ИП без  сотрудников, но работает с физлицами и юрлицами. Физлицам пробивает чеки онлайн, указывая в чеке их эл почту, куда сразу отправляется чек. Нужно ли брать согласие на обработку персональных данных у контрагентов в данном случае и нужно ли отправлять уведомление в Роскомнадзор?

Согласие на обработку персональных данных у физлиц не нужно брать в данном случае, поскольку это осуществления и выполнения функций, полномочий и обязанностей, которые возложены на вас законодательством. Например, если вы получаете у клиента адрес его электронной почты, чтобы направить ему кассовый чек в электронной форме (п. 5 ч. 1 ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ  "О персональных данных"  , Разъяснения Минкомсвязи России).

Уведомления необходимо направить в Роскомнадзор, поскольку ИП все равно обрабатывает персональные данные контрагентов (ч. 1 ст. 22 Закона о персональных данных).

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ).  

Обоснование

Не требуется согласие на обработку персональных данных физического лица в случаях, приведенных в п. п. 2 - 11 ч. 1 ст. 6 Закона о персональных данных. В частности, согласие не нужно, если обработка необходима:

1. для заключения договора по инициативе гражданина или договора, по которому он будет выгодоприобретателем или поручителем. Например, если индивидуальный предприниматель арендует у вас помещение и вы указываете в договоре его паспортные данные;
2. исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является гражданин. Например, если вы запрашиваете адрес гражданина для доставки ему товара;
3. осуществления и выполнения функций, полномочий и обязанностей, которые возложены на вас законодательством. Например, если вы получаете у клиента адрес его электронной почты, чтобы направить ему кассовый чек в электронной форме (Разъяснения Минкомсвязи России);
4. осуществления прав и законных интересов (ваших или третьих лиц) либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы гражданина. Например, если вы в целях обеспечения безопасности записываете Ф.И.О. и паспортные данные посетителей.

В остальных случаях обработка персональных данных осуществляется с согласия гражданина (п. 1 ч. 1 ст. 6 Закона о персональных данных). Например, придется получить согласие, если вы собираете данные граждан для маркетингового исследования или уступаете требование к должнику - физическому лицу.
Готовое решение: В каком порядке должна осуществляться обработка персональных данных физлиц
 

Оператор обязан уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных (за исключением отдельных случаев) (ч. 1 ст. 22 Закона о персональных данных).

Уведомление о намерении осуществлять обработку персональных данных нужно подать в Роскомнадзор до начала их обработки (ч. 1 ст. 22 Закона о персональных данных).

Составьте уведомление по форме, приведенной в Приложении N 1 к Приказу Роскомнадзора от 28.10.2022 N 180. В нем укажите, в частности (ч. 3, 3.1 ст. 22 Закона о персональных данных):

• свое наименование (фамилию, имя, отчество), адрес;
• цель обработки персональных данных. Для каждой цели необходимо указать ряд сведений, в частности: категории персональных данных, категории субъектов, способы обработки персональных данных;
• дату начала обработки персональных данных;
• срок или условие прекращения обработки персональных данных;
• сведения об обеспечении безопасности персональных данных в соответствии с установленными требованиями к защите таких данных.

Оператор персональных данных - это государственный орган, муниципальный орган, юридическое или физическое лицо, которые самостоятельно или совместно с другими лицами организуют и (или) осуществляют обработку персональных данных, определяют цели такой обработки, состав подлежащих обработке персональных данных, а также перечень совершаемых с ними действий (операций) (п. 2 ст. 3 Закона о персональных данных). Например, организация является оператором персональных данных в отношении своих сотрудников и иных физлиц, чьи данные получает.

Роскомнадзор ведет реестр операторов персональных данных. Сведения вносятся в реестр и исключаются из него на основании уведомлений, подаваемых операторами (ч. 4, 4.1 ст. 22, п. 3 ч. 5 ст. 23 Закона о персональных данных, п. п. 1, 5.2.4 Положения о Роскомнадзоре). Проверить, включены ли вы в этот реестр, можно на портале персональных данных, который ведет Роскомнадзор: http://pd.rkn.gov.ru/.

Если вы не включены в реестр Роскомнадзора, вы не перестаете быть оператором персональных данных и не освобождаетесь от связанных с этим статусом обязанностей (Информация Роскомнадзора).
Готовое решение: Каковы обязанности оператора персональных данных
 

Клиентский опыт

В дополнение к основному ответу мы хотели бы поделиться с Вами Клиентским опытом решения похожих задач. Вы можете ознакомиться с эффективной последовательностью действий в КонсультантПлюс по теме Вашего запроса в документе: «Безопасная работа с персональными данными в 2025 году».

 

Готовое решение: В каком порядке должна осуществляться обработка персональных данных физлиц (КонсультантПлюс, 2025) {КонсультантПлюс}

Готовое решение: Каковы обязанности оператора персональных данных (КонсультантПлюс, 2025) {КонсультантПлюс}

Письмо Минкомсвязи России от 07.07.2017 N П11-15054-ОГ "О разъяснении норм федерального законодательства" {КонсультантПлюс}