Нужно ли учитывать данные поставщиков и подрядчиков как ПДн?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Да, нужно. Если ваша организация получает и обрабатывает персональные данные представителей поставщиков или подрядчиков (например, ФИО, телефон, e-mail, паспортные данные для заключения договора, реквизиты доверенности), то такие сведения также относятся к персональным данным и подпадают под действие ФЗ-152.

Важно понимать: даже если вы работаете с юридическим лицом, договоры подписывают конкретные физические лица — генеральные директора, менеджеры, представители. Их данные (ФИО, должность, паспортные данные, контактная информация) — это персональные данные. Следовательно, оператор обязан соблюдать все требования по их защите.

Обоснование по законодательству

• Ст. 3 ФЗ-152 — субъект персональных данных — любое физическое лицо, к которому относятся персональные данные.
• Ст. 6 ФЗ-152 — допускает обработку данных, если это необходимо для заключения и исполнения договора, стороной или выгодоприобретателем которого является субъект.
• Ст. 5 ФЗ-152 — закрепляет принципы обработки: законность, ограничение цели, минимизация данных.

Таким образом, данные представителей поставщиков и подрядчиков также считаются персональными и должны обрабатываться с соблюдением требований закона.

Практика проверок Роскомнадзора

• В одной компании при проверке выявили отсутствие политики по обработке персональных данных представителей подрядчиков (данные из договоров и доверенностей). Роскомнадзор признал это нарушением, так как такие лица тоже являются субъектами ПДн.
• У другой организации не было согласий на обработку контактных данных подрядчиков, использовавшихся в рассылках. Итог — штраф за незаконную обработку в маркетинговых целях.

Почему важно учитывать

Часто компании считают, что ФЗ-152 касается только сотрудников и клиентов. На практике же база субъектов шире — в неё попадают и контрагенты. Ошибочное исключение этой категории приводит к тому, что в документах по ПДн остаётся «дыра», которую легко выявляет Роскомнадзор.

Рекомендации и выводы

Да, данные поставщиков и подрядчиков нужно учитывать как персональные данные. Чтобы всё было правильно:

1. Определите, какие именно данные представителей контрагентов вы обрабатываете.
2. Внесите их в перечень категорий субъектов ПДн в локальных документах.
3. Оформите правовые основания обработки — чаще всего это исполнение договора, но если данные используются сверх этого (например, для рассылки) — потребуется согласие.
4. Включите эту категорию в пакет документов по 152-ФЗ (политика, приказы, согласия, положения).

Компания ICTech поможет вашей организации правильно определить все категории субъектов ПДн, включая сотрудников, клиентов и представителей поставщиков/подрядчиков, и подготовить полный комплект документов по 152-ФЗ. Это обеспечит соответствие закону и готовность к проверке Роскомнадзора.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге