Роскомнадзор Приказом от 27.10.2022 № 178 утвердил требования, согласно которым операторы должны оценивать вероятный вред, который может быть нанесен физлицам при утечке их конфиденциальной информации.

Оценка применяется при работе с электронными персональными данными в инфосистемах. В других случаях оценивать возможный вред необязательно.

В настоящее время требований к проведению оценки нет. Приказ следует применять с 01.03.2023. В первую очередь документ определяет, кто обязан проводить оценку:

  • лицо, ответственное за организацию обработки персданных;
  • комиссия, созданная оператором.

Для оценки используется риск-ориентированный подход. То есть оператор должен определить одну из степеней возможного вреда, коих три:

  • высокая;
  • средняя;
  • низкая.

Каждой степени соответствуют определенные случаи нарушения Закона о персональных данных от 27.07.2006 № 152-ФЗ .

Степень вреда

Случаи

Высокая

Обработка биометрических персданных;

— обработка специальных категорий персданных, относящихся к расовой, национальной принадлежности, политических, религиозных или философских убеждений, состояния здоровья, интимной жизни, информации о судимости, кроме ситуаций, установленных федеральными законами;

— обработка персданных несовершеннолетних для исполнения договоров, по которым они выступают контрагентами, выгодоприобретателями либо поручителями;

— обезличивание персданных;

— поручение иностранному лицу проводить обработку персданных российских граждан;

— сбор персданных с использованием баз, размещенных за пределами РФ

Средняя

Распространение персданных на официальных сайтах оператора, а также их предоставление неограниченному кругу лиц, кроме законодательно установленных случаев;

— обработка персданных в дополнительных целях, отличных от первоначальной цели сбора;

— продвижение товаров, работ, услуг на рынке через прямые контакты с возможными потребителями с помощью баз персданных другого лица;

— получение согласия на обработку персданных с помощью функционала официального сайта, не предполагающего дальнейшую идентификацию и (или) аутентификацию физлица

Низкая

— ведение общедоступных источников персданных;

— назначение внештатного работника ответственным за обработку персданных

В случае если лицу может быть причинен вред разных степеней, учитывать необходимо самую высокую из них.

Результаты оценки необходимо отразить в акте. Документом определен состав сведений акта. Если акт оформляется в электронной форме, заверить его следует ЭП.

Для защиты персданных физлиц утверждены правила оценки возможного вреда

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *