Где взять форму и разьяснения по заполнению?

Обязанность уведомления об обработке персональных данных для малого бизнеса

Анализ вашей ситуации

Ваша организация обрабатывает персональные данные двух категорий:

• сотрудников (10 человек)
• контрагентов (как разовых, так и долгосрочных)

Ключевой вопрос — подпадает ли такая обработка под обязательное уведомление Роскомнадзора.

Применимые нормы законодательства

1. Основания для освобождения от уведомления

Согласно Федеральному закону "О персональных данных", уведомление не требуется в следующих случаях:

"Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных: [...] обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 22, часть 2, пункт 9)

Для обработки данных сотрудников:
Обработка персональных данных работников обычно осуществляется в рамках трудовых отношений, что может подпадать под исключения, если соответствует критериям:

"обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 6, пункт 5 части 1)

Для обработки данных контрагентов:
Обработка данных контрагентов-физических лиц также может осуществляться без уведомления, если она связана с исполнением договоров.

2. Обязанность уведомления и сроки

"Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 22, часть 1)

Если ваша обработка не подпадает под исключения, уведомление должно было быть направлено до начала обработки. Поскольку обработка уже ведется, уведомление следует направить незамедлительно.

3. Ответственность за нарушение

"Невыполнение или несвоевременное выполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по уведомлению уполномоченного органа по защите прав субъектов персональных данных о намерении осуществлять обработку персональных данных - влечет наложение административного штрафа на юридических лиц - от ста тысяч до трехсот тысяч рублей" (Источник: Кодекс Российской Федерации об административных правонарушениях, статья 13.11, часть 10)

Выводы и рекомендации

1. Для данных сотрудников: Вероятно, уведомление не требуется, так как обработка осуществляется в рамках трудовых отношений.

2. Для данных контрагентов: Если обработка осуществляется исключительно для исполнения договоров с физическими лицами (включая ИП), уведомление также может не требоваться.

3. Рекомендуется:

   • Тщательно проанализировать все цели обработки персональных данных
   • Если обнаружатся цели обработки, не подпадающие под исключения (например, маркетинговая рассылка без согласия), необходимо подать уведомление
   • Форму уведомления и правила заполнения можно найти на официальном сайте Роскомнадзора

4. Если сомневаетесь: Обратитесь к адвокату, специализирующемуся на защите персональных данных, для проведения полноценного аудита обработки персональных данных в вашей организации.

Учитывая небольшую численность штата и характер обработки, высока вероятность, что ваша деятельность подпадает под исключения из обязанности уведомления. Однако окончательный вывод требует анализа конкретных целей и способов обработки данных.