С 1 марта 2023 до 1 марта 2029 года работодатели должны проводить оценку вреда, который может быть нанесен работнику в случае утечки его персональных данных.
С 01.03.2023 начал действовать Федеральный закон № 266-ФЗ от 14.07.2022, внесший поправки в Федеральный закон № 152-ФЗ от 27.07.2006 «О персональных данных».
В ст. 18.1 закона № 152-ФЗ введено положение о том, что оператор данных сам принимает меры, которые направлены на выполнение обязанностей, предусмотренных этим законом.
В частности, юрлицо, которое является оператором персональных данных, должно назначить ответственного за обработку таких данных. Кроме того, оператору необходимо издать документы и локальные нормативные акты, регулирующие обработку персональных данных. В этих документах следует определить, какие данные, каким способом и в какие сроки будут обрабатываться, храниться и уничтожаться.
Одно из главных нововведений — оператор данных обязан проводить оценку вреда, который может причинить субъекту персональных данных нарушение вышеупомянутого закона. Требования к оценке вреда установлены Приказом Роскомнадзора № 178 от 27.10.2022.
Оценивать потенциальный вред должен ответственный за обработку таких данных или комиссия, образованная оператором данных.
Всего предусмотрены три степени вреда:
- высокая — если обрабатываются биометрические персональные данные и данные, которые оператор использует для установления личности субъекта персональных данных. Сюда входят сведения о политических взглядах и религиозных убеждениях, состоянии здоровья, данные несовершеннолетних, используемые для заключения договора по инициативе несовершеннолетнего, и т. д.;
- средняя — если персональные данные распространяются на официальном интернет-сайте оператора или предоставляются неограниченному кругу лиц или обрабатываются в дополнительных целях, отличающихся от изначальной цели сбора данных, и т. д.;
- низкая — если ведутся общедоступные источники данных, которые сформированы согласно ст. 8 закона № 152-ФЗ, или ответственным за обработку данных назначено лицо, не входящее в штат оператора.
Результаты оценки вреда оформляют актом. Туда включают наименование или Ф.И.О., а также адрес оператора, даты издания акта и проведения оценки, Ф.И.О., должность и подпись оценивающего вред лица и степень потенциального вреда субъекту персональных данных.
При этом если установлено, что субъекту могут причиняться разные степени вреда, применяют более высокую степень.
Читайте дополнительно по теме:
