Роскомнадзор установил правила оценки потенциального ущерба, который владелец личной информации может понести в ходе её обработки.
Помимо норм о подтверждении уничтожения бумаг, утверждённых распоряжением Роскомнадзора от 28.10.2022 № 179С первого марта двадцать третьего года действует новый приказ министерства о подсчете убытков владельцам личной информации.
Приказ Роскомнадзора от 27 октября 2022 года № 178 «Об утверждении требований к оценке вреда, который может быть причинен субъектам персональных данных при нарушении Федерального закона «О персональных данных»».
Определение ущерба потребуется в случае предъявления сотрудниками претензий компании с требованием компенсации морального вреда. В суде это необходимо для доказательства нарушения законодательства о персональных данных. Уровень причиненного вреда имеет значение и при назначении штрафов контролирующими органами. Штраф и моральный ущерб могут возмещать как компания, так и руководитель.
За нарушение правил обработки персональных данных кадровик или отвечающий за это сотрудник может быть подвергнут дисциплинарному взысканию.
Три уровня ущерба от обработки личной информации.
Роскомнадзор установил степени вреда приказом от 27 октября 2022 года № 178, который начнет действовать с 1 марта 2023 года.
Для оценки возможного ущерба учреждается комиссия, отвечающая за организацию обработки данных.
- Высокая.
- Средняя.
- Низкая.
Показатель значительного вреда определяется, если…
- Обрабатывались сведения о физиологических и биологических особенностях для установления личности (биометрические персональные данные).
- Обрабатывались особые категории персональных данных: сведения о расе, национальности, политических убеждениях, религиозных и философских взглядах, состоянии здоровья, интимной жизни, а также данные о судимости.
- обрабатывались персональных данных несовершеннолетних;
- Данные использовались для оценочных исследований, сервисов предсказания поведения покупателей товаров и услуг, а также других исследований, не упомянутых в пункте 9 части 1 статьи 6 Закона о персональных данных.
- Обработка личных данных российских граждан возложена на иностранного гражданина.
- Персональная информация размещалась в базах данных, расположенных за границами России.
Устанавливается средняя степень вреда, если:
- На официальном сайте оператора в сети Интернет распространяются персональные данные неограниченному кругу лиц, кроме случаев, предусмотренных законом.
- Обработка личных сведений для целей, отличных от изначального назначения их сбора, имела отличия.
- Данные, принадлежащие другому оператору, применяются для рекламы товаров, работ и услуг через личные обращения.
- Согласие на обработку персональных данных получено на официальном сайте в интернете, без дополнительной проверки личности владельца.
Нарушение причиняет небольшой вред.
- Информация получена из открытых источников по обработке личных данных, составленных согласно статье 8 закона о персональных данных.
- Обработка персональных данных поручена лицу, не работающему на постоянной основе у оператора.
Оценка ущерба фиксируется в акте об оценке ущерба, включающем:
- Имя, фамилия, отчество (если есть) и адрес лица, осуществляющего деятельность.
- Дата выпуска документа об определении ущерба.
- дату проведения оценки вреда;
- Фамилия, имя, отчество и должность специалистов, оценивших вред, а также их подписи.
- Возможный ущерб, который может быть нанесен лицу, обладающему персональными данными.