Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 27 октября 2022 г. № 178 "Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных"
Цель документа:
Утверждение требований к оценке вреда, причиняемого субъектам персональных данных (ПДн) при нарушении закона № 152-ФЗ «О персональных данных».
Срок действия:
С 1 марта 2023 г. по 1 марта 2029 г. (6 лет).
Кто проводит оценку:
- Ответственное лицо за обработку ПДн;
- Комиссия, созданная оператором.
Степени вреда:
Высокая (критичные случаи):
- Обработка биометрических данных (например, для идентификации личности);
- Работа со специальными категориями ПДн (раса, здоровье, судимость и т.д.);
- Использование данных несовершеннолетних вне рамок закона;
- Обезличивание данных для скоринга, прогнозирования поведения;
- Передача ПДн иностранным компаниям или сбор через зарубежные базы.
Средняя (менее критичные случаи):
- Публикация ПДн в открытом доступе (например, на сайте);
- Обработка данных в целях, не связанных с первоначальным сбором;
- Продвижение товаров через чужие базы ПДн;
- Сбор согласия на обработку без идентификации субъекта;
- Противоречивые условия в согласии на обработку.
Низкая степень вреда (минимальные риски):
- Ведение общедоступных источников ПДн (например, справочники, реестры), созданных в рамках ст. 8 закона № 152-ФЗ.
- Назначение ответственного за обработку ПДн лица, не являющегося штатным сотрудником оператора.
Оформление результатов:
Результаты оценки фиксируются в акте оценки вреда, который должен содержать:
- Наименование/ФИО и адрес оператора;
- Дату составления акта и проведения оценки;
- ФИО и подписи лиц, проводивших оценку;
- Определенную степень вреда (высокая, средняя, низкая).
- Электронный акт, подписанный квалифицированной электронной подписью, приравнивается к бумажному.
Важно: Если выявлены разные степени вреда для одного случая, применяется наибольшая из них.
Интересные факты:
Биометрия и несовершеннолетние: Высокая степень вреда автоматически присваивается при работе с этими категориями, что отражает их повышенную уязвимость.
Даже анонимизированные данные могут представлять риск, если используются для анализа поведения (например, скоринг).
Любая передача ПДн за рубеж или обработка иностранными компаниями автоматически считается высокорисковой.
Контроль за интернетом: Распространение ПДн на сайте оператора (даже легальное) попадает под регулирование.
Общедоступные источники ПДн (например, телефонные справочники) отнесены к низкой степени вреда, но их создание всё равно требует формальной оценки. Это подчеркивает, что даже легальные публичные базы данных не освобождают оператора от соблюдения процедур.
Электронный акт с ЭП: разрешение использовать цифровой документ ускоряет процессы, но требует соблюдения закона № 63-ФЗ «Об электронной подписи». Это стимулирует операторов переходить на электронный документооборот.