Вред, нанесенный владельцу персональных данных
01.12.2022 распечататьРоскомнадзор утвердил порядок оценки вреда, который может быть нанесен владельцу персональных данных при их обработке.
Кроме требований к подтверждению факта уничтожения документов, установленных приказом Роскомнадзора от 28.10.2022 № 179, с 1 марта 2023 года вступает в силу еще один документ ведомства об оценке вреда, нанесенного владельцу персональных данных.
Это Приказ Роскомнадзора от 27.10.2022 № 178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных».
Оценка вреда понадобится, если сотрудники предъявят претензии к компании и потребуют возместить моральный вред, если докажут в суде, что компания нарушает законодательство о персональных данных. Степень вреда важна и при назначении штрафа контролирующими органами. Штраф и моральный вред может возмещаться как компанией, так и руководителем.
Что касается кадровика или работника, ответственного за обработку персональных данным, ему грозит дисциплинарное взыскание за нарушение правил работы.
Ранее по теме:
Три степени вреда при обработке персональных данных
Степени вреда установлены Приказом Роскомнадзора от 27.10.2022 № 178, который вступает в силу с 1 марта 2023 года.
Для оценки вреда, который мог быть нанесен ответственным за организацию обработки данных создается комиссия. У нее есть право присвоить одну из трех степеней вреда:
- Высокая.
- Средняя.
- Низкая.
Высокая степень вреда устанавливается, если:
- обрабатывались сведений о физиологических и биологических особенностях, на основании которых можно установить его личность (биометрические персональные данные);
- обрабатывались специальные категорий персональных данных, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, сведений о судимости;
- обрабатывались персональных данных несовершеннолетних;
- данные обработали для оценочных (скоринговых) исследований, оказания услуг по прогнозированию поведения потребителей товаров и услуг, а также иных исследований, не предусмотренных п.9 ч.1 ст.6 Закона о персональных данных;
- обработку персональных данных граждан Российской Федерации поручили иностранному лицу;
- персональные данные хранились с использованием баз данных, находящихся за пределами Российской Федерации.
Среднюю степень вреда устанавливается, если:
- персональные данные распространены на официальном сайте в сети Интернет оператора, предоставлены неограниченному кругу лиц, за исключением случаев, установленных законодательством;
- обработка персональных данных в дополнительных целях, отличалась от первоначальной цели сбора;
- персданные, владельцем которых является иной оператор, использованы для продвижения товаров, работ, услуг на рынке путем прямых контактов;
- согласие на обработку персональных данных получено на официальном сайте в Интернет без дальнейшей идентификацию и (или) аутентификации владельца;
Низкую степень вреда устанавливается, если:
- сведения собраны из общедоступных источников персональных данных, сформированных в соответствии со статьей 8 Закона о персональных данных.
- в качестве ответственного за обработку персональных данных назначено лицо, не являющееся штатным сотрудником оператора.
Результаты оценки вреда оформляются актом оценки вреда, который должен содержать:
- наименование или фамилию, имя, отчество (при наличии) и адрес оператора;
- дату издания акта оценки вреда;
- дату проведения оценки вреда;
- фамилию, имя, отчество, должность лиц, проводивших оценку вреда, их подписи;
- степень вреда, которая может быть причинена субъекту персональных данных.
Подписка на новости и полезные материалы
В статье использованы фото с сайта freepik.com или shutterstock.com