Обоснование по законодательству
- ФЗ-152 «О персональных данных», ст. 22 ч. 7 — оператор обязан уведомлять Роскомнадзор об изменении сведений, указанных в уведомлении об обработке ПДн.
- Приказ Роскомнадзора № 94 от 30.05.2017 — утверждает форму уведомления, где одним из обязательных пунктов является место хранения персональных данных.
- КоАП РФ, ст. 13.11 — нарушение порядка уведомления влечёт административную ответственность.
Практика и позиция Роскомнадзора
При проверках Роскомнадзор сопоставляет фактическое место хранения данных с тем, что указано в уведомлении. Если базы уже перенесены, а уведомление не обновлено, это расценивается как нарушение. Даже если сами меры защиты ПДн соответствуют закону, формальная несостыковка считается основанием для штрафа.
Часто компании ошибочно полагают, что если дата-центр остаётся в России, обновлять уведомление не нужно. Однако регулятор требует точного соответствия: адрес, провайдер, дата-центр должны быть актуальными.
Что важно учесть организациям
- Обновлённое уведомление подаётся в течение 10 рабочих дней после изменения сведений.
- Менять место хранения без уведомления можно только при технических работах, если базовая локация не меняется (например, резервное копирование внутри одного дата-центра).
- Если данные обрабатываются в нескольких местах, нужно указать все адреса.
Рекомендации и выводы
Менять место хранения ПДн без уведомления Роскомнадзора нельзя. Это одно из самых частых нарушений, которые фиксируются при проверках. Чтобы избежать претензий, нужно вовремя подавать уточнённое уведомление и фиксировать все изменения документально.
Компания ICTech поможет вашей организации корректно оформить уведомление в Роскомнадзор при смене места хранения, а также разработать пакет документов по ФЗ-152, чтобы вы соответствовали всем требованиям и избежали штрафов.
