Алексей Ветров
Эксперт по защите данных IC-TECH
Нет, сам факт редактирования внутренних документов (политики, положения, регламентов) уведомления Роскомнадзора не требует. Уведомлять необходимо не про «бумаги», а про изменение условий обработки, которые отражаются в уведомлении оператора: цели и состав обработки, категории субъектов и данных, действия с ПДн, получатели, трансграничная передача, место баз данных и т.п. Если такие параметры меняются — оператор обязан актуализировать сведения в реестре.
Обоснование по законодательству
- Ст. 22 ФЗ-152 — оператор до начала обработки направляет в РКН уведомление и сообщает установленные сведения (цели, категории ПДн/субъектов, действия с ПДн, меры безопасности, получатели, место баз данных и др.). При изменении ранее представленных сведений оператор обязан направить обновлённую информацию в уполномоченный орган в установленный этой статьёй срок.
- Ст. 6 ФЗ-152 — законные основания и цели обработки определяют правомерность обработки; их изменение требует приведения уведомления в соответствие.
- Ст. 12 ФЗ-152 — при трансграничной передаче ПДн действует уведомительный порядок и ограничения; изменение факта/направления такой передачи подлежит отражению в сведениях оператора.
- Ст. 18(5) ФЗ-152 (локализация) — базы с ПДн граждан РФ должны находиться в РФ; изменение места баз данных влияет на сведения, подлежащие указанию в уведомлении (ст. 22).
Когда обновление уведомления обязательно
- Появились новые цели обработки (например, маркетинг вместо исключительно договорных целей).
- Изменились категории ПДн или категории субъектов (добавили биометрию/данные о здоровье; начали обрабатывать данные соискателей и т.п.).
- Добавлены новые операции с данными (например, публикация/распространение, обезличивание для аналитики, передача новым третьим лицам).
- Появилась/изменилась трансграничная передача.
- Изменилось место размещения баз данных или технологическая схема обработки (перевод в облако, дата-центр).
- Сменились сведения об операторе/представителе, ответственном лице, контактных данных.
Что не требует уведомления само по себе
- Редакционные правки политики/положения без изменения целей, состава ПДн, операций и инфраструктуры.
- Актуализация форм согласий, инструкций, журналов — если параметры обработки, отражённые в уведомлении, не менялись.
- Внутренние перестановки обязанностей между подразделениями при сохранении ранее заявленных условий обработки.
Рекомендации и выводы
Формально уведомлять РКН о каждом изменении внутренних актов не нужно. Но как только правки меняют условия обработки, которые указаны в уведомлении по ст. 22 ФЗ-152, — подавайте обновление в установленный срок. Практический алгоритм:
- перед изменениями проверьте, затрагивают ли они поля уведомления (цели, категории ПДн/субъектов, действия, получатели, трансграничная передача, локация БД);
- при наличии изменений — подготовьте и направьте обновлённые сведения в РКН;
- синхронизируйте внутренние акты и публичную политику с уведомлением;
- зафиксируйте обновление приказом и храните доказательства отправки.
Компания ICTech поможет провести экспресс-аудит «уведомление ↔ фактические процессы», подготовить корректировки и оформить весь пакет документов, включая обновления в реестре. Это снижает риск претензий и доказывает соответствие ФЗ-152.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
