Оценка степени вреда персональным данным — требования Роскомнадзора

Оценка степени вреда персональным данным — требования Роскомнадзора

In Информационная безопасность, Персональные данные

Оценка степени вреда персональным данным, должна осуществляться в соответствии с требованиями Роскомнадзора (Приказ Росокмнадзора от 27 октября 2022 г. № 178). Данная статья о том, как правильно оценивать степень вреда персональным данным в целях исполнения требований ст. 18.1 Закона о персональных данных.

Три степени вреда персональным данным

Оценку осуществляет ответственный за организацию обработки персональных данных либо комиссия, образуемая оператором. Оператор обязан установить одну из степеней вреда: высокую, среднюю или низкую.

Высокая степень вреда, если:

  • обработка биометрических данных и данных, которые используются оператором для установления личности субъекта персональных данных, за исключением случаев, установленных законом.
  • обработка специальных категорий персональных данных
  • обработка персональных данных несовершеннолетних для заключения и (или) исполнения договора 
  • обезличивания персональных данных, в том числе с целью проведения оценочных (скоринговых) исследований, оказания услуг по прогнозированию поведения потребителей товаров и услуг, а также иных исследований, не предусмотренных п. 9 ч. 1 ст. 6 Закона о персональных данных
  • поручение иностранному лицу (иностранным лицам) осуществлять обработку персональных данных граждан РФ
  • сбора персональных данных с использованием баз данных, находящихся за пределами РФ.

Средняя степень вреда в случаях:

  • распространение персональных данных на официальном сайте оператора
  • предоставление персональных данных неограниченному кругу лиц, за исключением случаев, установленных законом
  • обработка персональных данных в дополнительных целях, отличных от первоначальной цели сбора
  • продвижение товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с использованием баз персональных данных, владельцем которых является иной оператор
  • получение согласия на обработку персональных данных посредством реализации на сайте функционала, который не предполагает дальнейшую идентификацию и (или) аутентификацию субъекта персональных данных
  • осуществление деятельности по обработке персональных данных, которая предполагает получение согласия на обработку персональных данных, содержащего положения о предоставлении права осуществлять обработку определенному и (или) неопределенному кругу лиц в целях, несовместимых между собой

Низкая степень вреда в случаях:

  • ведение общедоступных источников персональных данных, сформированных в соответствии со ст. 8 Закона о персональных данных 
  • назначение в качестве ответственного за обработку персональных данных лица, не являющегося штатным сотрудником оператора

Как оформить результаты оценки вреда персональным данным?

Результаты оценка степени вреда персональным данным оформляются актом. Акт оценки вреда должен содержать:

  • наименование или ФИО и адрес оператора
  • дата издания акта оценки вреда
  • дата проведения оценки вреда
  • ФИО, должность лиц (лица), проводивших оценку вреда, а также их (его) подпись
  • степень вреда, которая может быть причинена субъекту персональных данных, в соответствии с указанными выше критериями

Нюанс. Если в рамках деятельности по обработке персональных данных субъекту персональных данных могут быть причинены различные степени вреда, то подлежит применению более высокая степень вреда.

Автор: Марина Новицкая, юрист и основатель юридической фирмы Итербиум.

Еще статьи о мерах безопасности в области персональных данных:

Если у вас остались вопросы о том, как правильно организовать всю работу с персональными данными с учетом специфики вашего бизнеса, вы можете обратиться к нам за консультацией. 

Специализированные юристы фирмы Итербиум знают нюансы и помогут вам.