Оценка вреда субъектам персональных данных: как провести и составить акт

Оценка вреда субъектам персональных данных – важный процесс, направленный на определение потенциальных рисков, которым могут подвергаться физические лица в случае нарушения обработки их данных. В 2022 году Роскомнадзор утвердил новые требования к такому анализу (Приказ № 178 от 27.10.2022). В статье рассмотрим, как организовать процесс оценки, какие документы потребуются и как правильно составить акт.

Бланк акта оценки возможного вреда субъектам персданных Бланк приказа о проведении оценки возможного вреда субъектам персданных

Оценка вреда: персональные данные

Оценка вреда персональным данным – это процедура, которую проводит оператор ПД или специально созданная комиссия. Она направлена на определение степени ущерба, который грозит субъекту ПД в случае утечки, несанкционированного доступа или прочих нарушений закона 152-ФЗ.

Процедура может потребоваться, если оператору поступит информация о нарушении обработки персональных данных от самого субъекта или при запросе / требовании Роскомнадзора. В некоторых случаях уместно провести внутренний анализ, чтобы определить слабые места при хранении и обработке разных типов ПД.

Какая ответственность грозит за различные виды нарушений ПД – читайте в статье

Обратите внимание! Госдума ввела новые штрафы за нарушения в области персональной информации, а также увеличила действующие и ввела уголовную ответственность за незаконное использование или кражу ПД (ст. 137 УК РФ).

В результате определения оценки вреда субъектам персональных данных допускается два варианта заключения:

• обработка была правомерна, возможный вред не был причинен,
• обработка была с нарушениями и подпадает под подпункты 2.1-2.3 Требований 178. В таком случае нужно в заключении указать потенциальную степень вреда.

Реальные случаи утечки персональных данных и последствия:

1. Утечка данных медицинских карт (2021) В Москве в результате ошибки клиники в сеть попали медицинские карты пациентов, включая диагнозы и историю лечения. Суд обязал компанию выплатить компенсации пострадавшим, а Роскомнадзор наложил административный штраф.
2. Утечка данных СДЭК (2022) В результате нарушения в системе СДЭК в открытом доступе оказались персональные данные клиентов: телефоны, адреса доставки и паспортные данные. Роскомнадзор инициировал проверку и предписал устранить уязвимость.
3. Утечка данных клиентов банка (2023) В одной из российских кредитных организаций произошла утечка данных клиентов, содержащих информацию о счетах и транзакциях. Банк был оштрафован, а пострадавшим клиентам были предложены компенсации за возможные финансовые риски.

Что делать, если в компании произошла утечка ПД, – читайте ответ экспертов ИПК

Соблюдение требований РКН поможет компании и должностным лицам, занимающимся ПД, избежать штрафов и снизить риски нарушения закона. Важно правильно организовать процесс, определить степень вреда и оформить акт в соответствии с установленными требованиями. Рекомендуем изучить наш курс «Персональные данные работников: правила работы для кадровых служб», чтобы ориентироваться в сфере ПД с учетом актуальных изменений в законах.

Оценка вреда, причиненного субъектам персональных данных: как организовать

Если компания получила информацию, что в ней происходят нарушения, связанные в ПД, она обязана в кратчайшие сроки собрать комиссию для устранения факта незаконной обработки. В составе комиссии должно быть не менее трех сотрудников, один из которых является ответственным за персданные в организации.

Чтобы оценить последствия утечки, нужно учитывать:

• типы и категории персданных (обычные, биометрические, специальные);
• возможные последствия их разглашения;
• вероятность наступления негативных последствий;
• законность обработки данных;
• меры защиты, применяемые оператором, в том числе план действия в случае нарушении безопасности. Это работа с надзорными органами, уведомление самих субъектов и т.д.

Требования к оценке вреда персональных данных утверждены Роскомнадзором (Приказ от 27.10.2022 года № 178). В них содержится алгоритм проведения оценки, описание необходимых документов и их оформления.

Процедура включает несколько этапов:

1. Создание комиссии или назначение ответственного лица. Оператор обязан определить, кто будет заниматься анализом рисков.
2. Определение степени вреда. Приказ № 178 выделяет три уровня:
• Высокий – обработка биометрических и специальных категорий данных, а также персональных данных несовершеннолетних без оснований.
• Средний – распространение персональных данных в интернете, обработка в несогласованных целях, маркетинговое использование без согласия.
• Низкий – обработка данных из открытых источников, назначение нештатного сотрудника ответственным за данные.
3. Фиксация результатов в акте оценки вреда.

Важно! Если при проведении оценки вреда персональным данным комиссия сочтет, что субъекту ПД могут быть нанесены различные степени вреда, в акте указывается более высокая из них (п. 6 Требований 178).

Какие документы нужны для оценки вреда персональным данным

Оценка возможного вреда субъектам персональных данных производится оператором с помощью следующей документации:

• внутренний приказ о проведении оценки;
• материалы анализа рисков;
• перечень обработанных персональных данных;
• акт оценки вреда субъектам персональных данных.

Приказ составляют в свободной форме. В нем обязательно нужно указать:

• наименование компании и ее реквизиты;
• дату и номер документа,
• подзаголовок (Об определении вреда субъектам ПД)
• Информация о том, в какие сроки нужно собрать комиссию и предоставить акт. Назначение ответственного.
• Подпись руководителя.

Приказ об оценке вреда субъектам персональных данных скачать здесь

Материалы анализа рисков включают в себя:

• перечень обрабатываемых персональных данных;
• анализ возможных угроз;
• степень потенциального вреда;
• меры по снижению рисков.

Возможные проблемы при оформлении документов:

1. Недостаточная детализация рисков. Важно подробно описывать возможные угрозы и их последствия, иначе акт может быть признан несоответствующим требованиям.
2. Отсутствие утвержденных критериев оценки. Внутренний приказ должен четко определять методологию оценки вреда.
3. Ошибка в классификации степени вреда. Неправильное определение уровня угрозы может привести к недостаточным мерам защиты.
4. Отсутствие ответственных лиц. В приказе и акте должны быть указаны конкретные сотрудники, проводившие оценку.
5. Нарушение сроков оформления. Задержка с составлением акта может привести к административным штрафам и усиленному вниманию со стороны контролирующих органов.

Акт оценки вреда персональным данным: как составить

Акт оценки вреда персональным данным составляют в бумажном или электронном формате. Во втором случае его нужно заверить ЭЦП. Утвержденной формы для такого документа нет, поэтому можно использовать принятую в организации форму для документооборота.

Акт должен содержать следующие сведения (п. 4 Требований 178):

• данные об операторе (наименование ООО или ФИО, адрес);
• дату издания документа и дату проведения мероприятия по оценке вреда (внутри текста);
• состав комиссии: ФИО, должности и личные подписи;
• результаты оценки.

В результатах комиссия должна указать потенциальную степень вреда, но также лучше добавить дополнительные сведения:

• о категории данных (например, биометрические, медицинские, общие);
• о вероятных последствиях (мошенничество, утечка конфиденциальной информации и т.д.)

Образец акта оценки вреда персональным данным скачать здесь

Читайте на сайте статьи по теме Ответственный за персональные данные: кого и как назначить Трансграничная передача персональных данных по новым требованиям Согласие на обработку персональных данных: последние требования закона Аудит персональных данных: как провести по новым правилам Ответственность за разглашение персональных данных Уничтожение персональных данных: как соблюсти новые требования Биометрические персональные данные: понятие и правила обработки