Персональные данные при проверке контрагентов: соответствие 152-ФЗ
Какие персональные данные возникают при проверке контрагентов по ИНН, на каком основании они обрабатываются и что обеспечивает АСМК-СДД для соответствия 152-ФЗ.
Какие персональные данные возникают при проверке контрагентов
Проверка юридического лица по ИНН неизбежно затрагивает физических лиц — прежде всего руководителей и учредителей компании. Данные, которые возникают в процессе:
- ФИО директора (генерального директора) — содержится в ЕГРЮЛ, отображается в реквизитах и отчёте.
- ФИО учредителей — публичная запись ЕГРЮЛ для большинства организаций.
- ИНН физического лица — при наличии в данных ЕГРЮЛ или отчётности.
- Дата рождения и паспортные данные — в выписках повышенного уровня детализации.
- Факты дисквалификации, банкротства физлица — при проверке ИП или единственного участника ООО.
С точки зрения Федерального закона № 152-ФЗ «О персональных данных» всё перечисленное является персональными данными, так как позволяет идентифицировать конкретного человека. Следовательно, организация, которая хранит, передаёт или иным образом обрабатывает эти сведения через сторонний сервис, является оператором персональных данных и обязана соблюдать требования закона.
Правовые основания обработки
Использование чужих персональных данных без согласия субъекта допустимо при наличии законного основания (ст. 6 152-ФЗ). Для проверки контрагентов применимы два:
Законный интерес оператора (п. 5 ч. 1 ст. 6)
Организация вправе обрабатывать персональные данные контрагентов без их согласия, если это необходимо для достижения законных целей оператора при условии, что интересы субъекта не превалируют. Проверка деловой репутации и кредитоспособности потенциального партнёра является общепризнанной деловой необходимостью.
Должная осмотрительность и исполнение договора
Налоговое законодательство (ст. 54.1 НК РФ) возлагает на налогоплательщика обязанность убедиться в реальности контрагента и его способности исполнить сделку. Это создаёт правовую обязанность собрать определённый объём сведений — что само по себе является основанием для обработки данных руководителей и учредителей проверяемой компании.
Публичность данных ЕГРЮЛ
Значительная часть сведений о руководителях и учредителях размещена в открытом реестре (ЕГРЮЛ), доступ к которому обеспечивает ФНС России. Публично раскрытые данные могут обрабатываться в соответствии с целью их публикации — то есть для установления полномочий и идентификации лиц, действующих от имени организации.
Требование локализации: серверы в Российской Федерации
Статья 18.1 152-ФЗ устанавливает обязанность первичного сбора и записи персональных данных граждан РФ на серверы, физически расположенные в России. Это требование касается и операторов, которые используют облачные сервисы или SaaS-платформы для работы с такими данными.
При выборе сервиса проверки контрагентов важно убедиться:
- Где физически расположена база данных с историей проверок и отчётами.
- Передаются ли данные иностранным поставщикам облачной инфраструктуры.
- Есть ли у провайдера подтверждение локализации (договор с ЦОД в РФ, политика обработки данных).
АСМК-СДД работает на инфраструктуре, расположенной на территории Российской Федерации. Данные о проверках, история запросов и кэшированные отчёты хранятся на российских серверах. Мастер-ключи к внешним источникам данных (СБИС/TenderBot) также хранятся в российской инфраструктуре и никогда не передаются на клиентскую сторону.
Права субъектов персональных данных
Директор или учредитель компании, которую вы проверяете, является субъектом ПДн. По 152-ФЗ у него есть права:
| Право | Что означает на практике |
|---|---|
| Право на доступ | Субъект может запросить, какие данные о нём обрабатываются |
| Право на уточнение | Требование исправить неточные данные |
| Право на удаление | При отсутствии законного основания для дальнейшего хранения |
| Право на ограничение | Приостановка обработки на время рассмотрения возражения |
На практике данные руководителей компаний, полученные из ЕГРЮЛ, обрабатываются на основании публичного реестра и законного интереса. Срок хранения должен быть соразмерен цели — как правило, история проверок хранится не дольше, чем это необходимо для аудиторских и налоговых целей (3–5 лет).
Что обеспечивает АСМК-СДД для соответствия 152-ФЗ
Хранение в России
Все данные — история запросов, отчёты, кэш PDF — хранятся на серверах в РФ. Клиентские данные не передаются иностранным субпроцессорам без уведомления.
Аудит-лог
Каждое обращение к данным контрагента фиксируется в аудит-журнале: кто, когда, какой ИНН проверял, через какой канал (веб, API, MCP). Это критически важно для:
- Обоснования должной осмотрительности при налоговой проверке.
- Ответа на запрос субъекта ПДн («кто обращался к моим данным»).
- Внутреннего compliance и SOX-подобных требований.
Разграничение доступа и мультитенантность
Система построена на принципе мультитенантности: данные разных организаций (тенантов) строго изолированы. Сотрудник компании А не может получить доступ к истории проверок компании Б, даже если они используют один и тот же сервис. Внутри тенанта доступ разграничивается по ролям: operator (полный доступ), agent (проверки без административных функций), user (базовый).
Политика минимизации данных
Сервис запрашивает у провайдеров (СБИС/TenderBot) ровно тот объём данных, который необходим для формирования отчёта и риск-сигналов. Сырые ответы провайдера кэшируются ограниченное время (1 неделя), после чего повторный запрос обращается к источнику заново — данные не накапливаются бессрочно.
Практические рекомендации при выборе сервиса
Если ваша организация обрабатывает персональные данные в значительных объёмах или работает в регулируемых отраслях, при выборе сервиса проверки контрагентов проверьте:
- Политику конфиденциальности — есть ли явное указание на хранение данных в РФ.
- Наличие DPA (соглашения об обработке данных) — особенно важно для корпоративных клиентов.
- Возможность аудита — можно ли запросить выгрузку аудит-лога за период.
- Ролевую модель — поддерживает ли сервис разные уровни доступа для разных сотрудников.
- Процедуру удаления данных — как удалить историю проверок при прекращении работы с сервисом.
Подробнее о возможностях пакетной проверки для групп компаний — в статье Мониторинг контрагентов для группы компаний. Информацию о тарифах и условиях корпоративного использования смотрите на странице тарифов.
Хотите провести проверку контрагентов в соответствии с требованиями 152-ФЗ? Зарегистрируйтесь — первые 10 проверок бесплатно, данные хранятся в России, аудит-лог доступен с первого запроса.
Проверьте контрагента прямо сейчас
АСМК-СДД агрегирует ЕГРЮЛ, арбитраж, ФССП, банкротство и финансы в единый риск-светофор. 10 бесплатных проверок при регистрации.