1 марта 2023 года начнут действовать требования к тому, как оценивать вред, который оператор может причинить физлицам, если нарушит Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 14.07.2022) «О персональных данных».
Оценку должен будет проводить ответственный за организацию обработки личных сведений. Вместо него это сможет сделать комиссия оператора.
От оператора потребуют определить высокую, среднюю или низкую степень вероятного вреда. Отметим примеры случаев, когда нужно выбрать одну из них:
- высокая степень – оператор обрабатывает информацию о несовершеннолетних, например, чтобы исполнять договоры, по которым они контрагенты, выгодоприобретатели либо поручители;
- средняя – он продвигает товары, работы и услуги через прямые контакты с потенциальными потребителями с помощью хранилищ (баз персональных данных) другого лица;
- низкая – оператор назначил внештатного сотрудника ответственным за обработку личных сведений.
Если гражданину могут причинить вред разных степеней, надо учитывать более высокую из них.
Степень вреда и ряд других сведений обяжут отразить в акте. Документ разрешат составить в цифровом виде, но тогда его придется заверить электронной подписью.
Согласно п. 4 Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных», утвержденных приказом Роскомнадзора от 27.10.2022 № 178 акт оценки вреда должен содержать:
- наименование или фамилию, имя, отчество (при наличии) и адрес оператора;
- дату издания акта оценки вреда;
- дату проведения оценки вреда;
- фамилию, имя, отчество (при наличии), должность лиц (лица) (при наличии), проводивших оценку вреда, а также их (его) подпись;
- степень вреда, которая может быть причинена субъекту персональных данных, в соответствии с подпунктами 2.1 – 2.3 пункта 2 Требований.
Сейчас действующих требований к тому, как проводить оценку, нет.
Напомним, оценивать вероятный вред нужно при обработке персональной информации в информсистемах. Дело в том, что по итогам этой процедуры определяют тип угроз безопасности личных сведений. В остальных случаях оценка необязательна.
Согласно п. 10 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ (ред. от 14.07.2022) «О персональных данных»:
информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств
Для примера приводим информацию Роскомнадзора от 11.08.2022 «Ответы на вопросы в сфере защиты прав субъектов персональных данных»:
Вопрос: Является ли веб-сайт информационной системой обработки персональных данных?
Ответ: Согласно пункту 10 части 1 статьи 3 Федерального закона «О персональных данных» информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
В случае соответствия веб-сайта указанным требованиям он является информационной системой.
Т.е. фактически данные требования касаются любого владельца или оператора сайта, где размещены персональные данные, напомним, что полные фамилия, имя, отчество лица или любая информация, позволяющая идентифицировать человека (фотография лица, видео, адреса, ИНН и т.д.) уже будут являться персональными данными.
Конечно, если у вас обрабатывается информация о физических лицах в 1С, например, а также имеется информационная система персональных данных - вы должны также производить оценку вероятности рисков причинения вреда.
Документ: Приказ Роскомнадзора от 27.10.2022 № 178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных» (Зарегистрировано в Минюсте России 28.11.2022 № 71166).
Комментарии
2наверное не так все это плохо.Но во только смущают комментарии или это текстовка письма ? Как-то с падежами и склонениями 😫 беда...
Спасибо, что обратили внимание!)