Как составить акт оценки вреда субъектам персональных данных
1 марта 2023 года вступил в силу нормативно-правовой акт, регламентирующий оценку ущерба, который может быть причинен при нарушении закона о персональных данных (ПД). По результатам составляется акт оценки вреда субъектам персональных данных, который допускается оформлять в электронном виде.
Порядок определения ущерба субъектам персданных
В соответствии с Приказом Роскомнадзора от 27.10.2022 № 178 потенциальный ущерб оценивает:
- сотрудник, ответственный за обработку персданных в организации;
- или комиссия.
Оператор определяет степень потенциального вреда: высокую, среднюю или низкую.
- Высокая, если:
- обрабатываются сведения, характеризующие биометрические ПД (физиологические и биологические особенности), которые используются для установления личности;
- обрабатываются специальные категории ПД (национальная принадлежность, состояние здоровья, сведения о судимости и др.);
- производится обработка данных несовершеннолетних лиц для договоров, в которых они являются контрагентами, поручителями или выгодоприобретателями;
- персданные обезличиваются;
- обработка ПД россиян осуществляется иностранным лицом;
- осуществляется сбор данных с использованием баз за границей.
- Степень средняя в случаях:
- распространение ПД в интернете или их предоставление неограниченному кругу лиц;
- если данные обрабатываются в целях, которые отличаются от первоначальных;
- когда согласие на обработку персданных получено на сайте в интернете;
- продвижения товаров (услуг) с использованием базы потребителей, которой владеет другой оператор.
- Степень определяется как низкая при условии:
- ведения источников персданных, которые являются общедоступными (адресные книги или справочники). Сведения в такие источники включаются с письменного согласия субъекта (ст. 8 закона от 27.07.2006 № 152-ФЗ);
- назначения ответственным за обработку внештатного сотрудника.
После проведения оценки составляется акт, который закрепляет её результаты.
Может пригодиться:
Как составить акт
Приказом Роскомнадзора установлено, что акт оценки потенциального вреда субъектам персональных данных содержит информацию:
- сведения об операторе: название или ФИО, адрес;
- дата составления документа;
- дата оценивания;
- ФИО и должность лица (лиц), которое проводило оценку вреда;
- степень потенциального вреда.
Эксперты КонсультантПлюс разобрали, какие меры по защите персональных данных должны предприниматься лицом, их обрабатывающим. Используйте эти инструкции бесплатно.
Как выглядит документ
Законодательно форма не утверждена. Руководствуясь требованием Роскомнадзора к содержанию документа, предположу, что он может выглядеть так:
