Работа с персональными данными: опубликовали правила оценки возможного вреда гражданам

1 марта 2023 года начнут действовать требования к тому, как оценивать вред, который оператор может причинить физлицам, если нарушит Закон о персональных данных.

Оценку должен будет проводить ответственный за организацию обработки личных сведений. Вместо него это сможет сделать комиссия оператора.

От оператора потребуют определить высокую, среднюю или низкую степень вероятного вреда. Отметим примеры случаев, когда нужно выбрать одну из них:

• высокая степень — оператор обрабатывает информацию о несовершеннолетних, например, чтобы исполнять договоры, по которым они контрагенты, выгодоприобретатели либо поручители;
• средняя — он продвигает товары, работы и услуги через прямые контакты с потенциальными потребителями с помощью хранилищ (баз персональных данных) другого лица;
• низкая — оператор назначил внештатного сотрудника ответственным за обработку личных сведений.

Если гражданину могут причинить вред разных степеней, надо учитывать более высокую из них.

Степень вреда и ряд других сведений обяжут отразить в акте. Документ разрешат составить в цифровом виде, но тогда его придется заверить электронной подписью.

Сейчас требований к тому, как проводить оценку, нет.

Напомним, оценивать вероятный вред нужно при обработке персональной информации в информсистемах. Дело в том, что по итогам этой процедуры определяют тип угроз безопасности личных сведений. В остальных случаях оценка необязательна.