Новые штрафы за нарушение законодательства при сборе персональных данных

Мы получаем согласие, а потом люди требуют ознакомиться с данными, которые мы обрабатываем. Это потребительский терроризм! На Западе его тоже поощряют?

Еще как.

В России по запросу оператор обязан рассказать, какие данные о человеке обрабатывает, сколько времени хранит, кому передает и для каких целей использует. Люди оставляют запросы любыми способами: например, письмом на электронную почту или по телефону. Компания отвечает в течение 30 дней.

Еще по запросу люди отзывают согласия на обработку, исправляют устаревшую или неточную информацию и удаляют данные, которые используются для рассылки скидок и акций. Компания обязана удалить их по первому требованию.

Частить с запросами в одно юридическое лицо нельзя: отправить разрешают раз в 30 дней.

В Европе, вдобавок к российским правилам, люди могут попросить зашифровать данные и скачать в формате XML, JSON или CSV. Компании отвечают на запросы в течение месяца.

Закон требует, чтобы отозвать согласие на обработку данных можно было так же просто, как и дать его. Например, если человек соглашался галочкой в чекбоксе, то и отозвать согласие он должен галочкой или таким же простым способом. Телефонный звонок или письмо на почту не подойдут — сложно, могут оштрафовать.

Если человек отправляет запросы слишком часто, компаниям разрешают потребовать плату или не отвечать. Правда частоту в законе не уточняют.

В Калифорнии, в отличии от России и Европы, люди могут попросить не продавать данные. Закон требует, чтобы у человека было как минимум два способа оставить такой запрос: например, письмом на электронную почту и в специальной форме. Отвечают на запросы в течение 45 дней.

На каждой странице сайта Walmart предлагает узнать, какие персональные данные собирает магазин, и запретить продажу данных

Как и в Европе, на частые запросы разрешают не отвечать или требовать плату.

В Европе и Калифорнии законы о персданных дают людям больше прав, чем в России

Рекомендации Роскомнадзора по работе с персональными данными

1. Собирайте только те данные, которые нужны для достижения цели. Например, если вы задумали общаться с клиентом через сервис email-рассылок, отправляя письма с презентацией товаров/услуг, достаточно узнать имя, фамилию и электронный адрес. Номер телефона можно не брать. И не собирать лишние данные даже на «всякий случай». После достижения цели информацию рекомендуют уничтожить.
2. Храните персональные данные, различные по целям и категориям, в разных местах. К примеру, сведения о клиентах можно поместить на облачный диск, а о сотрудниках ― в локальную базу данных на компьютере или распечатать. Причем данные, раскрывающие личность человека (ФИО, адрес и др.), и документы по взаимодействию с ним (переписка, договоры и др.) тоже лучше хранить отдельно, а для сопоставления информации использовать синтетические идентификаторы.
3. Чтобы защитить данные, даже при передаче для обработки третьим лицам, используйте технические средства, которые принадлежат вам.
4. Своевременно передавайте информацию об утечках в Роскомнадзор.
5. Защищайте данные внутри организации с помощью физических средств (например, охранных систем).
6. Назначьте в компании ответственного за защиту персональных данных.

Рекомендации помогут правильно обрабатывать персональные данные и не нарваться на штрафы.

Слышал, что на Западе за персональные данные огромные штрафы. Наверняка это госпропаганда

А вот и нет.

В России размеры штрафов для юридических лиц колеблются от 15 до 75 тыс. рублей. Точная сумма зависит от нарушения.

Если не получить согласие на обработку данных — от 30 до 50 тыс. рублей. А если не удовлетворить запрос пользователя — от 25 до 40 тыс. рублей.

Штрафуют и за хранение данных на серверах вне России — от 1 до 6 млн за первое нарушение и от 6 до 18 млн за повторное.

Сводная таблица штрафов

За соответствием закону следит Роскомнадзор. Он проверяет операторов по плану — обычно раз в 3 года — и реагирует на жалобы пользователей.

Планы проверок Роскомнадзора

В Европе за несерьезные нарушения дают штраф до 10 млн евро или 2% выручки за предыдущий год: например, если компания обрабатывает данные дольше, чем обещала в политике. За серьезные — до 20 млн или 4% выручки за предыдущий год: например, если компания обрабатывает данные без согласия человека. 

Когда будут определять размер штрафа, учтут тип данных, нарушала ли компания закон раньше, содействовала ли расследованию, нарушила ли умышленно и как защищала данные.

Английский Marriott получил штраф 20 млн евро: в 2020 году проверяющий заметил, что после утечки в 2014 компания не закрыла дыру в защите базы данных.

Испанское кафе оштрафовали на 900 евро за то, что камера захватывала часть тротуара и лица людей.

Кипрскую полицию — на 6К евро, потому что один из полицейских использовал информацию о владельцах автомобилей в личных целях.

Российскую компанию, которая неправильно обрабатывает данные европейцев, тоже оштрафуют. Правда, взыскать штраф не смогут. Зато могут оштрафовать владельца компании на таможне.

За соответствием закону следят надзорные органы каждой страны Евросоюза. При утечке данных компании уведомляют пользователей и надзорный орган в течение 72 часов.

В Калифорнии размеры штрафов колеблются от 2500 долларов за непреднамеренное нарушение до 7500 долларов за умышленное. В случае утечки компанию оштрафуют на 750 долларов за каждого пострадавшего. Например, если утекли данные 1000 человек, то штраф — 750К долларов.

За соответствием закону следит прокурор штата. При утечке компании уведомляют пользователей, а если утекли данные более 500 человек — еще и прокурора.

В России самые низкие штрафы, если не хранить данные на зарубежных серверах. Самые высокие — в Европе

В России закон как закон, в Калифорнии такой же, в Европе жестче

Российский закон о персональных данных молод. В нем много спорных моментов и широких формулировок, но мало судебной практики. Это нормально, так пока везде. Зато от российских операторов меньше требуют, а штрафы не такие суровые.

В спорных моментах с персональными данными обратитесь за помощью к юристу. Он поможет правильно составить документы, изменить формулировки на сайте и подскажет, где стоит перестраховаться. Так вы не нарветесь на штраф.

Письма

Наличие опции Double opt-in

Эта опция предполагает направление пользователю письма с запросом на коммуникацию и последующее получение ответа от пользователя. В письме должны содержаться условия осуществления коммуникации, в том числе ссылка на Политику конфиденциальности. Ответ пользователя будет означать согласие с данными условиями. Эта опция будет дополнительным сильным доказательством того, что вами получено согласие пользователя на обработку его персональных данных. Особенно она актуальна, когда по тем или иным причинам проблематично получить или хранить другие доказательства согласия пользователя.

Наличие ссылки отписки (opt-out) в емейлах

Это существенно снижает риски предъявления к вам претензий, так как пользователь всегда имеет возможность отписаться от рассылки, которую он по какой-либо причине не желает получать. В этом случае данные пользователя должны быть удалены из вашей базы в течение периода времени, определённого в Политике конфиденциальности.

Использование стоп-листа пользователей, отказавшихся от коммуникации

Таким пользователям вы больше не имеете права отправлять сообщения до тех пор, пока они не дали нового согласия на обработку своих персональных данных.

Что ещё стоит сделать при первом трудоустройстве сотрудника?

1. С работниками, ответственными за материальные ценности (кассир, курьер, продавец, кладовщик, водитель), лучше сразу заключить договор о полной материальной ответственности.Договор стоит дополнить приказом о назначении ответственного лица и актом о передаче ценностей.При с таким договором работник должен компенсировать полную сумму прямого ущерба.Без договора ответственность работника существенно ниже — только в пределах среднего месячного заработка.Шаблон договора о полной индивидуальной материальной ответственностиДля линейных сотрудников лучше сделать должностную инструкцию и ознакомить их под подпись.Это сильно облегчит вам жизнь в случае конфликта с сотрудником или трудовой инспекцией. Также с ней будет значительно проще выстроить систему премирования и депремирования.

Как защитить данные своих клиентов и не допустить утечки

Как подать уведомление

Как видим, есть несколько способов подготовки и подачи уведомления:

• на бумаге;
• с использованием электронной цифровой подписи;
• через портал Госуслуг.

Мы рассмотрим первый способ, то есть подготовим уведомление, которое потом надо распечатать и направить в территориальное подразделение РКН лично, почтой или курьером.

Верхняя часть уведомления заполняется довольно просто, надо ввести стандартные реквизиты заявителя (выбрав сначала тип оператора).

Дальше стоит воспользоваться всплывающими подсказками, потому что не все термины могут быть понятными. Например, вот что понимается под правовыми основаниями обработки ПД.

Приведём примерные формулировки по разделам.

• Правовое основание обработки персональных данных: политика обработки ПД, устав организации, публичная оферта, договоры с контрагентами, согласие на получение рассылок, нормативно-правовые акты с реквизитами (указывайте законы, постановления, приказы, имеющие отношение к вашей ситуации).
• Цель обработки персональных данных: регистрация пользователей в личном кабинете, техподдержка пользователей, работа онлайн-сервисов, обработка обращений и звонков потребителей, сбор и составление статистики заказов, заключение и исполнение договоров, взаимодействие с контрагентами, выполнение определённых работ, исполнение требований ТК РФ, публикация личных данных работников, осуществление управленческих и кадровых решений, оформление социальных льгот, организация командировок.
• Описание мер, предусмотренных статьями 18.1 и 19 закона № 152-ФЗ: используйте формулировки из самого закона, но с учётом своей ситуации. Например, для организации можно указать: «назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных».
• Перечень действий с персональными данными: выбирайте формулировки из закона № 152-ФЗ, такие как, накопление, запись, хранение, уточнение, использование, передача удаление, уничтожение. В полях ниже выберите способы обработки данных. Например, смешанная, с передачей по внутренней сети юридического лица, с передачей по сети Интернет.
• Категории персональных данных. Сначала приводится стандартный перечень, в котором надо проставить галочки в отношении тех сведений, которые вы будете обрабатывать. Но часто этих категорий недостаточно, поэтому в поле ниже надо вписать недостающие. Так, в отношении работников дополнительно обрабатываются: паспортные данные, СНИЛС, место проживания, номер телефона, email, сведения о стаже, о составе семьи, реквизиты банковского счёта для выплаты зарплаты и др.
• Категории субъектов, ПД которых обрабатываются. Это могут быть: работники и члены их семей, покупатели и клиенты, контактные лица деловых партнеров, пользователи сервисов и сайтов.

Если затрудняетесь с формулировками, обратитесь за поддержкой к сотрудникам территориального отделения Роскомнадзора. Можно также найти в реестре операторов схожую по виду деятельности компанию и воспользоваться её описаниями в качестве примера.

Российскому закону 14 лет, а до сих пор непонятно, что считают персональными данными. В других странах с этим наверняка четко

Как бы не так.

В российском законе размытое определение персональных данных — «Информация, по которой получится прямо или косвенно идентифицировать человека». Четкого списка таких данных нет, поэтому на практике часто пользуются правилом: если по информации, которую вы собираете, можно найти пользователя, сотрудника или клиента, это персональные данные.

Например, вы знаете только имя и фамилию человека — Иван Иванов. По ним не найти конкретного Ивана Иванова — таких в России тысячи. Значит, имя и фамилия — это не персональные данные.

Зато если вы знаете еще и телефон Ивана, то без труда найдете нужного человека. Вместе эти данные будут считаться персональными.

Суды обычно относят к персданным комбинации разных категорий данных:

• фамилий, имен, отчеств; 
• физических адресов; 
• электронных почт; 
• телефонов; 
• дат или мест рождения; 
• фотографий; 
• ссылок на персональные сайты или соцсети; 
• профессий, образований; 
• уровней доходов; 
• семейных положений; 
• айпи-адресов и геоданных.

Но на самом деле никогда нельзя быть уверенным, что информацию посчитают или не посчитают персональными данными. 

Например, в Белгороде человек подал в суд на «Яндекс.Справочник»: там указали его номер телефона. Роскомнадзор и суд не увидели нарушения: номер опубликовали без данных владельца, а сам по себе он не считается персональными данными. При этом в Москве коллекторской компании передали телефон без других данных о человеке. Тот подал в суд и выиграл.

Или во время голосования о поправках в Конституцию утекли данные избирателей: серии и номера паспортов. Роскомнадзор в комментарии к закону считает их персональными данными: «В частности, к числу идентификаторов, которые сами по себе однозначно определяют физическое лицо, могут быть отнесены: номер и серия паспорта; страховой номер индивидуального лицевого счета; идентификационный номер налогоплательщика…». Но в мэрии Москвы объяснили, что номер и серия паспорта без ФИО и даты рождения — не персональные данные. Роскомнадзор не начал расследование.

Безопаснее считать персональными данными любую информацию о пользователях.

Европейский закон тоже не дает четкого списка персональных данных, а определяет их даже шире. К персональным данным относят еще и информацию, по которой человека могут оценить, сформировать к нему отношение и повлиять на его поведение.

Руководитель посмотрит и заблокирует список веб-страниц, которые посещали сотрудники. Это повлияет на поведение людей: они перестанут заходить на страницы из списка. Значит, список страниц — персональные данные.

Или информация о том, что дедушка человека работал в НКВД, вызовет травлю в интернете. Раз эти сведения влияют на отношение к человеку, их считают персональными данными.

Калифорнийский закон также не помогает разобраться. Персональными данными там считают информацию, которая «идентифицирует, относится или позволяет сделать выводы о человеке: предпочтения, характеристики». То есть любую информацию о людях.

В России, Европе и Калифорнии законы определяют персональные данные широко и не дают четкого списка признаков

Кто такой оператор персональных данных и как он уведомляет о себе РКН

Что делать, если организация столкнулась с утечкой данных

Роскомнадзор

Обнаружив факт неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан в течение 24 часов сообщить в Роскомнадзор, как орган уполномоченный по защите прав субъектов персональных данных, о произошедшем инциденте и о его предполагаемых причинах, о вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с Роскомнадзором по вопросам, связанным с выявленным инцидентом (п. 3.1 ст. 21 Федерального закона № 152-ФЗ).

Сообщение можно передать через Портал персональных данных, на котором Роскомнадзор организовал соответствующий сервис в разделе «Инциденты (утечки)» на странице «Уведомление о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных».

Если системы оператора подверглись хакерской атаке, он, помимо вышеописанного взаимодействия с Роскомнадзором, обязан передать сведения о взломе, повлекшем неправомерную передачу (предоставление, распространение, доступ) персональных данных, в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.

GDPR

Если к компании применим GDPR, необходимо уведомить надзорные органы в Европе. Некорректное реагирование на утечку может привести к штрафу до 10 млн евро или 2% от годового оборота – в зависимости от того, что больше. При этом утечка персональных данных сама по себе не является нарушением. GDPR допускает, что она может произойти даже при обеспечении надлежащей защиты. Но, например, попытка скрыть утечку или недостаточно оперативное реагирование на нее – уже нарушение.

Ответственность за нарушение закона

Оператору, который нарушил требования ФЗ № 152, грозит административная, уголовная, дисциплинарная и гражданско-правовая ответственность. Формат наказания зависит от случая. Например:

• Невыполнение оператором при сборе персональных данных обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных ― штраф от 100 до 200 тыс. ₽ для должностных лиц и от 1 до 6 млн ₽ для юрлиц. При повторном нарушении должностные лица заплатят от 500 до 800 тыс. ₽, а юрлица ― от 6 до 18 млн ₽.
• Сбор персональных данных без подписанного согласия на обработку ― штраф от 20 до 40 тыс. ₽ для должностных лиц и от 30 до 150 тыс. ₽ для юрлиц. При повторном нарушении должностные лица заплатят от 40 до 100 тыс. ₽, ИП ― от 100 до 300 тыс. ₽, юрлица ― от 300 до 500 тыс. ₽.

Письмо коллекторам с требованием о прекращении использования сведений

Коллекторы могут оказывать услуги банку по работе с заемщиками, и тогда заявление на отзыв персональных данных подается непосредственно оператору, а коллекторам может быть направлена копия. Это обязывает обе организации сократить обработку данных до установленного законом уровня.

Или же долг, и персональные сведения вместе с ним, мог быть переуступлен самому агентству, и изымать данные из работы следует уже оттуда. Корректное оформление самой передачи долга и информирования об этом заемщика лежит вне тематики данной статьи, но и с точки зрения защиты персональных данных процедура не однозначная – как минимум добровольного согласия на обработку субъект коллекторам не давал.Основные элементы письма-претензии по данному поводу:

1. «Шапка» – шаблонное обращение на имя первого руководителя, с указанием ФИО и контактных данных заявителя. Здесь же указываются получатели копий, если таковые имеются.
2. Информация о заявителе – ФИО, контактные данные или иная информация.
3. Правовое обоснование – закон «О персональных данных», в частности его ст.6, , , которые регламентируют добровольную дачу согласия субъектом, право на отзыв и обязанность оператора, аффилированных с ним структур, и третьих лиц, которым информация была передана, не использовать отозванные данные.

   Если коллекторы нарушают другие нормы, например, не подтвердили свою правомочность в получении задолженности, прибегают к угрозам, разглашают банковскую и налоговую тайну, и прочее, сошлитесь на соответствующие законодательные акты.

4. Перечень данных, которые запрещено обрабатывать – например, номера мобильного, стационарного и служебного телефона, контактная информация третьих лиц, упомянутых в кредитном договоре, информация о рабочем месте.
5. Способ связи – укажите приемлемый для вас способ контактов – по электронной или обычной почте, отдельному телефону или через вашего юриста, чьи контакты прилагаются.
6. Разрешение споров – в судебном порядке согласно законодательству РФ.
7. Обращение о прекращении обработки данных – с момента получения заявления в установленные законом сроки.
8. Подпись, дата.

• Скачать бланк письма коллекторам с требованием прекращения использования персональных данных
• Скачать образец письма коллекторам с требованием прекращения использования персональных данных

Права кредитора на использование сведений о должнике прописаны в законе, и полностью изъять информацию нельзя, но можно оставить доступным минимум, удовлетворяющий целям обработки. В случае несоблюдения операторами требований по отзыву согласия на обработку персональных данных, субъект имеет право обратиться Роскомнадзор и в правоохранительные органы.

Отзыв персональных данных и запрет их использования – законное право гражданина, желающего избавиться от навязчивой рекламы, избежать излишнего распространения сведений о себе и близких, окончательно разорвать связи с бывшим работодателем, поставщиком услуг и прочими.

Но не следует рассматривать отзыв как панацею для недобросовестных заемщиков. Возможно, он поможет снизить коллекторскую активность, но до погашения кредита и завершения исполнений обязательств по договору, банк не забудет ни о вас, ни о ваших персональных данных.

Цели обработки

Закон обязывает обрабатывать данные только в целях, которые обозначены в согласии. Закон также запрещает обработку персональных данных, несовместимых с целями. По сути, если вы требуете слишком много персональных данных – это нарушение.
Так, в одном из решений суд проанализировал ситуации, когда для заключения договора на теплоснабжение с физических лиц требовали данные об ИНН и СНИЛС.

Суд указал, что ГК таких требований не содержит и для оказания гражданам таких услуг ИНН и СНИЛС не нужны, а значит, их сбор и последующая обработка являются излишними (
Решение от 20.12.2018 по делу № 12-71/2018).

Советы бизнесу, чтобы избежать претензий Роскомнадзора

1. На сайте должна быть прописана политика обработки персональных данных: какие виды данных обрабатываются, с какой целью и так далее.
2. Согласие на обработку данных должно быть реальным. Галочку в форме должен поставить посетитель сайта.
3. Текст согласия должен содержать данные о цели обработки персональных данных, виды этих данных, как и кто будет использовать данные и прочее.
4. Пользователь имеет право отозвать свое согласие. Поэтому бизнес должен предоставлять форму или иной вид обратной связи для этого.
5. На сайте должен быть баннер или всплывающее окно с информацией об использовании cookie-файлов. 
6. Пользователям нужно пояснять, какие именно данные собираются с помощью cookie-файлов. 
7. Передавать личные данные россиян иностранным организациям можно, если уведомить Роскомнадзор.
8. Если у компании возникают вопросы или сомнения, лучше взять консультацию юриста.

Какие данные наиболее подвержены утечке

Только в 2022 году утекли в сеть данные из DNS, Start, СДЭК, «Почты России» и у других компаний. Это происходит регулярно по разным причинам, основные среди которых — хакерская деятельность и действия сотрудников компании (халатность, ошибка, намеренное вредительство).

Команда антивируса McAfee определила несколько типов данных, которые часто оказываются в сети:

• адрес электронной почты;

• номер телефона;

• связка «логин-пароль»;

• место и адрес работы;

• дата рождения;

• данные о подключенных устройствах;

• пол, рост, вес, возраст пользователя;

• платежные данные;

• история покупок;

• архив сообщений.

Чем это грозит простым пользователям. Каждая отдельная утечка мало чем грозит простому пользователю. Например, если к злоумышленникам попадет ваш логин в сервисе без пароля или только дата рождения, сделать с этим они вряд ли что-то смогут.

Но чем больше таких утечек, тем больше данных о вас может быть у одной команды. Ведь они могут собирать одну большую базу из множества мелких. Много разной информации способно сформировать портрет конкретного пользователя, которого затем можно атаковать.

Самая заметная опасность — вероятность слива банковских данных. Но такие утечки происходят крайне редко, благодаря серьезной защите и контроле со стороны банков. За 2021 год на такую информацию пришлось около 0,4% от всех утечек данных. Чаще всего в мошенничестве с платежными данными виноваты сами пользователи — авторизуются и используют данные своих карт на сомнительных и откровенно фишинговых сайтах.

Точка безубыточности: что это такое и как посчитать

Передача данных

Третий важный нюанс — это правильные процессы передачи и хранения данных. Сегодня передавать личные данные россиян иностранным организациям можно, если уведомить Роскомнадзор.

Например, если компания анализирует данные с помощью Google Analytics, то это уже считается трансграничной передачей данных, ведь используется сервис с аккумулированием баз данных не в России. 

Что необходимо для уведомления Роскомнадзора:

1. Запросить от зарубежной организации, в которую направляются персональные данные, пояснение о степени защиты личной информации граждан. Эти данные могут запросить в Роскомнадзоре.
2. Если страна, куда отправляются персональные данные, входит в список, утвержденный приказом Роскомнадзора от 05.08.2022 № 128, то ответа от ведомства можно не дожидаться.

Если информация отправляется в страну вне этого списка, то необходимо ожидать ответа в течение 10 рабочих дней. Если Роскомнадзор ответит положительно, то данные можно отправлять. Если отрицательно — нельзя.

Пример: компания стала использовать трансграничную передачу данных. Владелец бизнеса привык следовать правилам, поэтому поручил одному из руководителей изучить, как нужно действовать, чтобы избежать претензий к компании.

Руководитель изучил список стран, утвержденный приказом Роскомнадзора. В их числе был Китай. Компания направила уведомление в Роскомнадзор и избежала негативных последствий.

По теме: Почему владельцы западных брендов, которые ушли с российского рынка, продолжают подавать иски об авторских правах

Какие меры необходимо предпринять по защите персональных данных сотрудников?

При выборе защитных мер необходимо учитывать, будут ли персданные обрабатываться в информационных системах или нет. Кроме того, следует обеспечить физическую защиту носителей пнд, оборудовать специальное помещение для хранения персональных данных, чтобы уберечь от несанкционированного доступа. В подавляющем большинстве персданные в электронном и бумажном виде имеются в распоряжении отдела кадров и бухгалтерии.

Среди мер защиты выделяют:

• ограниченное число работников, которые имеют доступ к персданным;

• принятие нормативных документов;

• утверждение перечня документов, которые содержат пнд;

• внедрение программных для защиты информации на эл. носителях – например, антивирусную защиту;

• проведение профилактических работ с сотрудниками – тесты на знание правил хранения пнд;

• установление режима по пропускам;

Этот список можно продолжать до бесконечности, так как перечень защитных мер работодатели вправе определять самостоятельно.

Как дополнить уведомление новыми основаниями

Большинство бизнес-субъектов уже подавали уведомление, но напомним, что с 1 сентября 2022 года появились новые основания обработки, о которых тоже надо сообщить (в частности, получение данных работников).

Вернёмся к информационному письму. Его интерфейс аналогичен форме при подаче уведомления. Некоторые поля отмечены звездочкой, поэтому обязательны для заполнения, кроме того, заполняются поля, в которых вносятся изменения. Подготовленное информационное письмо направляется в Роскомнадзор одним из уже рассмотренных способов: на бумаге, с ЭЦП или через портал Госуслуг.

Напоследок стоит сказать про срок подачи уведомления или информационного письма. Новые основания обработки персональных данных возникли с 01.09.2022, однако этот срок не является крайним, до которого надо было обратиться в РКН.