Аналитика

с комментариями специалистов «Акцепт Групп»

🠔

Аналитический обзор законодательства - постоянная рубрика специализированных журналов «МикроФинан$ист» и «Финансовый мониторинг в сфере ПОД/ФТ».

Журналы издаются компаний «Акцепт Групп» ежемесячно для субъектов финансового рынка.

Узнать подробнее и получить свежий выпуск

Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 27 октября 2022 г. № 178

«Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных»

Роскомнадзор утвердил требования к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных».

Такую оценку осуществляет ответственный сотрудник в организации или комиссия, образуемая оператором ПД. Для проведения такой оценки определяется степень вреда.

Так, высокая степень вреда ставится, если в организации осуществляется:

Обработка биометрических ПД
Обработка специальной категории ПД
Обработка ПД несовершеннолетних для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является несовершеннолетний; обезличивание ПД, в том числе с целью проведения оценочных (скоринговых) исследований, оказания услуг по прогнозированию поведения потребителей товаров и услуг, а также иных исследований
Обработка ПД иностранным лицом (лицами) граждан РФ
Сбор персональных данных с использованием баз данных

Средняя степень вреда проставляется, если в организации осуществляется:

Распространение ПД на официальном сайте в сети Интернет и предоставление ПД неограниченному кругу лиц
Обработка ПД в дополнительных целях, отличных от первоначальной цели сбора
Продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с использованием баз персональных данных, владельцем которых является иной оператор
Получение согласия на обработку ПД на официальном сайте в сети Интернет (без идентификации пользователя)
Получение согласия на обработку ПД, содержащего положения о предоставлении права осуществлять обработку ПД определенному и (или) неопределенному кругу лиц в целях, несовместимых между собой

Низкая степень вреда проставляется, если в организации осуществляется:

Введение общедоступных источников ПД
Назначения в качестве ответственного за обработку персональных данных лица, не являющегося штатным сотрудником оператора

Результаты оценки оформляются актом с включением туда обязательных реквизитов.

Приказ вступает в силу 1 марта 2023 года и действует до 1 марта 2029 года

Комментарий экспертной комиссии «Акцепт Групп»:

Одной из мер защиты ПД, которые обязан применять оператор в соответствии с законом о персональных данных, это проведение оценки вреда. Данная мера идет наряду с обязанностью утверждать политику в сфере защиты персональных данных. Для составления данного акта оценки вреда необходимо руководствоваться данным Приказом Роскомнадзора.