Роскомнадзор утвердил порядок оценки вреда, который может быть нанесен владельцу персональных данных при их обработке.
Кроме требований к подтверждению факта уничтожения документов, установленных приказом Роскомнадзора от 28.10.2022 № 179, с 1 марта 2023 года вступает в силу еще один документ ведомства об оценке вреда, нанесенного владельцу персональных данных.
Это Приказ Роскомнадзора от 27.10.2022 № 178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных».
Оценка вреда понадобится, если сотрудники предъявят претензии к компании и потребуют возместить моральный вред, если докажут в суде, что компания нарушает законодательство о персональных данных. Степень вреда важна и при назначении штрафа контролирующими органами. Штраф и моральный вред может возмещаться как компанией, так и руководителем.
Что касается кадровика или работника, ответственного за обработку персональных данным, ему грозит дисциплинарное взыскание за нарушение правил работы.
Три степени вреда при обработке персональных данных
Степени вреда установлены Приказом Роскомнадзора от 27.10.2022 № 178, который вступает в силу с 1 марта 2023 года.
Для оценки вреда, который мог быть нанесен ответственным за организацию обработки данных создается комиссия. У нее есть право присвоить одну из трех степеней вреда:
- Высокая.
- Средняя.
- Низкая.
Высокая степень вреда устанавливается, если:
- обрабатывались сведений о физиологических и биологических особенностях, на основании которых можно установить его личность (биометрические персональные данные);
- обрабатывались специальные категорий персональных данных, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, сведений о судимости;
- обрабатывались персональных данных несовершеннолетних;
- данные обработали для оценочных (скоринговых) исследований, оказания услуг по прогнозированию поведения потребителей товаров и услуг, а также иных исследований, не предусмотренных п.9 ч.1 ст.6 Закона о персональных данных;
- обработку персональных данных граждан Российской Федерации поручили иностранному лицу;
- персональные данные хранились с использованием баз данных, находящихся за пределами Российской Федерации.
Среднюю степень вреда устанавливается, если:
- персональные данные распространены на официальном сайте в сети Интернет оператора, предоставлены неограниченному кругу лиц, за исключением случаев, установленных законодательством;
- обработка персональных данных в дополнительных целях, отличалась от первоначальной цели сбора;
- персданные, владельцем которых является иной оператор, использованы для продвижения товаров, работ, услуг на рынке путем прямых контактов;
- согласие на обработку персональных данных получено на официальном сайте в Интернет без дальнейшей идентификацию и (или) аутентификации владельца;
Низкую степень вреда устанавливается, если:
- сведения собраны из общедоступных источников персональных данных, сформированных в соответствии со статьей 8 Закона о персональных данных.
- в качестве ответственного за обработку персональных данных назначено лицо, не являющееся штатным сотрудником оператора.
Результаты оценки вреда оформляются актом оценки вреда, который должен содержать:
- наименование или фамилию, имя, отчество (при наличии) и адрес оператора;
- дату издания акта оценки вреда;
- дату проведения оценки вреда;
- фамилию, имя, отчество, должность лиц, проводивших оценку вреда, их подписи;
- степень вреда, которая может быть причинена субъекту персональных данных.