Студент5курса

Можно ли в договоре оказания услуг с физлицом прописать пункт о согласии на обработку персональных данных?

Здравствуйте, можно ли в договор оказанию услуг с физ.лицом вписать в условия договора пункт " Заключая и подписывая договор физ.лицо такое-то дает согласие на обработку персональных данных"?
ОтветитьНовый вопрос. . .
6 марта 2018 в 09:33
Добрый день.
Нет, нельзя, потому что условия договора требуют признания (подписания) их обеими (всеми) сторонами сделки, а согласие на обработку персональных данных выдается субъектом самостоятельно и тем же самым субъектом (т.е. односторонне) может быть и отозвано (см. ст. 9 152-ФЗ "О персональных данных").
ЭЦП для дистанционного управления бизнесом
Получите электронную подпись без посещения госорганов
6 марта 2018 в 13:48
спасибо, а можно ли при заключении договора с клиентом - физ.лицом не брать данное согласие - ведь эти данные необходимы для заключения договора и кроме налоговой 9и то по запросу) передаваться никуда не будут..
*
из Гаранта:
Организация заключает договор на поставку и оказание услуг с физическими лицами (в том числе физическими лицами, являющимися ИП), при этом клиенты представляют свои персональные данные: фамилию, имя, отчество, адрес проживания, адрес регистрации, паспортные данные, данные об ИНН и из пенсионного свидетельства.
Следует ли организации брать со своих контрагентов - физических лиц письменное согласие на обработку персональных данных?

19 ноября 2013

Рассмотрев вопрос, мы пришли к следующему выводу:

Обработка персональных данных контрагентов - физических лиц (в том числе физических лиц, являющихся индивидуальными предпринимателями), с которыми непосредственно у организации заключен договор, может осуществляться без согласия на обработку персональных данных при условии, что эти данные не будут распространяться и предоставляться третьим лицам без согласия субъекта персональных данных и будут обрабатываться только в целях исполнения заключенных с ними договоров поставки (оказания услуг).

Обоснование вывода:

В соответствии со ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ) персональными данными (далее - ПДн) является любая информация, относящаяся к прямо или косвенно определенному или определяемому на основании такой информации физическому лицу (субъекту ПДн). Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн, признаются обработкой ПДн (п. 3 ч. 1 ст. 3 Закона N 152-ФЗ). Оператором ПДн, как следует из п. 2 ст. 3 Закона N 152-ФЗ, является лицо, в том числе юридическое, организующее и (или) осуществляющее обработку ПДн, а также определяющее цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн. При этом лицо признается оператором ПДн вне зависимости от какой-либо регистрации, наличия или отсутствия специальных разрешений, а в силу самого факта осуществления им деятельности по обработке ПДн.

Следовательно, Ваша организация в рассматриваемом случае является оператором ПДн.

Случаи, при которых допускается обработка ПДн без согласия субъекта таких данных, установлены ст. 6 Закона N 152-ФЗ. Причем установлены они исчерпывающим образом. Так, например, допускается обработка ПДн, если она необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем (п. 5 ч. 1 ст. 6 Закона N 152-ФЗ). По смыслу этой нормы лицом, которому предоставляется возможность обработки ПДн, является стороной по указанному договору. В силу ч. 1 ст. 22 Закона N 152-ФЗ до начала обработки ПДн операторы обязаны уведомить уполномоченный орган по защите прав субъектов ПДн (далее - уполномоченный орган) о своем намерении осуществлять обработку ПДн, за исключением случаев, предусмотренных ч. 2 ст. 22 Закона N 152-ФЗ. Так, уведомлять уполномоченный орган не нужно, если ПДн получены оператором в связи с заключением договора, стороной которого является субъект ПДн, при том, что ПДн не распространяются, не предоставляются третьим лицам без согласия субъекта ПДн и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом ПДн (п. 2 ч. 2 ст. 22 Закона N 152-ФЗ).

Таким образом, обработка ПДн контрагентов - физических лиц (в том числе являющихся индивидуальными предпринимателями), с которыми непосредственно у организации заключены договоры поставки (либо оказания услуг), может осуществляться без согласия на обработку ПДн и без уведомления уполномоченного органа при условии, что эти данные не будут распространяться и предоставляться третьим лицам без согласия субъекта ПДн и будут обрабатываться только в целях заключения с ними соответствующих договоров (определение СК по гражданским делам Московского городского суда от 06.04.2012 N 33-8687). Если же организация намерена осуществлять обработку ПДн в иных случаях, не связанных с исполнением договора, то она обязана получить согласие на обработку ПДн.

Отметим, несмотря на то, что в рассматриваемом случае оператор подпадает под исключение и не обязан получать согласие субъекта ПДн на обработку и уведомлять Роскомнадзор о работе с ПДн, это не освобождает его от необходимости применения мер по защите ПДн. Лица, виновные в нарушении требований Закона N 152-ФЗ, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность (ст. 24 Закона N 152-ФЗ).
*
Изменился ли подход к этому вопросу с 2013года?
Александр Погребс Главный консультант
12 марта 2018 в 09:26
Добрый день!

Не уверен, что приведенное Вами мнение специалиста СПС является общепринятым "подходом к вопросу".
Изменения в Закон 152-ФЗ с 2013 года были и даже весьма значительные. Но основной аргумент в данной позиции - если физическое лицо выгодоприобретатель, то разрешение на обработку персональных данных не нужно - осталось прежним.
Не уверен я, правда, что покупатель по договору купли-продажи является выгодоприобретателем... Выгоду, как раз, обычно приобретает продавец... 😀
Поэтому, по моему мнению, при заключении договора с физическимлицом, если в договоре фигурируют персональные данные этого физического лица, нужно брать у него письменное разрешение на обработку персональных данных.
Но это мое личное мнение.

Успехов!
Ефимов Павел 109 329 баллов, г. Ивантеевка-2
12 марта 2018 в 09:37
Здравствуйте.
Проблема в том что оба варианта "немного опасны".
Основная защита от старых банковских долгов строилась в т.ч. на том, то согласие на обработку персональных данных не давалось в принципе (и на этом защита от схем переуступки долга). А не знающий всю эту историю может попробовать отправить отказ (его конечно пошлют, но неприятностей может быть много).
Только ФИО имеет оговорку в законе. Хотя на практике интернета ФИ недостаточны для идентификации (в 2000 году, считаем почти 20 лет, в киберспорте уже было обязательно указывать настоящие фамилия имя в дополнение к нику), ФИО+дополнительные сведения уже опасно.
Полная оговорка грозит штрафом (особенно на большой или бесконечный срок)

Безопаснее брать только необходимые данные для исполнения договора.
Проверить себя или контрагента по санкционным спискам