Добрый день!
Цитата: Возник вопрос: обязательно ли у таких лиц собирать согласия на обработку персональных данных.
Да, нужно.
Цитата: Настоящим Федеральным законом регулируютсяотношения, связанные с обработкой персональных данных,осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее - государственные органы), органами местного самоуправления, иными муниципальными органами (далее - муниципальные органы),юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях,или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.
Цитата: 1)персональные данные -любая информация, относящаясяк прямо или косвенно определенному или определяемому физическому лицу(субъекту персональных данных);2)оператор- государственный орган, муниципальный орган,юридическое или физическое лицо, самостоятельно или совместно с другими лицамиорганизующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;3)обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
Проще говоря, если даже вы ведет учет в Excel и собрали с физлиц данные, необходимые для заключения договора и исчисления НДФЛ, вы являетесь оператором.
О том, как работать с данными, почитайте
Защита персональных данных: что надо знать бухгалтеруКак бухгалтеру избежать штрафа за нарушения при работе с персональными данными