10 304 0

Как составить акт оценки вреда субъектам персональных данных

Персональные данные Делопроизводство

1 марта 2023 года вступил в силу нормативно-правовой акт, регламентирующий оценку ущерба, который может быть причинен при нарушении закона о персональных данных (ПД). По результатам составляется акт оценки вреда субъектам персональных данных, который допускается оформлять в электронном виде.

Порядок определения ущерба субъектам персданных

В соответствии с Приказом Роскомнадзора от 27.10.2022 № 178 потенциальный ущерб оценивает:

  • сотрудник, ответственный за обработку персданных в организации;
  • или комиссия.

Оператор определяет степень потенциального вреда: высокую, среднюю или низкую.

  1. Высокая, если:
    • обрабатываются сведения, характеризующие биометрические ПД (физиологические и биологические особенности), которые используются для установления личности;
    • обрабатываются специальные категории ПД (национальная принадлежность, состояние здоровья, сведения о судимости и др.);
    • производится обработка данных несовершеннолетних лиц для договоров, в которых они являются контрагентами, поручителями или выгодоприобретателями;
    • персданные обезличиваются;
    • обработка ПД россиян осуществляется иностранным лицом;
    • осуществляется сбор данных с использованием баз за границей.
  2. Степень средняя в случаях:
    • распространение ПД в интернете или их предоставление неограниченному кругу лиц;
    • если данные обрабатываются в целях, которые отличаются от первоначальных;
    • когда согласие на обработку персданных получено на сайте в интернете;
    • продвижения товаров (услуг) с использованием базы потребителей, которой владеет другой оператор.
  3. Степень определяется как низкая при условии:
    • ведения источников персданных, которые являются общедоступными (адресные книги или справочники). Сведения в такие источники включаются с письменного согласия субъекта (ст. 8 закона от 27.07.2006 № 152-ФЗ);
    • назначения ответственным за обработку внештатного сотрудника.
ВАЖНО!
Если в процессе деятельности могут быть причинены разные степени ущерба, то применяется более высокая.

После проведения оценки составляется акт, который закрепляет её результаты.

Как составить акт

Приказом Роскомнадзора установлено, что акт оценки потенциального вреда субъектам персональных данных содержит информацию:

  • сведения об операторе: название или ФИО, адрес;
  • дата составления документа;
  • дата оценивания;
  • ФИО и должность лица (лиц), которое проводило оценку вреда;
  • степень потенциального вреда.

Как выглядит документ

Законодательно форма не утверждена. Руководствуясь требованием Роскомнадзора к содержанию документа, предположу, что он может выглядеть так:

10 304
Комментарии
  • 2023-01-23 12:51:26
    В настоящее время отсутствуют требования к проведению оценки вреда, не утверждена форма акта. Возможно, это сделают позднее. Однако закреплено, что акт, составленный в электронной форме и подписанный ЭЦП, признается равнозначным документу на бумажном носителе.
Чечеткина Елена
Автор: Специалист по кадрам, юрист Чечеткина Елена

Специалист по кадрам, юрист

66 Публикаций
956 Дней на портале
74 Комментариев
Климашевская Алена
Автор месяца Климашевская Алена
Похожие статьи

При приёме на работу в отдел кадров поступают документы, содержащие персональные данные нового сотрудника, и работодатель автоматически становится «оператором», который производит «обработку персданных». Разберём подробнее некоторые базовые моменты.

Читать дальше

Информационные технологии в ведении бухгалтерского и кадрового учета упростили жизнь работодателей, но и создали новые проблемы. Как не потерять сведения, которые есть во всех этих компьютерных программах? В каком документе, устанавливающем порядок обработки персональных данных, необходимо прописать права и обязанности сотрудников, обрабатывающих чужую личную информацию? Объясняем.

Читать дальше

Информация является важным ресурсом, сопряженным с возникновением как финансового, так и репутационного убытка. Поэтому вопрос обеспечения безопасности конфиденциальных сведений на текущий момент приобрел свою актуальность. Что считается нарушением конфиденциальности и какая ответственность предусмотрена за ее нарушение? Обо всем об этом я расскажу, опираясь на примеры из своей практики. 

Читать дальше
Вам может быть интересно

Вопросы кадровому совету

Обсудить в соцсетях

+36804
Ирина Санникова
Ирина Санникова
Ирина Санникова
18.04.2025 в 14:49
Если по двум должностям отправляли в командировку, значит, может.
Ирина Гаврилова
Ирина Гаврилова
Ирина Гаврилова
18.04.2025 в 14:53
Мы профукали по внутреннему совместительству, не отправляли его в командировку, теперь не знаем что ставить в табеле
Анна Сергеевна
Анна Сергеевна
Анна Сергеевна
18.04.2025 в 15:02
Есть решение суда, что основное место и внутреннее совместительство могут быть одномоментно командировки. То есть расчет ЗП по среднему. Поскольку направление работника в командировку хоть по основному , хоть по внутреннему совместительству - инициатива работодателя, и таким образом лишает работника возможности работать по второму договору.
Ирина Санникова
Ирина Санникова
Ирина Санникова
18.04.2025 в 15:18
Вот и ответ.
Елена Федоренко
Елена Федоренко
Елена Федоренко
18.04.2025 в 17:31
Без сохоанение з/п провести
Присоединиться к беседе