Как проходит оценка вреда по персональным данным
Закон о персональных данных (ПД) возлагает на операторов обязанность оценивать возможный ущерб, причиненный в случае нарушения закона. В настоящее время операторы делают это произвольно, но уже с 1 марта 2023 г. вступает в силу приказ Роскомнадзора, устанавливающий единые требования оценки вредности субъекту персональных данных.
Что является ущербом для персональных данных
К нему относится моральный либо материальный ущерб субъекту ПД, который реально причинен либо существует угроза его причинения при нарушении оператором положений Федерального закона № 152-ФЗ от 27.07.2006. Каждая организация обязана проводить оценку потенциального вреда субъектам персональных данных и реализовывать комплекс мер, направленных на обеспечение безопасности и охраны персданных, недопущение причинения ущерба.
Эксперты КонсультантПлюс разобрали ситуацию, когда работодатель нарушил порядок обработки персональных данных работника, в результате чего его ФИО, дата рождения и фотография попали в интернет. Работник требует от работодателя возместить ему ущерб за распространение его персональных данных без согласия. В каком порядке должен быть оценен и возмещен ущерб работнику? Используйте эти инструкции бесплатно.
Правила оценки вреда субъектам персональных данных
На сегодняшний день каждая организация самостоятельно разрабатывала критерии потенциального ущерба ПД. С 1 марта 2023 г. применяются единые критерии оценки возможного ущерба субъектам ПД, утвержденные Приказом Роскомнадзора № 178 от 27.10.2022. Приказ распространяет действие на всех операторов и владельцев систем персданных.
Степени оценки вреда по персданным
Приказ № 178 от 27.10.2022. выделяет три степени (п. 2.1–2.3 приказа):
- Высокая. Возникает при обработке информации, касающейся биометрических личных данных, касающейся принадлежности к расе, национальности, религии, убеждений и взглядов, привлечения к уголовной ответственности, сведений о состоянии здоровья, интимной жизни; ПД несовершеннолетних; поручении обрабатывать персданные российских граждан иностранцу; сборе ПД с применением баз данных, находящихся за границей.
- Средняя. Распространение ПД на официальном интернет-сайте оператора, которые предоставлены неограниченному кругу лиц; обработка производится в дополнительных целях, которые не соответствуют первоначальной; потенциальным клиентам напрямую предлагаются товары и услуги, для чего используются базы другого оператора; согласие на обработку ПД взято на официальном интернет-сайте без дальнейшей проверки субъекта ПД.
- Низкая. Низкий уровень вреда персональным данным предполагает, что ответственным за обработку назначен сотрудник, не состоящий в штате оператора; информация собрана из общедоступных источников персданных, сформированных на основании положений ст. 8 Федерального закона № 152-ФЗ от 27.07.2006.

Может пригодиться:
Методика оценки вреда субъектам персональных данных
Ущерб оценивает ответственный за обработку персданных либо специальная комиссия, созданная оператором. Ответственный или комиссия определяют один из уровней вреда, который потенциально может быть причинен субъекту ПД при нарушении положений Федерального закона № 152-ФЗ от 27.07.2006.
По результатам работы ответственным или комиссией составляется акт оценки вреда персональным данным, содержащий следующую информацию (п. 3 приказа):
- название либо ФИО оператора, его адрес;
- дата составления акта;
- данные лиц, оценивающих ущерб (должности, ФИО), их подписи;
- уровень вреда, который может быть причинен субъекту ПД.
Акт составляется на бумажном носителе или в электронной форме, подписанной электронной подписью. Акт понадобится в следующих ситуациях:
- предъявление сотрудниками требований компенсации морального вреда, причиненного нарушением законодательства о ПД;
- назначение штрафа контролирующим органом;
- решение вопроса о привлечении ответственного за обработку ПД к дисциплинарной ответственности при нарушении правил обработки.