Оценка вреда субъектам персональных данных
Доброго
дня, коллеги! 28 ноября в Минюсте России был зарегистрирован Приказ
Роскомнадзора от 27.10.2022 N 178 «Об утверждении Требований к оценке вреда,
который может быть причинен субъектам персональных данных в случае нарушения
Федерального закона «О персональных данных». С текстом можно ознакомиться по ссылке.
1.
Приказ вступает
в силу с 01.03.2023 года в соответствии с поправками, которые вносит в ФЗ 152 «О
персональных данных» Федеральный закон от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности».
П. 5
ч. 1 статьи 18.1 ФЗ «О персональных данных» будет излагаться в следующей
редакции:
Оператор
обязан принимать меры, необходимые и достаточные для обеспечения выполнения
обязанностей, предусмотренных настоящим Федеральным законом и принятыми в
соответствии с ним нормативными правовыми актами. Оператор самостоятельно
определяет состав и перечень мер, необходимых и достаточных для обеспечения
выполнения обязанностей, предусмотренных настоящим Федеральным законом и
принятыми в соответствии с ним нормативными правовыми актами, если иное не
предусмотрено настоящим Федеральным законом или другими федеральными законами. К
таким мерам, в частности, относятся:
…
5) оценка вреда в
соответствии с требованиями, установленными уполномоченным органом по защите
прав субъектов персональных данных, который может быть причинен субъектам персональных данных в случае
нарушения настоящего Федерального закона, соотношение указанного вреда и
принимаемых оператором мер, направленных на обеспечение выполнения
обязанностей, предусмотренных настоящим Федеральным законом…
2.
Оценка вреда может производиться как лицом ответственным за организацию
обработки персональных данных, так и комиссионно.
3. Степень вреда может быть
оценена как высокая (биометрия, специальные категории, несовершеннолетние,
обезличивание, иностранные лица), средняя или низкая.
4.
Указаны
требования к акту оценки вреда. Их немного и текст все также остается на
усмотрение оператора.
На что влияет степень
вреда?
персональных данных» указано:
3. Правительство Российской
Федерации с учетом возможного вреда субъекту
персональных данных, объема и содержания обрабатываемых персональных
данных, вида деятельности, при осуществлении которого обрабатываются
персональные данные, актуальности угроз безопасности персональных данных устанавливает:
1) уровни
защищенности персональных данных при
их обработке в информационных системах персональных данных в зависимости от
угроз безопасности этих данных;
2) требования к защите персональных данных при их обработке в
информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности
персональных данных;
3) требования к материальным носителям биометрических персональных
данных и технологиям хранения таких данных вне информационных систем персональных данных.
В Постановлении Правительства
1119 указано:
7. Определение типа угроз
безопасности персональных данных, актуальных для информационной системы,
производится оператором с учетом оценки возможного
вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1
Федерального закона «О персональных данных», и в соответствии с
нормативными правовыми актами, принятыми во исполнение части 5 статьи 19
Федерального закона «О персональных данных».
С другими изменениями, которые
внесены 266 Федеральным законом вы можете ознакомиться в моей статье для журнала
«Информационная безопасность» (ссылка, доступ
свободный).
По вопросам сотрудничества и приобретения моих книг (электронных) обращайтесь:
Источник — блог Ксении Шудровой «Защита персональных данных и не только — книга рецептов».
