Роскомнадзор Приказом от 27.10.2022 № 178 утвердил требования, согласно которым операторы должны оценивать вероятный вред, который может быть нанесен физлицам при утечке их конфиденциальной информации.
Оценка применяется при работе с электронными персональными данными в инфосистемах. В других случаях оценивать возможный вред необязательно.
В настоящее время требований к проведению оценки нет. Приказ следует применять с 01.03.2023. В первую очередь документ определяет, кто обязан проводить оценку:
- лицо, ответственное за организацию обработки персданных;
- комиссия, созданная оператором.
Для оценки используется риск-ориентированный подход. То есть оператор должен определить одну из степеней возможного вреда, коих три:
- высокая;
- средняя;
- низкая.
Каждой степени соответствуют определенные случаи нарушения Закона о персональных данных от 27.07.2006 № 152-ФЗ .
Степень вреда |
Случаи |
Высокая |
Обработка биометрических персданных;
— обработка специальных категорий персданных, относящихся к расовой, национальной принадлежности, политических, религиозных или философских убеждений, состояния здоровья, интимной жизни, информации о судимости, кроме ситуаций, установленных федеральными законами; — обработка персданных несовершеннолетних для исполнения договоров, по которым они выступают контрагентами, выгодоприобретателями либо поручителями; — обезличивание персданных; — поручение иностранному лицу проводить обработку персданных российских граждан; — сбор персданных с использованием баз, размещенных за пределами РФ |
Средняя |
Распространение персданных на официальных сайтах оператора, а также их предоставление неограниченному кругу лиц, кроме законодательно установленных случаев;
— обработка персданных в дополнительных целях, отличных от первоначальной цели сбора; — продвижение товаров, работ, услуг на рынке через прямые контакты с возможными потребителями с помощью баз персданных другого лица; — получение согласия на обработку персданных с помощью функционала официального сайта, не предполагающего дальнейшую идентификацию и (или) аутентификацию физлица |
Низкая |
— ведение общедоступных источников персданных;
— назначение внештатного работника ответственным за обработку персданных |
В случае если лицу может быть причинен вред разных степеней, учитывать необходимо самую высокую из них.
Результаты оценки необходимо отразить в акте. Документом определен состав сведений акта. Если акт оформляется в электронной форме, заверить его следует ЭП.