1. Главная
  2. Публикации
  3. Персональные данные, защита персональных данных
  4. Оценка вреда, причиненного субъектам персональных данных в случае нарушения ФЗ «О персональных данных»

Оценка вреда, причиненного субъектам персональных данных в случае нарушения ФЗ «О персональных данных»

5 декабря 2022
1527

В июле 2022 года в Федеральный закон «О персональных данных» (далее – Закон о ПД) были внесены поправки Федеральным законом от 14.07.2022 № 266-ФЗ. Согласно этим поправкам, операторы персональных данных должны проводить оценку вреда, который может быть причинен субъектам персональных данных нарушением Закона о ПД.

В результате 28 ноября в Минюсте России был зарегистрирован Приказ Роскомнадзора от 27.10.2022 года № 178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных», который вступит в силу с 1 марта 2023 года.

Оператор определяет одну из степеней вреда, который может быть причинен субъекту ПД при нарушении:

1. Высокая степень в случаях:
  • Обработка биометрических ПД;

  • Обработка специальных категорий ПД, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, сведений о судимости;

  • Обработка ПД несовершеннолетних;

  • Обезличивание персональных данных;

  • Поручение иностранному лицу (лицам) осуществлять обработку ПД граждан РФ;

  • Сбор ПД с использованием баз данных, находящихся за пределами РФ. 

2. Средняя степень в случаях:
  • Распространение ПД на официальном сайте оператора, предоставление ПД неограниченному кругу лиц;

  • Обработка ПД в дополнительных целях, отличных от первоначальной цели сбора;

  • Продвижение товаров, работ, услуг на рынке путем прямых контактов с потенциальным потребителем с использованием баз ПД, владельцем которых является иной оператор;

  • Получение согласия на обработку ПД посредством реализации на сайте функционала, не предполагающего дальнейшую идентификацию и (или) аутентификацию субъекта ПД;

  • Получение согласия на обработку ПД, предполагающего предоставление права осуществлять обработку ПД определенному и(или) неопределенному кругу лиц в целях, несовместимых между собой.

3. Низкая степень в случаях:
  • Ведение общедоступных источников ПД;

  • Назначение в качестве ответственного за обработку ПД лица, не являющегося штатным сотрудником оператора.

Результаты оценки оформляются актом оценки вреда.

Указанные степени вреда показывают возможный вред субъекту ПД и актуальность угроз безопасности, что учитывается Правительством при определении требований к материальным носителям и технологиям.

Ознакомиться с Приказом Вы можете по ссылке: http://publication.pravo.gov.ru/Document/View/0001202211290004?index=3&rangeSize=1


Юридическая фирма “Надмитов, Иванов и Партнеры” консультирует по вопросам защиты и передачи персональных данных.

Email: info@nplaw.ru
Тел.: +7 (495) 649-87-12