21 подписчик

Оценка вреда, который может быть причинен субъектам ПДн: степени вреда, оформление акта

С 1 марта 2023 года вступил в силу Приказ Роскомнадзора от 27.10.2022 № 178 в котором были утверждены требования, по которым операторы ПДн должны оценивать вред, который может быть причинён субъекту персональных данных, если будут нарушены правила обработки. Что это за требования и как их соблюсти рассказываем в статье:

С 1 марта 2023 года вступил в силу Приказ Роскомнадзора от 27.10.

Степени оценки вреда

Оператор для целей оценки вреда определяет одну из следующих степеней вреда:

Высокую в случаях:

  • обработки биометрических ПДн, которые используются оператором для установления личности субъекта ПДн. Исключение - случаи, когда обработка таких данных прямо предусмотрена законом;
  • обработки специальных категорий ПДн (расовая, национальная принадлежности, политические взгляды, религиозных или философских убеждения, состояние здоровья, интимная жизнь, сведения о судимости);
  • обработки ПДн несовершеннолетних для заключения и исполнения договора, стороной которого является несовершеннолетний;
  • обезличивания ПДн;
  • поручения иностранному лицу осуществлять обработку ПДн граждан РФ;
  • сбора ПДн с использованием баз данных, находящихся за пределами РФ.

Среднюю в случаях:

  • распространения ПДн на официальном интернет-сайте оператора, а также их предоставление неограниченному кругу лиц, кроме случаев, установленных законом;
  • обработки ПДн в дополнительных целях, отличных от первоначальной цели сбора;
  • продвижения товаров и услуг путем прямых контактов с потребителем с использованием баз ПДн другого оператора;
  • получения согласия на обработку ПДн на сайте оператора, который не предусматривает дальнейшую идентификацию и (или) аутентификацию субъекта ПДн;
  • обработки ПДн с получением согласия на передачу права их обработки третьими лицам в целях, которые несовместимы с целями сбора таких данных.

Низкую в случаях:

  • ведения общедоступных источников ПДн;
  • назначения в качестве ответственного за обработку ПДн лица, не являющегося штатным сотрудником оператора.

Процедура оценки вреда субъектам ПДн

Оценка вреда, который может быть причинен субъектам ПДн, осуществляется ответственным за организацию обработки ПДн либо комиссией, образуемой оператором. Результаты оформляются актом

Акт оценки вреда должен содержать

  1. наименование или фамилию, имя, отчество (при наличии) и адрес оператора;
  2. дату издания акта оценки вреда;
  3. дату проведения оценки вреда;
  4. ФИО, должность лиц (лица), проводивших оценку вреда, подпись;
  5. степень вреда, которая может быть причинена субъекту персональных данных.

Акт составляется на бумажном носителе или в электронной форме, подписанной электронной подписью.

О том, как правильно оценить степень вреда, какие могут возникнуть сложности и как их решить – рассказываем на курсе:

Персональные данные: практическое погружение

Дата: 25-27 апреля 2023 г.

Подробности и регистрация: https://imoib.ru/training/course/1136

📧 info@imoib.ru

📞 +7 (495) 268-13-42

Больше на imoib.ru. Подписывайтесь на нас: VK | Telegram | Дзен | YouTube