Бизнес обязали оценивать вред при нарушении работы с персданными

Роскомнадзор установил требования к оценке вреда, который может быть причинен лицам, в случае нарушения требований, предъявляемым к работе с персональными данными. Соответствующий Приказ Роскомнадзора от 27.10.2022 № 178 начнет применяться с 1 марта 2023 года.

Новые обязанности касаются компаний и ИП – операторов персональных данных. Они должны оценивать вред, который может быть причинен субъектам персданных в случае нарушения требований Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».

Оценка вреда осуществляется либо ответственным за организацию обработки персональных данных либо комиссией, образуемой оператором.

По итогам оценки присваивается степень вероятности вреда:

• высокая;
• средняя;
• низкая.

Высокая степень присваивается в случаях:

• обработки сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персданных;
• обработки специальных категорий персданных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, сведений о судимости;
• обработки персональных данных несовершеннолетних для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является несовершеннолетний, а также для заключения договора по инициативе несовершеннолетнего или договора, по которому несовершеннолетний будет являться выгодоприобретателем или поручителем;
• обезличивания персональных данных, в том числе с целью проведения оценочных (скоринговых) исследований, оказания услуг по прогнозированию поведения потребителей товаров и услуг;
• поручения иностранному лицу (иностранным лицам) осуществлять обработку персональных данных граждан РФ;
• сбора персональных данных с использованием баз данных, находящихся за пределами РФ.

Средняя оценка вреду дается в случаях:

• распространения персональных данных на официальном сайте оператора в Интернете, а равно предоставление персональных данных неограниченному кругу лиц;
• обработки персданных в дополнительных целях, отличных от первоначальной цели сбора;
• продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с использованием баз персональных данных, владельцем которых является иной оператор;
• получения согласия на обработку персданных посредством реализации на официальном сайте в сети Интернет функционала, не предполагающего дальнейшую идентификацию и (или) аутентификацию субъекта персональных данных;
• осуществления деятельности по обработке персональных данных, предполагающей получение согласия на обработку персональных данных, содержащего положения о предоставлении права осуществлять обработку персональных данных определенному и (или) неопределенному кругу лиц в целях, несовместимых между собой.

О низкой степени вреда можно говорить в случаях:

• ведения общедоступных источников персональных данных;
• назначения в качестве ответственного за обработку персональных данных лица, не являющегося штатным сотрудником оператора.

По итогам оценки вреда оформляется акт его оценки.

В случае если по итогам проведенной оценки вреда установлено, что в рамках деятельности по обработке персональных данных субъекту персональных данных могут быть причинены различные степени вреда, подлежит применению более высокая степень вреда.