Нужно ли ИП‑селлеру Wildberries уведомлять Роскомнадзор при обработке данных контрагентов

Здравствуйте.

Исходя из   Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 08.08.2024) «О персональных данных»

в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации то уведомление не требуется.

Под автоматизированной обработкой ПД понимается обработка с помощью средств вычислительной техники (компьютера, ноутбука, телефона).

В противном случае — требуется. 

В банковском приложении только 2 контрагента, это СДЭК делаю поставки на склад. И покупаю товар у ИП оплата сдэк и ИП идет по выставленному счету где видно ФИО ИП получателя.

Исходя из описанной ситуации — нужно уведомление.

Оператор обязан уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных (за исключением отдельных случаев) (ч. 1 ст. 22 Закона о персональных данных).

Уведомление о намерении осуществлять обработку персональных данных нужно подать в Роскомнадзор до начала их обработки.

Подать заявление можно электронно если есть ЭЦП или посредством почты. 

pd.rkn.gov.ru/operators-registry/notification/

Поскольку в силу ст. 3 ФЗ от 27.07.2006 N 152-ФЗ  «О персональных данных»

обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Здравствуйте! Вы обязаны подать уведомление в Роскомнадзор об обработке персональных данных.

Согласно п. 2 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»

оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Даже если Вы не видите полных данных покупателей, Ваша деятельность (включая работу с контрагентами) подразумевает обработку персональных данных. Само ФИО ИП, которое Вы видите в платежах является персональными данными, так как позволяет прямо идентифицировать физическое лицо.

В оферте Wildberries прямо указано, что Продавец является оператором персональных данных, а Wildberries осуществляет их обработку по Вашему поручению (п. 19.1 оферты).

Продавец является оператором ПДн и поручает Вайлдберриз осуществлять их обработку в необходимом для этого объеме

https://static-basket-02.wbbasket.ru/vol20/offers/prd/product/77/4c4eca10-6cfb-4994-9618-16d1920b0bbc.pdf

https://seller.wildberries.ru/terms/ru

То есть юридически Вы отвечаете за начало и законность этой обработки, даже если технически ее выполняет маркетплейс.

Использование любых электронных систем (банк-клиент, учетные программы, Excel на компьютере, даже мобильное приложение банка) для работы с данными, содержащими ФИО, является автоматизированной обработкой. Закон требует уведомлять Роскомнадзор именно при такой обработке (ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»).

Освобождение от уведомления есть только для полностью «бумажного» учета (без компьютеров), работы в госсистемах безопасности или обработки в сфере транспортной безопасности (ч. 2 ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»). Ваш случай под эти исключения не попадает.

Подавайте уведомление через сайт Роскомнадзора или портал Госуслуг. Укажите цели обработки (исполнение договоров с контрагентами, возможно, кадровый учет если есть сотрудники), категории данных (ФИО контрагентов-физлиц/ИП), способы обработки (автоматизированный, с передачей по интернету).