Комментарии законодательства

Какие требования нужно соблюдать при оценке вреда от нарушения правил обработки персональных данных?

Дата публикации

Документ

Приказ Роскомнадзора от 27.10.2022 № 178

Комментарий

Согласно п. 5 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" (далее – Закон № 152-ФЗ) ответственное лицо оператора персональных данных или созданная им комиссия проводят оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона № 152-ФЗ.

Роскомнадзор утвердил требования к такой оценке, обязательные для применения всеми операторами персональных данных (далее – Требования). Они будут действовать с 1 марта 2023 года до 1 марта 2029 года.

Требования предусматривают три степени вреда – низкую, среднюю и высокую.

Высокая степень вреда устанавливается в случаях (п. 2.1 Требований):

Средняя степень вреда устанавливается в случаях (п. 2.2 Требований):

Низкая степень вреда устанавливается в случаях (п. 2.3 Требований):

Степень вреда, который может быть причинен субъекту персональных данных в случае нарушения Закона № 152-ФЗ, указывается в акте оценки (п. 3 Требований). В нем также указываются (п. 4 Требований):

Форма акта оценки вреда не утверждена, поэтому акт составляется в произвольной форме. Акт можно оформить как на бумаге, так и в электронной форме. Бумажный акт подписывается лицом, которое проводило оценку вреда. Электронный акт должен быть подписан электронной подписью. Полагаем, речь идет об усиленной квалифицированной электронной подписи (если иной вид подписи не предусмотрен локальными нормативными актами оператора персональных, см. п. 5 Требований).

При выявлении факторов, относящихся к разным степеням риска, выбирается более высокая степень.