Вход
Энциклопедия решений. Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона о персональных данных (май 2025)
Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона о персональных данных
Одной из мер, направленных на обеспечение выполнения оператором обязанностей, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ), является оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных данным законом (п. 5 ч. 1 ст. 18.1 Закона N 152-ФЗ).
Приказом Роскомнадзора от 27.10.2022 N 178*(1) утверждены Требования к оценке такого вреда (далее - Требования).
Для целей оценки вреда оператор определяет одну из трех степеней вреда, который может быть причинен субъекту. При этом, если по результатам оценки будет установлено, что субъекту могут быть причинены различные степени вреда, то подлежит применению более высокая оценка.
|
Степень вреда |
Случаи обработки |
|
Высокая |
- обработка биометрических персональных данных (ч. 1 ст. 11 Закона N 152-ФЗ); - обработка специальных категорий персональных данных (ч. 1 ст. 10 Закона N 152-ФЗ); - обработка персональных данных несовершеннолетних в целях заключения или исполнения договора, стороной которого либо выгодоприобретателем или поручителем он является (п. 5 ч. 1 ст. 6 Закона N 152-ФЗ); - обезличивания персональных данных в случаях, не предусмотренных п. 9 ч. 1 ст. 6 Закона N 152-ФЗ; - поручения иностранному лицу (лицам) обработку персональных данных российских граждан; - сбор персональных данных с использованием баз данных, находящихся за рубежом |
|
Средняя |
- распространение персональных данных на официальном сайте оператора в сети "Интернет", предоставление доступа к персональным данным неограниченному кругу лиц (исключения - случаи раскрытия персональных данных, установленные законом); - обработка персональных данных в дополнительных целях, отличных от первоначальной; - в маркетинговых целях с использованием баз данных потребителей, владельцем которых является другой оператор; - получения согласия на обработку персональных данных с использованием функционала официального сайте сети "Интернет", не предполагающего дальнейшую идентификацию и (или) аутентификацию субъекта; предоставление права осуществлять обработку персональных данных определенному или неопределенному кругу лиц в целях, несовместимых между собой (ч. 2 ст. 5 Закона N 152-ФЗ) |
|
Низкая |
- ведение общедоступных источников персональных данных (ст. 8 Закона N 152-ФЗ); - назначение в качестве ответственного за обработку персональных данных лица, не являющегося штатным работником |
Оценка вреда осуществляется ответственным за обработку персональных данных лицом либо комиссией, образуемой оператором.
Результаты оценки вреда оформляются актом либо на бумажном носителе, либо в форме электронного документа, подписанного электронной подписью (см. Федеральный закон от 06.04.2011 "Об электронной подписи").
Акт оценки должен содержать (п. 4 Требований).
- наименование или фамилию, имя, отчество (при наличии) и адрес оператора;
- дату издания акта оценки вреда;
- дату проведения оценки вреда;
- фамилию, имя, отчество (при наличии), должность лиц (лица) (при наличии), проводивших оценку вреда, а также их (его) подпись;
- степень вреда, которая может быть причинена субъекту персональных данных.
Подчеркнем, что оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом N 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим законом или другими Федеральными законами (ч. 1 ст. 18.1 Закона N 152-ФЗ).
Таким образом, определение срока или периода проведения оценки вреда, а также требований к составу и порядку образования комиссии относится к компетенции оператора.
-------------------------------------------
*(1) Вступает в силу 1 марта 2023 г.
Актуальная версия заинтересовавшего Вас документа доступна только в коммерческой версии системы ГАРАНТ. Вы можете подать заявку на получение полного доступа к системе бесплатно на 3 дня.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
"Энциклопедия решений. Персональные данные" - это совокупность уникальных актуализируемых аналитических материалов по наиболее популярным темам в сфере обработки персональных данных
Каждый материал блока подкреплен ссылками на нормативные правовые акты, учитывает сложившуюся судебную практику и актуализируется по мере изменения законодательства
См. информацию об обновлениях Энциклопедии решений
См. содержание Энциклопедии решений. Персональные данные
При подготовке информационного блока "Энциклопедия решений. Персональные данные" использованы авторские материалы, предоставленные Л. Амировой, И. Разумовой
См. информацию об авторах