Здравствуйте.
Вопрос дискуссионный на самом деле. Закон о персональных данных несовершенен.
С одной стороны Вы (Ваша организация) вообще не оператор персональных данных.
оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных,а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
Вы не определяете цели, состав и т.д. Вы лишь получаете их и храните.
А стало быть необходимости получать согласия нет. Согласие должно быть у лица, выдавшего доверенность, поскольку доверенное лицо действует от его имени и получается что именно лицо, выдавшее доверенность, осуществляет передачу Вам персональных данных (хотя тут тоже возможны варианты), и именно на это у него должно быть согласие субъекта.
С другой стороны обработку Вы всё-таки осуществляете. А обработка должна проходить по определённым условиям.
Но. Поскольку, как было указано выше Вы не совсем оператор, а получаете Вы данные уже непосредственно от оператора (лица выдавшее доверенность), то это можно рассматривать с точки зрения ч. 4 ст. 6 закона о персональных данных:
Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
Но это лишь одна из возможных ситуаций и одна из точек зрения.