100 0

Как проходит оценка вреда по персональным данным

Трудовые споры Персональные данные Делопроизводство

Закон о персональных данных (ПД) возлагает на операторов обязанность оценивать возможный ущерб, причиненный в случае нарушения закона. В настоящее время операторы делают это произвольно, но уже с 1 марта 2023 г. вступает в силу приказ Роскомнадзора, устанавливающий единые требования оценки вредности субъекту персональных данных.

Содержание

Что является ущербом для персональных данных

К нему относится моральный либо материальный ущерб субъекту ПД, который реально причинен либо существует угроза его причинения при нарушении оператором положений Федерального закона № 152-ФЗ от 27.07.2006. Каждая организация обязана проводить оценку потенциального вреда субъектам персональных данных и реализовывать комплекс мер, направленных на обеспечение безопасности и охраны персданных, недопущение причинения ущерба.

Правила оценки вреда субъектам персональных данных

На сегодняшний день каждая организация самостоятельно разрабатывала критерии потенциального ущерба ПД. С 1 марта 2023 г. применяются единые критерии оценки возможного ущерба субъектам ПД, утвержденные Приказом Роскомнадзора № 178 от 27.10.2022. Приказ распространяет действие на всех операторов и владельцев систем персданных.

ВАЖНО!
Действия приказа ограничены во времени — он действует до 1 марта 2029 г.

Степени оценки вреда по персданным

Приказ № 178 от 27.10.2022. выделяет три степени (п. 2.1–2.3 приказа):

  1. Высокая. Возникает при обработке информации, касающейся биометрических личных данных, касающейся принадлежности к расе, национальности, религии, убеждений и взглядов, привлечения к уголовной ответственности, сведений о состоянии здоровья, интимной жизни; ПД несовершеннолетних; поручении обрабатывать персданные российских граждан иностранцу; сборе ПД с применением баз данных, находящихся за границей.
  2. Средняя. Распространение ПД на официальном интернет-сайте оператора, которые предоставлены неограниченному кругу лиц; обработка производится в дополнительных целях, которые не соответствуют первоначальной; потенциальным клиентам напрямую предлагаются товары и услуги, для чего используются базы другого оператора; согласие на обработку ПД взято на официальном интернет-сайте без дальнейшей проверки субъекта ПД.
  3. Низкая. Низкий уровень вреда персональным данным предполагает, что ответственным за обработку назначен сотрудник, не состоящий в штате оператора; информация собрана из общедоступных источников персданных, сформированных на основании положений ст. 8 Федерального закона № 152-ФЗ от 27.07.2006.

Методика оценки вреда субъектам персональных данных

Ущерб оценивает ответственный за обработку персданных либо специальная комиссия, созданная оператором. Ответственный или комиссия определяют один из уровней вреда, который потенциально может быть причинен субъекту ПД при нарушении положений Федерального закона № 152-ФЗ от 27.07.2006.

ВАЖНО!
Когда установлено, что возникает угроза причинения по различным уровням, применяется более высокий уровень вреда (п. 6 приказа).

По результатам работы ответственным или комиссией составляется акт оценки вреда персональным данным, содержащий следующую информацию (п. 3 приказа):

  • название либо ФИО оператора, его адрес;
  • дата составления акта;
  • данные лиц, оценивающих ущерб (должности, ФИО), их подписи;
  • уровень вреда, который может быть причинен субъекту ПД.

Акт составляется на бумажном носителе или в электронной форме, подписанной электронной подписью. Акт понадобится в следующих ситуациях:

  • предъявление сотрудниками требований компенсации морального вреда, причиненного нарушением законодательства о ПД;
  • назначение штрафа контролирующим органом;
  • решение вопроса о привлечении ответственного за обработку ПД к дисциплинарной ответственности при нарушении правил обработки.
100
Комментарии
  • 2023-02-01 07:31:38
    Оценивать возможный ущерб требуется при обработке персональных данных в информационных системах. По ее итогам определяют тип угроз безопасности личной информации. В остальных случаях оценка не является обязательной, но может быть проведена по желанию оператора.
Алешина Ольга
Автор: Адвокат Алешина Ольга

В 2005 году закончила Владимирский государственный университет по специальности "Юриспруденция" С 2004 по 2011 год работала юристом, специалистом по кадрам. В 2011 году получила статус адвоката. Занимаюсь ведением гражданских и уголовных дел.

37 Публикаций
197 Дней на портале
0 Комментариев
Вирт Юлия
Автор месяца Вирт Юлия
Похожие статьи

Информационные технологии в ведении бухгалтерского и кадрового учета упростили жизнь работодателей, но и создали новые проблемы. Как не потерять сведения, которые есть во всех этих компьютерных программах? В каком документе, устанавливающем порядок обработки персональных данных, необходимо прописать права и обязанности сотрудников, обрабатывающих чужую личную информацию? Объясняем.

Читать дальше

Порядок проверок работодателей как операторов персданных установлен правительством Российской Федерации. Разберём, какие Роскомнадзору требуются документы для проверки персональных данных и как происходят контрольные мероприятия.

Читать дальше

При приёме на работу в отдел кадров поступают документы, содержащие персональные данные нового сотрудника, и работодатель автоматически становится «оператором», который производит «обработку персданных». Разберём подробнее некоторые базовые моменты.

Читать дальше
Вам может быть интересно
Вопросы кадровому совету
Вопросы кадровому совету
Вопросы кадровому совету
Обсудить в соцсетях
+38266
Виктория Лебедева
Виктория Лебедева
Виктория Лебедева
28.03.2023 в 21:26
У вас возможно
Елена Круглова
Елена Круглова
Елена Круглова
28.03.2023 в 23:04
Он должен будет привести оригинал повестки с отметкой военкомата, что он действительно там был, вот тогда и заберёте.
Оксана Фалина
Оксана Фалина
Оксана Фалина
28.03.2023 в 23:26
У нас, в России, точно. Но если иное закреплено в вашей инструкции по ДОУ, то о чем тогда вообще спор?
Анна Федотова
Анна Федотова
Анна Федотова
01:47
А где написано, что является ?
Мария Добрычева
Мария Добрычева
Мария Добрычева
02:37
Коллеги,подскажите,в график отпусков вносим остатки за прошлый год? И обязательно издавать приказ на их перенос или заявления сотрудника достаточно?
Присоединиться к беседе