• Главная
  • Как проходит оценка вреда по персональным данным
100 0
Печать

Как проходит оценка вреда по персональным данным

Трудовые споры Персональные данные Делопроизводство

Закон о персональных данных (ПД) возлагает на операторов обязанность оценивать возможный ущерб, причиненный в случае нарушения закона. В настоящее время операторы делают это произвольно, но уже с 1 марта 2023 г. вступает в силу приказ Роскомнадзора, устанавливающий единые требования оценки вредности субъекту персональных данных.

Содержание

Что является ущербом для персональных данных

К нему относится моральный либо материальный ущерб субъекту ПД, который реально причинен либо существует угроза его причинения при нарушении оператором положений Федерального закона № 152-ФЗ от 27.07.2006. Каждая организация обязана проводить оценку потенциального вреда субъектам персональных данных и реализовывать комплекс мер, направленных на обеспечение безопасности и охраны персданных, недопущение причинения ущерба.

Надо знать: какая информация является конфиденциальной

Эксперты КонсультантПлюс разобрали ситуацию, когда работодатель нарушил порядок обработки персональных данных работника, в результате чего его ФИО, дата рождения и фотография попали в интернет. Работник требует от работодателя возместить ему ущерб за распространение его персональных данных без согласия. В каком порядке должен быть оценен и возмещен ущерб работнику? Используйте эти инструкции бесплатно.

Получить доступ к материалам КонсультантПлюс на 2 дня

Правила оценки вреда субъектам персональных данных

На сегодняшний день каждая организация самостоятельно разрабатывала критерии потенциального ущерба ПД. С 1 марта 2023 г. применяются единые критерии оценки возможного ущерба субъектам ПД, утвержденные Приказом Роскомнадзора № 178 от 27.10.2022. Приказ распространяет действие на всех операторов и владельцев систем персданных.

ВАЖНО!
Действия приказа ограничены во времени — он действует до 1 марта 2029 г.

Степени оценки вреда по персданным

Приказ № 178 от 27.10.2022. выделяет три степени (п. 2.1–2.3 приказа):

  1. Высокая. Возникает при обработке информации, касающейся биометрических личных данных, касающейся принадлежности к расе, национальности, религии, убеждений и взглядов, привлечения к уголовной ответственности, сведений о состоянии здоровья, интимной жизни; ПД несовершеннолетних; поручении обрабатывать персданные российских граждан иностранцу; сборе ПД с применением баз данных, находящихся за границей.
  2. Средняя. Распространение ПД на официальном интернет-сайте оператора, которые предоставлены неограниченному кругу лиц; обработка производится в дополнительных целях, которые не соответствуют первоначальной; потенциальным клиентам напрямую предлагаются товары и услуги, для чего используются базы другого оператора; согласие на обработку ПД взято на официальном интернет-сайте без дальнейшей проверки субъекта ПД.
  3. Низкая. Низкий уровень вреда персональным данным предполагает, что ответственным за обработку назначен сотрудник, не состоящий в штате оператора; информация собрана из общедоступных источников персданных, сформированных на основании положений ст. 8 Федерального закона № 152-ФЗ от 27.07.2006.
Степени оценки возможного вреда субъекту персональных данных

Может пригодиться:

Методика оценки вреда субъектам персональных данных

Ущерб оценивает ответственный за обработку персданных либо специальная комиссия, созданная оператором. Ответственный или комиссия определяют один из уровней вреда, который потенциально может быть причинен субъекту ПД при нарушении положений Федерального закона № 152-ФЗ от 27.07.2006.

ВАЖНО!
Когда установлено, что возникает угроза причинения по различным уровням, применяется более высокий уровень вреда (п. 6 приказа).

По результатам работы ответственным или комиссией составляется акт оценки вреда персональным данным, содержащий следующую информацию (п. 3 приказа):

  • название либо ФИО оператора, его адрес;
  • дата составления акта;
  • данные лиц, оценивающих ущерб (должности, ФИО), их подписи;
  • уровень вреда, который может быть причинен субъекту ПД.

Акт составляется на бумажном носителе или в электронной форме, подписанной электронной подписью. Акт понадобится в следующих ситуациях:

  • предъявление сотрудниками требований компенсации морального вреда, причиненного нарушением законодательства о ПД;
  • назначение штрафа контролирующим органом;
  • решение вопроса о привлечении ответственного за обработку ПД к дисциплинарной ответственности при нарушении правил обработки.
Читайте также: как составить отчет о персданных в Роскомнадзор

Нормативная база

Приказ Роскомнадзора от 27.10.2022 № 178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных"»
100
Печать
Комментарии
  • 2023-02-01 07:31:38
    Оценивать возможный ущерб требуется при обработке персональных данных в информационных системах. По ее итогам определяют тип угроз безопасности личной информации. В остальных случаях оценка не является обязательной, но может быть проведена по желанию оператора.
Алешина Ольга
Автор: Адвокат Алешина Ольга

В 2005 году закончила Владимирский государственный университет по специальности "Юриспруденция" С 2004 по 2011 год работала юристом, специалистом по кадрам. В 2011 году получила статус адвоката. Занимаюсь ведением гражданских и уголовных дел.

37 Публикаций
197 Дней на портале
0 Комментариев
Вирт Юлия
Автор месяца Вирт Юлия
Похожие статьи
Илющенко Анна
Илющенко Анна
28 марта 2023
100 0
Какие документы устанавливают порядок обработки персональных данных

Информационные технологии в ведении бухгалтерского и кадрового учета упростили жизнь работодателей, но и создали новые проблемы. Как не потерять сведения, которые есть во всех этих компьютерных программах? В каком документе, устанавливающем порядок обработки персональных данных, необходимо прописать права и обязанности сотрудников, обрабатывающих чужую личную информацию? Объясняем.

Читать дальше
Рубрики: Образцы документов, Персональные данные, Делопроизводство
Миленина Нина
Миленина Нина
27 марта 2023
100 0
Какие документы по персональным данным проверяет Роскомнадзор

Порядок проверок работодателей как операторов персданных установлен правительством Российской Федерации. Разберём, какие Роскомнадзору требуются документы для проверки персональных данных и как происходят контрольные мероприятия.

Читать дальше
Рубрики: Персональные данные, Делопроизводство, Проверки
Миленина Нина
Миленина Нина
23 марта 2023
100 0
В каких документах содержатся персональные данные сотрудников

При приёме на работу в отдел кадров поступают документы, содержащие персональные данные нового сотрудника, и работодатель автоматически становится «оператором», который производит «обработку персданных». Разберём подробнее некоторые базовые моменты.

Читать дальше
Рубрики: Разбираем на примерах, Персональные данные, Делопроизводство
Вам может быть интересно
Вопросы кадровому совету
Вопросы кадровому совету
30 августа 2022
Как работодатель проверяет предоставляемые ему персональные данные?
Добрый день. Устраиваюсь на работу и попросили подписать согласие на обработку персональных данных, фотография и данные о трудовой деятельности, о учебе оформляемого лица соответствуют документам ,удостоверяющим личность , записям в трудовой книжке, документом об образовании. Как проверяют всю эту информацию
Вопрос задал: Елена
Ответ получен
Добрый день! Да никто, если это не госслужба. Вы же доки предоставляете, если нет причин сомневаться в их подлинности - нет причин для каких то проверок. Работодатель может запрос сделать, например, по диплому, но как правило это не делается, смысла нет, если человек занет, умеет и может делать свою работу...
Подробнее
26 августа 2022
Как учесть коэффициенты при сдельной оплате труда?
Добрый день,коллеги! Может кто поможет, как сделать ,чтоб установленная сдельная расценка выплачивалась с применением повышающих и понижающих коэффициентов?То есть установлена сдельная оплата, расценка идет за куб, бригада 8 человек.Некоторые в течении месяца могут не выполнять какие-либо обязанности-уборка рабочего места, опаздывают на работу и т.п. , а кто-то работает добросовестно,как сделать чтоб из сделки можно было часть средств забрать у одних и отдать другим?То есть велено применить к сдельной расценке повышающие и понижающие коэффициенты.
Вопрос задал: Елена
Ответ получен
Добрый день! Забирать нельзя, можете премию ежемесячную выписывать, в зависимости от личного вклада каждого. Премию можно установить в процентах....
Подробнее
25 августа 2022
Что делать если работник заболел перед отпуском?
сотрудник по графику должен идти в отпуск с 1 сентября.с 25 августа по 31 августа уходит на больничный по уходу за ребенком.как правильно оплатить отпускные и необходимо ли переносит отпуск если больничный не закончится?
Вопрос задал: Татьяна
Ответ получен
Все переносы можно делать только по заявлению работника и согласию работодателя. Если от работника не поступило никаких заявлений о переносе, то отпуск начинается по общим правилам. При больничном по уходу за ребенком отпуск не продлевается. Это распространяется только на нетрудоспособность самого работника....
Подробнее
Вопросы кадровому совету
Обсудить в соцсетях
+38266
Обсуждения кадровых тем 1319 участников
Виктория Лебедева
Виктория Лебедева
Виктория Лебедева
28.03.2023 в 21:26
У вас возможно
Елена Круглова
Елена Круглова
Елена Круглова
28.03.2023 в 23:04
Он должен будет привести оригинал повестки с отметкой военкомата, что он действительно там был, вот тогда и заберёте.
Оксана Фалина
Оксана Фалина
Оксана Фалина
28.03.2023 в 23:26
У нас, в России, точно. Но если иное закреплено в вашей инструкции по ДОУ, то о чем тогда вообще спор?
Анна Федотова
Анна Федотова
Анна Федотова
01:47
А где написано, что является ?
Мария Добрычева
Мария Добрычева
Мария Добрычева
02:37
Коллеги,подскажите,в график отпусков вносим остатки за прошлый год? И обязательно издавать приказ на их перенос или заявления сотрудника достаточно?
Присоединиться к беседе