Федеральный закон от 14 июля 2022 года №266-ФЗ дополнил часть 1 статьи 18.1 «Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом» федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных» пунктом 5 следующего содержания:
5) оценка вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом;
Приказом Роскомнадзора от 27 октября 2022 года №178 утверждены «Требования к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных»».
Оценка вреда, который может быть причинен субъектам персональных данных (ПДн) в случае нарушения федерального закона «О персональных данных» осуществляется ответственным за организацию обработки персональных данных либо комиссией, образуемой оператором ПДн (п.1).
Оператор для целей оценки вреда определяет одну из степеней вреда, который может быть причинен субъекту ПДн (п.2): высокую, среднюю или низкую.
Высокая степень вреда устанавливается в случаях:
- Обработки сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические ПДн) и которые используются оператором для установления личности субъекта ПДн, за исключением случаев, установленных федеральными законами, предусматривающими цели, порядок и условия обработки биометрических ПДн;
- Обработки специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, сведений о судимости, за исключением случаев, установленных федеральными законами, предусматривающими цели, порядок и условия обработки специальных категорий ПДн;
- Обработки персональных данных несовершеннолетних для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является несовершеннолетний, а также для заключения договора по инициативе несовершеннолетнего или договора, по которому несовершеннолетний будет являться выгодоприобретателем или поручителем в случаях, не предусмотренных законодательством РФ;
- Обезличивания ПДн, в том числе с целью проведения оценочных (скоринговых) исследований, оказания услуг по прогнозированию поведения потребителей товаров и услуг, а также иных исследований, не предусмотренных пунктом 9 части 1 статьи 6 Закона о персональных данных;
- Поручения иностранному лицу (иностранным лицам) осуществлять обработку ПДн граждан РФ;
- Сбора ПДн с использованием баз данных, находящихся за пределами РФ.
Средняя степень вреда устанавливается в случаях:
- Распространения ПДн на официальном сайте в сети «Интернет» оператора, а равно предоставление ПДн неограниченному кругу лиц, за исключением случаев, установленных федеральными законами, предусматривающими цели, порядок и условия такой обработки ПДн;
- Обработки ПДн в дополнительных целях, отличных от первоначальной цели сбора;
- Продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с использованием баз ПДн, владельцем которых является иной оператор;
- Получения согласия на обработку ПДн посредством реализации на официальном сайте в сети «Интернет» функционала, не предполагающего дальнейшую идентификацию и (или) аутентификацию субъекта ПДн;
- Осуществления деятельности по обработке ПДн, предполагающей получение согласия на обработку ПДн, содержащего положения о предоставлении права осуществлять обработку ПДн определенному и (или) неопределенному кругу лиц в целях, несовместимых между собой.
Низкая степень вреда устанавливается в случаях:
- Ведения общедоступных источников персональных данных;
- Назначения в качестве ответственного за обработку ПДн лица, не являющегося штатным сотрудником оператора.
Результаты оценки вреда оформляются актом оценки вреда (п.3).
Акт оценки вреда должен содержать (п.4):
- Наименование или фамилию, имя, отчество (при наличии) и адрес оператора;
- Дату издания акта оценки вреда;
- Дату проведения оценки вреда;
- Фамилию, имя, отчество (при наличии), должность лиц (лица) (при наличии), проводивших оценку вреда, а также их (его) подпись;
- Степень вреда, которая может быть причинена субъекту ПДн.
Акт оценки вреда в электронной форме, подписанный в соответствии с федеральным законом электронной подписью, признается электронным документом, равнозначным акту оценки вреда на бумажном носителе, подписанному собственноручной подписью (п.5).
В случае если по итогам проведенной оценки вреда установлено, что в рамках деятельности по обработке ПДн субъекту персональных данных могут быть причинены различные степени вреда, подлежит применению более высокая степень вреда (п.6).
Мой комментарий: При оценке степени потенциального вреда предлагается использовать формально-бюрократический подход, напрочь игнорирующий особенности обработки конкретных персональных данных, в том числе имеющиеся практический опыт и судебную практику. Степень вреда, скорее всего, будет неоправданно завышаться. Как показывает богатый международный опыт, подобные бюрократические «упражнения» имеют мало общего с реальной защитой персональных данных и минимизацией вреда от их раскрытия.
Помимо того, у авторов «Требований» серьёзные проблемы с логикой. Какое отношение степень вреда имеет к местонахождению баз, из которых брались персональные данные? Почему находящиеся вне РФ базы данных заведомо «плохие» - а если, например, эти базы ведут компетентные зарубежные органы власти или заслуживающие доверия организации, которые предоставляют данные России в соответствии с межгосударственными и международными соглашениями (например, если это могут быть базы белорусского КГБ или турецкого авиаперевозчика)?
Источник: Консультант Плюс
https://www.consultant.ru/cons/cgi/online.cgi?req=doc&base=LAW&n=432555
Комментариев нет:
Отправить комментарий