252 подписчика

Оценка вероятного вреда при обработке ПДн: что нужно знать о новом требовании

С 1 марта 2023 года вступили в силу изменения в Федеральный закон от 27 июля 2006 № 152-ФЗ «О персональных данных», предусмотренные отложенными положениями Закона № 266-ФЗ от 14 июля 2022, а также ряд приказов Роскомнадзора.

Изменения необходимо учесть операторам по работе с персональными данными. В их числе любые организации и ИП, получающие и использующие ПДн граждан.

Одно из новых требований — оценка вероятного вреда при обработке ПДн.

Вероятный вред – это ущерб, который оператор может причинить субъектам ПДн, нарушив закон «О персональных данных». Требования к оценке такого вреда утвердил РКН (Приказ № 178 от 27.10.2022).

Ответственный сотрудник оператора должен оценить степень угроз в зависимости от качества обрабатываемых данных.

Степеней угроз — три

Высокая:

· оператор обрабатывает биометрические данные;

· специальные категории ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и т.п.;

· сведения о несовершеннолетних.

Средняя:

· ПДн распространяются на официальном интернет-сайте оператора и доступны неограниченному кругу лиц;

· оператор предлагает товары, работы, услуги, напрямую взаимодействуя с потребителем и используя базы другого оператора;

· обработка данных ведётся в дополнительных целях, отличных от первоначальной цели сбора;

· согласия на обработку ПДн получено посредством реализации на официальном интернет-сайте функционала, не предполагающего дальнейшую идентификацию и (или) аутентификацию субъекта ПДн;

· обработка ПДн предполагает получение согласия на обработку ПДн, содержащего положения о предоставлении права осуществлять обработку ПДн определённому и (или) неопределённому кругу лиц в целях, несовместимых между собой.

Низкая. Устанавливается в случаях:

· ведения общедоступных источников персональных данных, сформированных в соответствии со ст. 8 Закона № 152-ФЗ;

· назначения в качестве ответственного за обработку персональных данных лица, не являющегося штатным сотрудником оператора.

Степень угроз оценивает формируемая оператором комиссия или ответственный за обработку ПДн сотрудник. Результат оценки и присвоенную степень вреда указывают в акте.

Правила ввели на 6 лет — до 1 марта 2029 года.

Помимо оценки вероятного вреда при обработке ПДн, новшества коснулись уведомлений РКН, ограничений при передаче ПДн за рубеж, уничтожения данных. Об этих изменениях подробнее рассказываем в материале

Оценка вероятного вреда при обработке ПДн: что нужно знать о новом требовании С 1 марта 2023 года вступили в силу изменения в Федеральный закон от 27 июля 2006 № 152-ФЗ «О персональных данных»,...

2 минуты

21 апреля 2023