Информационное письмо в Роскомнадзор о внесении изменений в обработку персональных данных
Сообщить о начале процесса обработки персональных данных РКН обязан каждый оператор, независимо от того, какие ПДН он хранит и использует, для каких целей происходит сбор и т.д. Компетентный орган после тщательной проверки вносит организацию или предпринимателя в Реестр операторов персональных данных, с которым может ознакомиться любой гражданин в режиме онлайн. Одним из ключевых требований является актуальность предоставляемых сведений, поэтому при изменении информации об организации нужно изменить уведомление Роскомнадзора. Осуществляется эта процедура в порядке и сроки, установленными законодательством, несоблюдение которых, может привести к наложению штрафа.
Как внести изменения в уведомление Роскомнадзора?
Изначально, в подаваемом документе в контролирующую службу, детально расписывается все, что касается операций с ПДн, начиная от целей получения личных данных, заканчивая предпринятыми мерами безопасности.
В процессе деятельности могут быть добавлены СЗИ, изменено лицо, ответственное за защиту сведений, цели обработки, совершаемые действия и т.д.
По закону у оператора есть 10 дней на внесение изменений в уведомление Роскомнадзора. Для этого необходимо направить письмо в территориальное отделение службы с описанием изменений. Отправить изменение можно в электронном виде правильно оформленного и подписанного бланка. Если сведения неполные либо не соответствуют действительности, представитель РКН отправит в адрес оператора запрос на уточнение. Предоставить дополнительные сведения необходимо в течение месяца. Как только данные будут подтверждены, измененная информация попадет в Реестр.
Информационное письмо в Роскомнадзор о внесении изменений: особенности заполнения
Форма письма идентична той, которую компания или ИП заполняет изначально. В данном случае заполнять следует только поля, помеченные звездочкой, и те, в которых произошли изменения.
Изменение уведомления Роскомнадзора требуется, если поменялись:
- цели операций с ПДн;
- перечень выполняемых действий;
- категории обрабатываемых сведений и субъектов, чьи данные используются;
- срок либо условие завершения обработки;
- физическое лицо или компания, которой поручено проводить действия с ПДн;
- факт передачи информации за пределы Российской Федерации;
- местоположение БД и территория совершения операций.
В случае возникновения сомнений по поводу того, нужно ли отправлять информационное письмо при тех или иных изменениях, вы можете для консультации связаться с нашими специалистами.
Инструкция по составлению документа онлайн
Время от времени большей части операторов приходится повторно взаимодействовать с надзорным органом для внесения корректировок в изначальное уведомление.
- На официальном портале rkn.gov.ru есть отдельный раздел, посвященный ПДн, куда нужно перейти, чтобы увидеть ссылку на Реестр.
- В боковом меню есть подраздел «Электронные формы заявлений», открыв который вы увидите несколько ссылок на разные виды документов. Среди них следует выбрать тот, который касается уведомления в РКН о внесении изменений.
- Теперь требуется внести сведения в обязательные поля и те, которые касаются произошедших изменений, а также выбрать территориальное управление. В конце предстоит ввести защитную комбинацию и отметить галочками согласие на использование данных.
- Последний этап — отправка письма и подготовка его к распечатке. Электронного варианта недостаточно. Документ необходимо распечатывать, подписать руководителем организации и в бумажном виде направлять в РКН.
Несмотря на то, что сама процедура составления документа достаточно проста, довольно часто возникают сложности, например, в правильности формулировки цели обработки или условия прекращения действий с ПДн.
Для того, чтобы избежать ошибок и с первой попытки (без уточнения данных по запросу сотрудника уполномоченного органа) откорректировать сведения в Реестре можно прибегнуть к помощи опытных экспертов по ФЗ-152 Центра безопасности данных. Сотрудники нашего Центра проанализируют ситуацию и помогут с составлением информационного письма.
Письмо Роскомнадзора от 21.09.2018 № 08-77473 «Об обработке персональных данных в соответствии с законодательством о госзакупках»
Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее — Роскомнадзор) по результатам рассмотрения письма, касающегося разъяснения законодательства в области персональных данных, сообщает следующее.
Случаи, при которых допускается обработка персональных данных, установлены положениями ч. 1 ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон о персональных данных).
В частности, п. 1 ч. 1 ст. 6 Закона о персональных данных устанавливает, что обработка персональных данных допускается с согласия субъекта персональных данных на обработку его персональных данных.
Кроме того, положения п. п. 2 — 11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Закона о персональных данных определяют условия, при которых обработка персональных данных субъекта допускается без получения от него соответствующего согласия, если иное не предусмотрено законодательством Российской Федерации.
Так, согласно п. 11 ч. 1 ст. 6 Закона о персональных данных допускается обработка персональных данных без согласия субъекта, если осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
При этом необходимо отметить, что в соответствии с п. 14 ст. 4 Федерального закона от 18.17.2011 N 223-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд» (далее — Закон 223-ФЗ) размещенные в единой информационной системе и на сайте заказчика в соответствии с указанным Федеральным законом и положениями о закупке информация о закупке, положения о закупке, планы закупки должны быть доступны для ознакомления без взимания платы.
Кроме того, согласно ч. 4 ст. 4 Федерального закона от 05.04.2013 N 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд (далее — Закон 44-ФЗ) информация, содержащаяся в единой информационной системе, является общедоступной, в том числе протоколы закупок и реестр заключенных контрактов, которые являются составными частями указанной единой информационной системы.
Кроме того, с 1 января 2019 года в единую информационную систему будет включен Единый реестр участников закупок (Федеральный закон от 31.12.2017 N 504-ФЗ «О внесении изменений в Федеральный закон «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд»).
В соответствии с п. 1 ст. 4.1 Закона 223-ФЗ порядок ведения реестра контрактов, в том числе включаемые в него информация и документы о закупках, сроки размещения таких информации и документов в указанном реестре, устанавливаются Правительством Российской Федерации.
Так, в соответствии с п. п. ж) и и) п. 2 Правил ведения реестра контрактов, заключенных заказчиками, утвержденных Постановлением Правительства Российской Федерации от 28.11.2013 N 1084 «О порядке ведения реестра контрактов, заключенных заказчиками, и реестра контрактов, содержащего сведения, составляющие государственную тайну», в реестр контрактов подлежит включению, в том числе, следующая информация и документы: ФИО поставщика (подрядчика, исполнителя), информация о месте жительства поставщика, номера телефонов, адрес электронной почты, идентификационный номер налогоплательщика, а также копия заключенного контракта.
Указанные положения дублируются в п. п. 29, 30, 32 Порядка формирования информации, а также обмена информацией и документами между заказчиком и Федеральным казначейством в целях ведения реестра контрактов, заключенных заказчиками, утвержденного приказом Министерства финансов Российской Федерации от 24.11.2014 N 136-н (далее — Порядок).
Кроме того, ч. 2 Порядка обязанность по формированию документов и информации, подлежащих включению в Реестр контрактов, возлагается на заказчика.
Таким образом, учитывая изложенное, полагаем, что обработка персональных данных оператором, указанным в письме, в объеме, в порядке и сроки, предусмотренные законодательством Российской Федерации в сфере закупок, без согласия субъектов персональных данных (участников закупок) не будет противоречить требованиям законодательства Российской Федерации в области персональных данных.
Комментарии Роскомнадзора к персональным данным, Числова Ольга
Российское законодательство о защите персональных данных сформулировано таким образом, что во многих случаях допускает расширительное толкование правил и ограничений. По этой причине операторам персональных данных иногда приходится ждать, пока суды разъяснят отдельные неоднозначные положения закона или Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) не даст общие или отдельные разъяснения о том, как положения о персональных данных должны применяться законы о защите.
В ответ на один из наших недавних запросов, связанных с реализацией Федерального закона Российской Федерации «О персональных данных», Роскомнадзор предоставил комментарии, которые мы считаем интересными для наших клиентов.
В обязательном письменном согласии на обработку персональных данных могут быть указаны только одна цель и один оператор обработки персональных данных при обработке персональных данных, термины «цель» и «оператор» персональных данных приведены в единственном числе и не подлежат расширенному толкованию. Поэтому в случаях, когда в соответствии с законодательством необходимо получение согласия на обработку персональных данных в письменной форме (например, для передачи персональных данных работников третьим лицам или для передачи персональных данных на территорию иностранных государств, не обеспечивающих надлежащую защиту прав субъектов персональных данных), в таком согласии могут быть указаны только одна цель и один оператор. Это означает, что для обработки персональных данных для нескольких целей или для передачи данных нескольким третьим лицам оператор должен получить отдельные согласия.
Аналогичным образом, Европейский общий регламент по защите данных (GDPR) предусматривает, что согласие должно распространяться на все действия по обработке, выполняемые для одной и той же цели, и что, когда обработка преследует несколько целей, согласие должно даваться отдельно для каждой цели. Роскомнадзор отметил, что при получении согласия в случаях, когда законом не требуется, чтобы оно было оформлено в письменной форме, в таком согласии может быть указано несколько целей и операторов обработки персональных данных (например, при возложении на обработку персональных данных другого лица письменное согласие субъекта персональных данных не требуется), а также указать нескольких третьих лиц, которым должны быть переданы персональные данные.
Филиалам и представительствам юридического лица не требуется получение отдельного согласия субъекта персональных данных на обработку его персональных данных
Роскомнадзор указал, что при наличии у организации законных оснований для обработки персональных данных субъекта персональных данных (например, договор или согласие субъекта на обработку персональных данных), получение дополнительных согласий от физического лица на передачу и дальнейшую обработку его персональных данных филиалом или представительством не потребуется такого юридического лица.
Однако этого не будет в случае, когда персональные данные сотрудников филиала или представительства необходимо передать в головной офис, расположенный в стране, которая, по мнению государственных органов Российской Федерации, не обеспечивает должной защиты субъектов персональных данных. права (например, США). В этой ситуации работодателю необходимо получить письменное согласие работников в установленной законодательством форме.
Содержание документа, определяющего политику в отношении обработки персональных данных, Оператор определяет самостоятельно
В соответствии с Федеральным законом Российской Федерации «О персональных данных» операторы обязаны опубликовать или иным образом обеспечить неограниченный доступ к документу изложение своей политики в отношении обработки персональных данных. Рекомендации по составлению такого документа были разработаны Роскомнадзором и опубликованы на его официальном сайте, однако у операторов остается много вопросов по поводу такой политики, поскольку четких правил относительно содержания этого документа нет.
Роскомнадзор подтвердил, что вышеуказанные Рекомендации не являются обязательными, а именно операторы определяют структуру и содержание такой политики. Это означает, что оператор определяет содержание и форму такого документа и, например, может разработать и внедрить несколько отдельных политик обработки персональных данных, применимых к разным группам пользователей (например, если у оператора несколько сайтов по продаже товаров). или услуги, он имеет право публиковать на каждом из своих веб-сайтов политику обработки персональных данных, относящуюся только к посетителям веб-сайта).
Новый российский закон о локализации персональных данных вступает в силу в сентябре 2015 г. — Блог о праве международной торговли — Международная торговля
требования локализации данных применяются к его бизнесу, и если это так, то незамедлительно приступайте к планированию соответствия.
31 декабря 2014 г. Президент России Владимир Путин подписал закон об изменении даты вступления в силу российского закона о персональных данных, который включает требование о локализации данных («Закон о персональных данных»).
[ 1 ] В соответствии с этим изменением все компании, ведущие бизнес в России , независимо от того, где находится компания, с 1 сентября 2015 года должны будут обрабатывать и хранить в России персональные данные, которые они собирают в отношении российских граждан или иные лица, проживающие в России.
Ускоренная дата вступления в силу поднимает множество вопросов соответствия для компаний, ведущих бизнес в России, особенно компаний, которые занимаются сбором, хранением и обработкой информации личного характера. Закон о персональных данных не является отраслевым, и, в зависимости от толкования ключевыми российскими регуляторами, требование о локализации данных Закона о персональных данных может применяться к компаниям, которые работают в таких разных отраслях, как социальные сети, авиация, онлайн-продажа билетов и бронирование, а также электронная почта. -коммерция.
Что делает закон
В соответствии с Законом о персональных данных юридические и физические лица, осуществляющие сбор персональных данных граждан Российской Федерации или иных лиц, проживающих на территории Российской Федерации, обязаны обеспечить, чтобы по состоянию на 1 сентября 2015 г.
накапливать, хранить, изменять, обновлять и извлекать данные» находятся в России. Некоторые потенциальные решения для соблюдения требований для компаний, чья деятельность подпадает под требование локализации данных, могут включать обслуживание серверов в России и принятие мер по сегментации собранных данных.
Действие Закона о персональных данных в целом не распространяется на иностранные компании, осуществляющие обработку персональных данных за пределами России. Однако два исключения указывают на то, что компании, ведущие бизнес в России, могут столкнуться с потенциально значительным бременем соблюдения Закона о персональных данных и потенциально значительными штрафами за несоблюдение. Во-первых, действие закона распространяется на российских «операторов» персональных данных («оператор» — любое лицо, осуществляющее обработку персональных данных и определяющее цель такой обработки), даже если они обрабатывают такие данные за пределами России. Во-вторых, закон распространяется на иностранные организации, которые обрабатывают данные российских граждан, даже если они делают это за пределами России.
Остаются вопросы относительно того, как российские регуляторы будут обеспечивать соблюдение закона в отношении таких иностранных организаций.
Несоблюдение требования локализации данных потенциально может повлечь за собой административную или гражданско-правовую ответственность, а также последующую административную или уголовную ответственность за постоянное несоблюдение. Российские компании, в том числе дочерние компании транснациональных корпораций, подвергаются значительному риску потенциальных санкций, если они не смогут соблюдать Закон о персональных данных. Российские регулирующие органы могут попытаться наложить санкции, запретив доступ к онлайн-сервисам несоблюдающим требованиям организациям на уровне российского поставщика услуг доступа в Интернет. С практической точки зрения может быть сложнее применить потенциальные санкции к компаниям, работающим за пределами России, но российское правительство может косвенно повлиять на иностранные компании, приняв меры против их местной клиентской базы.
Предстоящие нормативные разъяснения
Закон о персональных данных сформулирован широко и несколько двусмысленно. Поэтому вполне вероятно, что реализация будет в значительной степени зависеть от российских правоохранительных органов. Министерство связи («Минсвязь») является основным государственным органом, ответственным за издание правил и других официальных руководств в этой области. В марте 2015 года Минсвязь начала работу над официальным протоколом, объясняющим толкование закона. Ожидается, что протокол будет завершен и опубликован к концу лета 2015 г. исполнение закона.
Нынешняя формулировка Закона о персональных данных не отвечает на некоторые ключевые вопросы соблюдения требований, которые могут затронуть многие компании. Например, неясно, могут ли компании обрабатывать персональные данные за пределами России после их сбора в России. Первоначальные комментарии российских регуляторов по этому поводу остаются расплывчатыми, спорадическими и неоднозначными.
Совсем недавно в своих неофициальных комментариях Роскомнадзор заявил, что оператор персональных данных должен обрабатывать данные с использованием баз данных, расположенных в России. Однако по некоторым признакам Роскомнадзор может рассмотреть возможность изменения этой позиции и разрешить обработку персональных данных за рубежом после завершения первоначального сбора в России.
Ключи к соблюдению
Компании, на которых распространяется действие Закона о персональных данных, должны заранее подготовиться к дате вступления в силу 1 сентября 2015 года. По крайней мере, на начальном этапе благоразумие предполагает, что такие компании рассматривают возможность планирования максимально широкого толкования закона. Хотя создание центра обработки данных в России может быть самым непосредственным средством соблюдения требований, могут быть и другие потенциальные пути для достижения этой цели. Одним из возможных вариантов может быть то, что компания рассматривает возможность сегментации базы данных для записи и хранения только идентифицирующих личность данных в России (любой части базы данных, содержащей полные имена, контактные данные и т.
д.), при обработке анонимных данных о транзакциях пользователей в дата-центрах, расположенных за рубежом.
Как минимум, компании и/или их юрисконсульты должны отслеживать неофициальные указания, а также официальные указания и разъяснения Минсвязи и Роскомнадзора.
О Дуэйне Моррисе
Дуэйн Моррис долгое время представлял клиентов с инвестиционными и деловыми интересами в России, а также российские компании, ведущие бизнес в США, Великобритании и других международных юрисдикциях. Как международная юридическая фирма с полным спектром услуг, наш опыт включает в себя помощь клиентам и работу с российскими консультантами по широкому спектру правовых областей, включая корпоративное право, налогообложение, интеллектуальную собственность, судебные разбирательства и споры, вопросы контрактов, трудоустройство, имущественное состояние и имущество. закон о планировании. Мы регулярно помогаем нашим международным клиентам, которые работают в России, в том числе автопроизводителям, ИТ-компаниям, управленческому консалтингу и профессиональным услугам, а также российским компаниям и частным лицам, ведущим бизнес в США, Великобритании, Европе, Азии и других странах.
___________________________
[ 1 ] Федеральный закон от 21.07.2014 № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части обработки персональных данных в информационно-телекоммуникационных сетях» («Закон 242-ФЗ»). Закон 242-ФЗ внес поправки в несколько российских законов, в том числе в основной закон о конфиденциальности, например, в Федеральный закон № 152-ФЗ от 27 июля 2006 г. «О персональных данных».
Дополнительная информация
Если у вас есть какие-либо вопросы по темам, обсуждаемым в этом оповещении , свяжитесь с Энтони Галлией, Максом Вольтченко или Люком Маклафлином в нашем офисе в Филадельфии, с любым из юристов нашей Группы по защите конфиденциальности и данных или с юристом из фирма, с которой вы регулярно контактируете.
Подробнее о юридических предупреждениях и обновлениях читайте на веб-сайте Duane Morris
Отказ от ответственности: это предупреждение было подготовлено и опубликовано только в информационных целях и не предлагается и не должно толковаться как юридическая консультация.
