процесса вспомните, как вы покупаете что-то в интернет-магазине.
3. Одно правовое основание в рамках бизнес-процесса может смениться другим, и это нормально.
Например, если у вас живое взаимодействие, не через интернет, то по идее у вас реализуется то же правовое основание: вы производите предварительное консультирование, обсуждение условий заключения будущего договора.
Если, по каким-либо причинам до договора вы не дошли, то у вас нет оснований обрабатывать ПД лица, с которым велись переговоры. Ненормально, если Вы ему будете присылать рассылку о скидочных акциях на товары, которые не являлись предметом Ваших переговоров. В этом случае для того, чтобы обрабатывать ПД субъекта, вам необходимо получить его согласие (п.1 ч.1 ст. 6 ФЗ-152 ):
обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных
4. Если речь идет о взаимодействии с юридическим лицом, то важно понимать, будут ли в этом договоре персональные данные субъектов персональных данных, например, генерального директора.
Если для заключения договора вам достаточно того объема ПД, которые указаны в общедоступном источнике (реестре ФНС), то согласие получать не нужно.
Если объем ПД, которые вы по каким-либо причинам обрабатываете, превышает эти перечни, то согласие получать нужно, потому что генеральный директор – это такое же физическое лицо, как и любой другой субъект ПД.
5. Правовые основания могут быть смежными, но касаться разных целей обработки персональных данных.
Например, автодилеры при заключении договора на покупку автомобиля дополнительно берут согласие на обработку ПД, которые им необходимы для других целей обработки ПД: услуг информирования о предстоящих технических обслуживаниях автомобиля, информирования о отзывных компаниях автопроизводителей и т.п.
Обратим внимание, что послепродажное обслуживание у автодилера - это наше право, а не наша обязанность, поэтому говорить о сохранении такого правового основания, как п.5 ч.1 ст.6 ФЗ-152, не приходится.
Поскольку эти цели отличаются от той первоначальной цели (покупка автомобиля), ради которой гражданин передал свои персональные данные продавцу, то согласие нужно получить отдельно.
Подводим итог: при заключении и исполнении договора гражданско-правового характера необходимо учитывать особенности осуществления конкретного бизнес-процесса, объема собираемых персональных данных и целей их обработки.
Еще больше вопросов и ответов вы найдете в моем телеграм-канале. А по личному вопросу можно написать здесь.
