Оценка вреда субъектам персональных данных

Дата: 30.11.2022. Автор: Ксения Шудрова. Категории: Блоги экспертов по информационной безопасности
Оценка вреда субъектам персональных данных

 Доброго дня, коллеги! 28 ноября в Минюсте России был зарегистрирован Приказ Роскомнадзора от 27.10.2022 N 178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных». С текстом можно ознакомиться по ссылке.

1.               Приказ вступает в силу с 01.03.2023 года в соответствии с поправками, которые вносит в ФЗ 152 «О персональных данных» Федеральный закон от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности»

П. 5 ч. 1 статьи 18.1 ФЗ «О персональных данных» будет излагаться в следующей редакции:

Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам, в частности, относятся:

5) оценка вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом…

2.               Оценка вреда может производиться как лицом ответственным за организацию обработки персональных данных, так и комиссионно.

3.               Степень вреда может быть оценена как высокая (биометрия, специальные категории, несовершеннолетние, обезличивание, иностранные лица), средняя или низкая.

4.               Указаны требования к акту оценки вреда. Их немного и текст все также остается на усмотрение оператора.

 

На что влияет степень вреда?

 В статье 19 ФЗ 152 «О персональных данных» указано:

3. Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:

1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;

2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

3) требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

 

В Постановлении Правительства 1119 указано:

7. Определение типа угрозбезопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона «О персональных данных», и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона «О персональных данных».

Таким образом, степень вреда влияет на актуальные угрозы, а, значит, и на уровни защищенности персональных данных и, соответственно, на стоимость системы защиты персональных данных.

С другими изменениями, которые внесены 266 Федеральным законом вы можете ознакомиться в моей статье для журнала «Информационная безопасность» (ссылка, доступ свободный).

По вопросам сотрудничества и приобретения моих книг (электронных) обращайтесь:

Вконтакте: https://vk.com/shudrova
telegram: @KseniaShudrova

Источник — блог Ксении Шудровой «Защита персональных данных и не только — книга рецептов».

Об авторе Ксения Шудрова

Эксперт по ИБ, автор блога "Защита персональных данных и не только - книга рецептов".
Читать все записи автора Ксения Шудрова

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *