Как оценить уровень возможного вреда при работе с персональными данными

Роскомнадзор продолжает расширять и уточнять правила охраны персональных данных. 1 марта 2023 года вступил в силу приказ № 178. Теперь организации, ИП, самозанятые и даже физлица, которые собирают персональные данные, должны оценивать вред от возможной утечки информации. В приказе дана инструкция по тому, как именно оператор должен определять степень такого ущерба. Рассмотрим новые правила более детально.

Зачем нужно определять уровень возможного вреда

Каждая компания, которая собирает данные своих сотрудников и клиентов, должна оценивать потенциальный ущерб, то есть предугадывать проблемы, с которыми столкнутся пользователи, если их персональные данные будут похищены. Оценивать уровень возможного вреда нужно для того, чтобы определить последствия утечки данных и найти способы предотвратить будущие нарушения. На основе результатов этого анализа компания разрабатывает механизмы для защиты персональных данных.

Оценку вреда должен выполнять сотрудник компании, который отвечает за работу с персональными данными. Кроме того, предприниматель может назначить специальную комиссию и поручить анализ ей. Сотрудникам требуется определить степень возможного ущерба, который возникнет, если правила обработки данных будут нарушены. В приказе РКН перечислены три степени возможного ущерба.

Как оценить степень ущерба

Роскомнадзор выделил три уровня возможного вреда: высокий, средний и низкий. Степень ущерба зависит от типа персональных данных, которые собирает компания, и от того, кто отвечает за обработку информации о пользователях.

Высокая степень возможного ущерба назначается, если оператор:

• собирает биометрические данные пользователей: отпечатки пальцев, рисунок сетчатки, звук голоса, рост или вес человека;
• обрабатывает сведения о расе и национальности пользователя, его религиозных и философских убеждениях, состоянии здоровья и интимной жизни, информацию о судимости;
• работает с персональными данными несовершеннолетних;
• поручает иностранцу обрабатывать данные россиян;
• собирает сведения с помощью баз данных, которые находятся не на территории России;
• обезличивает персональные данные для анализа поведения потребителей, оценки заёмщиков и других исследований.

Средняя степень связана с тем, что оператор:

• показывает персональные данные пользователей на своём официальном сайте или даёт доступ к ним неограниченному кругу лиц;
• меняет цель обработки данных: изначально запрашивает сведения по одной причине, а затем использует их для другого;
• напрямую предлагает потенциальным клиентам товары и услуги, используя базы персональных данных, которыми владеет другой оператор;
• запрашивает согласие на обработку данных на своём сайте и после не проводит проверку пользователя;
• собирает персональные данные и разрешает обрабатывать их другим лицам, цели которых несовместимы между собой.

Низкую степень возможного вреда устанавливают, если оператор:

• назначает для обработки данных сотрудника, который не входит в его постоянный штат;
• ведёт общедоступный архив персональных данных: справочник, адресную книгу. Правила работы с такими источниками указаны в статье 8 закона № 152-ФЗ.

Если пользователи могут получить разноуровневый ущерб, оператор должен учитывать более высокую степень возможного вреда. Например, если обработкой данных для компании занимается человек, который не входит в её штат (низкий уровень), и оператор хранит биометрию (высокий уровень), то степень потенциального вреда оценивается как высокая.

Как составить акт оценки вреда

Результаты оценки возможного ущерба нужно внести в акт оценки вреда. Пока что РКН не разработал единую форму для этого документа. Однако в приказе № 178 дан перечень сведений, которые необходимо указать в акте. Акт оценки вреда должен содержать:

• информацию об операторе персональных данных: название организации или ф. и. о. индивидуального предпринимателя, адрес юрлица или ИП;
• дату, когда был составлен акт;
• дату проведения оценки возможного вреда;
• сведения о сотрудниках, которые занимались оценкой вреда: их ф. и. о., должности;
• информацию о степени потенциального вреда, который оператор может нанести субъектам персональных данных.

Акт должен быть подписан сотрудниками, которые проводили анализ. Согласно приказу Роскомнадзора, подготовить можно как бумажный, так и электронный документ. Электронный акт оценки вреда необходимо заверить усиленной квалифицированной электронной подписью (УКЭП), выпущенной на имя членов комиссии. Электронный документ получит юридическую силу только после применения УКЭП.

Акт оценки потенциального вреда нужно хранить в компании постоянно. Если оператор изменит политику обработки персональных данных, сотрудникам потребуется повторно провести анализ возможного ущерба и составить новый акт.

Акт оценки вреда может потребоваться, если:

• сотрудники предъявят компании требование компенсировать моральный ущерб, который им причинил работодатель, нарушивший закон о защите персональных данных;
• Роскомнадзор или другой контролирующий орган заставит оператора платить штраф;
• у оператора возникнет претензия к сотруднику, который отвечает за обработку персональных данных.