Телефон:
Обратный звонок
Главная \ Персональные данные \ Оценки возможного вреда субъектам персональных данных

Акт оценки потенциального вреда субъектам персональных данных

Оценка потенциального вреда субъектам персональных данных и уровня вреда является важной частью процесса защиты персональных данных. Эта оценка позволяет оценить возможные последствия нарушения безопасности персональных данных и принять меры для их предотвращения.

Оценка потенциального вреда субъектам персональных данных включает в себя следующие шаги:

  1. Определение типов персональных данных, которые обрабатываются в информационной системе.
  2. Определение категорий субъектов персональных данных, например, клиенты, сотрудники, партнеры.
  3. Оценка потенциального вреда для каждой категории субъектов персональных данных в случае нарушения безопасности персональных данных.
  4. Оценка уровня вреда, который может быть причинен субъектам персональных данных, в зависимости от типа нарушения безопасности.
  5. Определение мер, которые необходимо принять для предотвращения нарушения безопасности персональных данных и минимизации возможного вреда для субъектов персональных данных.
  6. Разработка плана действий в случае нарушения безопасности персональных данных, включающего в себя процедуры уведомления субъектов персональных данных и взаимодействия с регулирующими органами.

Оценка потенциального вреда субъектам персональных данных и уровня вреда помогает организациям оценить риски нарушения безопасности персональных данных и принять меры для их предотвращения, что способствует защите прав и интересов субъектов персональных данных.

Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона №152-ФЗ от 27.07.2006 «О персональных данных» (далее - оценка вреда), осуществляется ответственным за организацию обработки персональных данных либо комиссией, образуемой оператором (далее - оператор).

Оператор для целей оценки вреда определяет одну из степеней вреда, который может быть причинен субъекту персональных данных в случае нарушения законодательства о персональных данных:

Высокую в случаях:

  1. обработки сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, за исключением случаев, установленных федеральными законами, предусматривающими цели, порядок и условия обработки биометрических персональных данных;
  2. обработки специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, сведений о судимости, за исключением случаев, установленных федеральными законами, предусматривающими цели, порядок и условия обработки специальных категорий персональных данных;
  3. обработки персональных данных несовершеннолетних для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является несовершеннолетний, а также для заключения договора по инициативе несовершеннолетнего или договора, по которому несовершеннолетний будет являться выгодоприобретателем или поручителем в случаях, не предусмотренных законодательством Российской Федерации 3;
  4. обезличивания персональных данных, в том числе с целью проведения оценочных (скоринговых) исследований, оказания услуг по прогнозированию поведения потребителей товаров и услуг, а также иных исследований, не предусмотренных пунктом 9 части 1 статьи 6 Закона о персональных данных 4;
  5. поручения иностранному лицу (иностранным лицам) осуществлять обработку персональных данных граждан Российской Федерации;
  6. сбора персональных данных с использованием баз данных, находящихся за пределами Российской Федерации.

Среднюю в случаях:

  1. распространения персональных данных на официальном сайте в информационно-телекоммуникационной сети Интернет оператора, а равно предоставление персональных данных неограниченному кругу лиц, за исключением случаев, установленных федеральными законами, предусматривающими цели, порядок и условия такой обработки персональных данных;
  2. обработки персональных данных в дополнительных целях, отличных от первоначальной цели сбора;
  3. продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с использованием баз персональных данных, владельцем которых является иной оператор;
  4. получения согласия на обработку персональных данных посредством реализации на официальном сайте в информационно-телекоммуникационной сети Интернет функционала, не предполагающего дальнейшую идентификацию и (или) аутентификацию субъекта персональных данных;
  5. осуществления деятельности по обработке персональных данных, предполагающей получение согласия на обработку персональных данных, содержащего положения о предоставлении права осуществлять обработку персональных данных определенному и (или) неопределенному кругу лиц в целях, несовместимых между собой.

Низкую в случаях:

  1. ведения общедоступных источников персональных данных;
  2. назначения в качестве ответственного за обработку персональных данных лица, не являющегося штатным сотрудником оператора.

Результаты оценки вреда оформляются актом оценки вреда. Акт оценки вреда должен содержать: наименование или фамилию, имя, отчество (при наличии) и адрес оператора; дату издания акта оценки вреда; дату проведения оценки вреда; фамилию, имя, отчество (при наличии), должность лиц (лица) (при наличии), проводивших оценку вреда, а также их (его) подпись; степень вреда, которая может быть причинена субъекту персональных данных.

Акт оценки вреда в электронной форме, подписанный в соответствии с федеральным законом электронной подписью, признается электронным документом, равнозначным акту оценки вреда на бумажном носителе, подписанному собственноручной подписью.

В случае если по итогам проведенной оценки вреда установлено, что в рамках деятельности по обработке персональных данных субъекту персональных данных могут быть причинены различные степени вреда, подлежит применению более высокая степень вреда.

Адрес:
420087, Россия, Республика Татарстан, город Казань, улица Даурская, дом 44в, помещение 1009
Пн.-Пт.: с 09:00 до 18:00:
Яндекс.Метрика ;
Этот сайт использует файлы cookie и метаданные. Продолжая просматривать его, вы соглашаетесь на использование нами файлов cookie и метаданных в соответствии с Политикой конфиденциальности.
Продолжить

Подготовка полугодовой и годовой отчетности в Федеральную службу по финансовому мониторингу в январе 2025 года. Заказать отчеты по телефону +7952-045-74-83 в мессенджерах 


Закрыть