1987 0

Как проходит оценка вреда по персональным данным

Трудовые споры Персональные данные Делопроизводство

Закон о персональных данных (ПД) возлагает на операторов обязанность оценивать возможный ущерб, причиненный в случае нарушения закона. В настоящее время операторы делают это произвольно, но уже с 1 марта 2023 г. вступает в силу приказ Роскомнадзора, устанавливающий единые требования оценки вредности субъекту персональных данных.

Содержание

Что является ущербом для персональных данных

К нему относится моральный либо материальный ущерб субъекту ПД, который реально причинен либо существует угроза его причинения при нарушении оператором положений Федерального закона № 152-ФЗ от 27.07.2006. Каждая организация обязана проводить оценку потенциального вреда субъектам персональных данных и реализовывать комплекс мер, направленных на обеспечение безопасности и охраны персданных, недопущение причинения ущерба.

Правила оценки вреда субъектам персональных данных

На сегодняшний день каждая организация самостоятельно разрабатывала критерии потенциального ущерба ПД. С 1 марта 2023 г. применяются единые критерии оценки возможного ущерба субъектам ПД, утвержденные Приказом Роскомнадзора № 178 от 27.10.2022. Приказ распространяет действие на всех операторов и владельцев систем персданных.

ВАЖНО!
Действия приказа ограничены во времени — он действует до 1 марта 2029 г.

Степени оценки вреда по персданным

Приказ № 178 от 27.10.2022. выделяет три степени (п. 2.1–2.3 приказа):

  1. Высокая. Возникает при обработке информации, касающейся биометрических личных данных, касающейся принадлежности к расе, национальности, религии, убеждений и взглядов, привлечения к уголовной ответственности, сведений о состоянии здоровья, интимной жизни; ПД несовершеннолетних; поручении обрабатывать персданные российских граждан иностранцу; сборе ПД с применением баз данных, находящихся за границей.
  2. Средняя. Распространение ПД на официальном интернет-сайте оператора, которые предоставлены неограниченному кругу лиц; обработка производится в дополнительных целях, которые не соответствуют первоначальной; потенциальным клиентам напрямую предлагаются товары и услуги, для чего используются базы другого оператора; согласие на обработку ПД взято на официальном интернет-сайте без дальнейшей проверки субъекта ПД.
  3. Низкая. Низкий уровень вреда персональным данным предполагает, что ответственным за обработку назначен сотрудник, не состоящий в штате оператора; информация собрана из общедоступных источников персданных, сформированных на основании положений ст. 8 Федерального закона № 152-ФЗ от 27.07.2006.

Методика оценки вреда субъектам персональных данных

Ущерб оценивает ответственный за обработку персданных либо специальная комиссия, созданная оператором. Ответственный или комиссия определяют один из уровней вреда, который потенциально может быть причинен субъекту ПД при нарушении положений Федерального закона № 152-ФЗ от 27.07.2006.

ВАЖНО!
Когда установлено, что возникает угроза причинения по различным уровням, применяется более высокий уровень вреда (п. 6 приказа).

По результатам работы ответственным или комиссией составляется акт оценки вреда персональным данным, содержащий следующую информацию (п. 3 приказа):

  • название либо ФИО оператора, его адрес;
  • дата составления акта;
  • данные лиц, оценивающих ущерб (должности, ФИО), их подписи;
  • уровень вреда, который может быть причинен субъекту ПД.

Акт составляется на бумажном носителе или в электронной форме, подписанной электронной подписью. Акт понадобится в следующих ситуациях:

  • предъявление сотрудниками требований компенсации морального вреда, причиненного нарушением законодательства о ПД;
  • назначение штрафа контролирующим органом;
  • решение вопроса о привлечении ответственного за обработку ПД к дисциплинарной ответственности при нарушении правил обработки.
1987
Комментарии
  • 2023-02-01 07:31:38
    Оценивать возможный ущерб требуется при обработке персональных данных в информационных системах. По ее итогам определяют тип угроз безопасности личной информации. В остальных случаях оценка не является обязательной, но может быть проведена по желанию оператора.
  • 2023-05-21 08:20:33
    Алешина Ольга, Вы не правы. Не путайтесь сами и не путайте других. Вред и ущерб это разные понятия. Этот приказ Роскомнадзора разработан для других целей и его нельзя применять (и не получится, даже если захотите) при определении актуальности угроз безопасности по методике ФСТЭК. Поэтому оценку вреда необходимо провести всем операторам ПДн, об этом четко написано в 152-ФЗ.
Алешина Ольга
Автор: Адвокат Алешина Ольга

В 2005 году закончила Владимирский государственный университет по специальности "Юриспруденция" С 2004 по 2011 год работала юристом, специалистом по кадрам. В 2011 году получила статус адвоката. Занимаюсь ведением гражданских и уголовных дел.

72 Публикаций
374 Дней на портале
0 Комментариев
Алешина Ольга
Автор месяца Алешина Ольга
Похожие статьи

Сегодня у нас новостной обзор маленький. Прошедшая неделя не то чтобы совсем была бедная на новости, но как-то новости ни то ни сё:

  • Минпросвещения утвердило новый перечень должностей для обучения (Приказ от 14.07.2023 № 534);
  • Минтруд решил напомнить, какие сведения вносить в бумажную трудовую книжку при переходе на электронную (Письмо от 31.07.2023 № 14-6/ООГ-5052);
  • Минобрнауки написало, что обучающимся в магистратуре положены доп. отпуска (Письмо от 20.06.2023 № 5/10642-О).

Но все это либо уже было, либо, на мой взгляд, — ну, неинтересно. А вот занимательные две новости мы всё-таки нашли, про них и обзор ниже.

Читать дальше

Сейчас так часто СМИ пишут об утечках персональных данных, о мошенниках, которые пользуются полученными сведениями, о кредитах, которые оформляются по чужому паспорту. Люди напуганы этими «страшными» персданными. Боятся и за себя, и за своих детей. Вот и возникает иногда желание написать отказ от персональных данных в школе, чтобы, как считает родитель, защитить своего ребенка. А возможно ли это?

Читать дальше

Негаторный иск — это иск собственника имущества об устранении нарушений его прав, не связанных с лишением владения. Но для использования этого способа защиты необходимо учесть некоторые нюансы.

Читать дальше
Вам может быть интересно
Вопросы кадровому совету
Вопросы кадровому совету
Вопросы кадровому совету
Обсудить в соцсетях
+39085
Настя Гарина
Настя Гарина
Настя Гарина
21.09.2023 в 23:24
А что за штамп? Не совсем поняла
Настя Гарина
Настя Гарина
Настя Гарина
21.09.2023 в 23:24
а кто как ведёт учёт выдачи формы стд-р?
Сания Кагина
Сания Кагина
Сания Кагина
21.09.2023 в 23:25
Самонаборный предполагаю, со стандартной фразой, которую ставят в журнал
Настя Гарина
Настя Гарина
Настя Гарина
21.09.2023 в 23:34
Это вы в 13 графе напротив фио сотрудника штампик ставите?
Екатерина Соловьева
Екатерина Соловьева
Екатерина Соловьева
00:14
Мы тоже вовремя не подали данные о заключении договора ГПХ. Просрочили один день. Нам прислали Акт о правонарушении. Назначили день приёма для возможности оспорить. Составили Возражения в письменной форме, ждём назначенной даты. Но думаю, это не поможет. Всё равно штраф выпишут. Потом они должны будут прислать Решение и реквизиты для оплаты штрафа.
Присоединиться к беседе