Оценка вреда, который может быть причинен субъектам персональных данных, соотношение указанного вреда и принимаемых мер оператором, осуществляется в соответствии с п.5 ч.1 ст.18.1 Федерального закона от 27.07.2006 г. №152-ФЗ "О персональных данных" (далее - Закон о персональных данных).
Оператор должен определять оценку вреда, который может быть причинен субъектам персональных данных, в случае нарушение Закон о персональных данных (далее - оценка вреда), соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных.
Оценка вреда осуществляется в случае поступления оператору информации о неправомерной (незаконной) обработке персональных данных оператором, а именно:
- обращения субъекта персональных данных или его представителя;
- запроса субъекта персональных данных или его представителя;
- запроса Роскомнадзора;
- требования Роскомнадзора о представлении уведомления;
- запроса иного заинтересованного лица.
Оценка вреда осуществляется также для определения типа угроз безопасности персональных данных, актуальных при их обработке в информационных системах персональных данных.
Субъект персональных данных вправе требовать от оператора блокирования его персональных данных или их уничтожения в случае, если персональные данные являются незаконно полученными, а также принимать предусмотренные Законом о персональных данных меры по защите своих прав.
Доказательства законности обработки персональных данных оператором, в случае раскрытия персональных данных неопределенному кругу лиц, лежит на операторе.
Организационные меры по установлению факта неправомерной (незаконной) обработки персональных данных
Прием и обработку информации о неправомерной (незаконной) обработке персональных данных оператором осуществляет лицо ответственное за организацию обработки персональных данных у оператора.
В случае, поступления оператору информации о неправомерной (незаконной) обработке персональных данных оператором, незамедлительно создается комиссия по установлению факта неправомерной обработки персональных данных (далее - комиссия) в составе не менее 3 человек. В состав комиссии включается лицо ответственное за организацию обработки персональных данных у оператора.
Комиссия действует до устранения нарушения, допущенного при обработке персональных данных оператором.
Комиссия осуществляет:
- рассмотрение поступившей информации о неправомерной (незаконной) обработке персональных данных;
- установление факта неправомерной обработки персональных данных;
- оценку вреда.
Установление правомерности (законности) обработки персональных данных
Комиссия определяет случай, установленный в запросе (обращении), на соответствие условиям обработки персональных данных, определенных ст.6 Закона о персональных данных, а также правомерность обработки персональных данных в соответствии федеральных законов.
Под неправомерной обработкой персональных данных понимается обработка персональных данных в случаях, не предусмотренных Законом о персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных.
Правомерная обработка персональных данных осуществляется:
- с согласия субъекта персональных данных на обработку его персональных данных;
- для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
- по поручению иного оператора;
- в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации;
- с согласия субъекта персональных данных на обработку его персональных данных, разрешенных им для распространения.
В случае, если обработка персональных данных подпадает под исключающие случаи, установленные п.п.2.1-2.3 п.2 Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных", утвержденных приказом Роскомнадзора от 27.10.2022 г. №178 (далее - приказ Роскомнадзор №178), то обработка персональных данных оператором считается правомерной (законной).
Результаты установления законности обработки персональных данных вносятся в акт оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных" (далее - акт оценки вреда).
Оценка вреда
Комиссия для целей оценки вреда определяет одну из степеней вреда ("Высокий", "Средний", "Низкий"), который может быть причинен субъекту персональных данных в случае нарушения Закона о персональных данных, в соответствии с п.п.2.1-2.3 п.2 приказа Роскомнадзор №178. Результаты оценки вреда оформляются актом оценки вреда.
В случае, если обработка персональных данных оператором правомерна (законна), то комиссия в акте оценки вреда делает заключение о не причинении возможного вреда, а по итогу проведенной оценки вреда заключение (вывод) о правомерной обработке персональных данных без указания степени вреда.
В случае, если обработка персональных данных оператором правомерна (законна) и подпадает под п.п.2.1-2.3 п.2 приказа Роскомнадзора №178, комиссия в акте оценки вреда указывает конкретный подпункт п.2 приказа Роскомнадзор №178 и степень вреда, а по итогу проведенной оценки вреда заключение (вывод) о правомерности обработки персональных данных без указания степени вреда.
В случае, если обработка персональных данных оператором неправомерна и подпадает под п.п.2.1-2.3 п.2 приказа Роскомнадзор №178, комиссия в акте оценки вреда указывает конкретный подпункт п.2 приказа Роскомнадзор №178 и степень вреда, а по итогу проведенной оценки вреда заключение (вывод) о неправомерной обработке персональных данных с указанием степени вреда.
В случае, если по итогам проведенной оценки вреда установлено, что в рамках деятельности оператора по обработке персональных данных субъекту персональных данных могут быть причинены различные степени вреда, подлежит применению более высокая степень вреда.
