Необходимо ли ООО на ОСН - микропредприятию уведомлять Роскомнадзор об обработке персональных данных? Какой перечень документов по персональным данным должен быть в организации?

Согласно российскому законодательству, а именно  Федеральному закону от 27.07.2006 N 152-ФЗ  "О персональных данных" ,  микропредприятия (как и любые другие юридические лица) обязаны уведомлять Роскомнадзор о начале обработки персональных данных, если они не подпадают под определенные исключения.

Уведомление об обработке персональных данных не требуется в следующих случаях:

- при обработке персональных данных, включенных в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

- в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации;

- при обработке персональных данных, обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства (ч. 2 ст. 22, Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" )

Таким образом, если ООО, являющееся микропредприятием, попадает под одно из этих исключений, оно может не уведомлять Роскомнадзор о начале обработки персональных данных. В противном случае, ООО обязано направить соответствующее уведомление.

Конкретный перечень документов, регламентирующих порядок обработки персональных данных, законом не установлен.

Как правило, организации издают положение о персональных данных или иной локальный нормативный акт по вопросам их обработки. В таком документе описывают все связанные с ней действия (хранение, использование данных и т.д.). Для каждой цели обработки документ должен определять в том числе категории и перечень персональных данных, способы, сроки их обработки и хранения и др. (п. 2 ч. 1 ст. 18.1 Закона о персональных данных).

Обоснование

Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи. ч. 1 ст. 22, Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 08.08.2024) "О персональных данных"

В соответствии с пунктом 2 статьи 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

Обязанности оператора установлены гл. 4 Федерального закона "О персональных данных", которые операторы исполняют независимо от включения в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор.

<Информация> Роскомнадзора "Ответы на вопросы в сфере защиты прав субъектов персональных данных" {КонсультантПлюс}

Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

7) включенных в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

8) в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации;

9) обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

ч. 2 ст. 22, Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 08.08.2024) "О персональных данных" {КонсультантПлюс}

• Готовое решение: В каком порядке должна осуществляться обработка персональных данных физлиц (КонсультантПлюс, 2024) {КонсультантПлюс}
• Готовое решение: Каковы обязанности оператора персональных данных (КонсультантПлюс, 2024) {КонсультантПлюс}
• Форма: Акт об уничтожении персональных данных (образец заполнения) (КонсультантПлюс, 2024) {КонсультантПлюс}
• Форма: Отказ от согласия на обработку персональных данных (Подготовлен для системы КонсультантПлюс, 2024) {КонсультантПлюс}
• Форма: Приказ об утверждении политики обработки персональных данных (Подготовлен для системы КонсультантПлюс, 2024) {КонсультантПлюс}
• Форма: Согласие на обработку персональных данных (Подготовлен специалистами КонсультантПлюс, 2024) {КонсультантПлюс}
• Форма: Уведомление о намерении осуществлять обработку персональных данных работников (образец заполнения) (КонсультантПлюс, 2024) {КонсультантПлюс}