Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
 

Утверждение Акта оценки вреда, который может быть причинен субъектам персональных данных

Цель: исполнение законодательства по персональным данным
Правила оценки установлены в Приказе Роскомнадзора № 178 от 27.10.2022
Оценку нужно проводить для каждой ИСПДн.

Рекомендации к заполнению карточки:
- Создать ежегодную задачу  на актуализацию актов оценки
- Прикладывать в заметки к карточке скан-копии актов
Область действия: Вся организация
Классификация
Тип
Организационная ?
Реализация
Вручную
Периодичность
Ежегодно
Ответственный
Не определено
Инструменты
Не определено

Акт оценки вреда.docx

document | 22.08 KB

12.12.2022

Акта оценки вреда, который может быть причинен субъектам персональных данных

Исполнение требований

Приказ Роскомнадзора № 178 от 27.10.2022 "Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных"":
Пункт 6.
6. В случае если по итогам проведенной оценки вреда установлено, что в рамках деятельности по обработке персональных данных субъекту персональных данных в соответствии подпунктами 2.1 - 2.3 пункта 2 настоящих Требований могут быть причинены различные степени вреда, подлежит применению более высокая степень вреда.
Пункт 4.
4. Акт оценки вреда должен содержать:
  • наименование или фамилию, имя, отчество (при наличии) и адрес оператора;
  • дату издания акта оценки вреда;
  • дату проведения оценки вреда;
  • фамилию, имя, отчество (при наличии), должность лиц (лица) (при наличии), проводивших оценку вреда, а также их (его) подпись;
  • степень вреда, которая может быть причинена субъекту персональных данных, в соответствии с подпунктами 2.1 - 2.3 пункта 2 настоящих Требований.
Пункт 3.
3. Результаты оценки вреда оформляются актом оценки вреда.
Пункт 1.
1. Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных"  (далее - оценка вреда), осуществляется ответственным за организацию обработки персональных данных либо комиссией, образуемой оператором (далее - оператор)
Пункт 2.
2. Оператор для целей оценки вреда определяет одну из степеней вреда, который может быть причинен субъекту персональных данных в случае нарушения Закона о персональных данных:

  1. Высокую в случаях:
  • обработки сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, за исключением случаев, установленных федеральными законами, предусматривающими цели, порядок и условия обработки биометрических персональных данных;
  • обработки специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, сведений о судимости, за исключением случаев, установленных федеральными законами, предусматривающими цели, порядок и условия обработки специальных категорий персональных данных;
  • обработки персональных данных несовершеннолетних для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является несовершеннолетний, а также для заключения договора по инициативе несовершеннолетнего или договора, по которому несовершеннолетний будет являться выгодоприобретателем или поручителем в случаях, не предусмотренных законодательством Российской Федерации;
  • обезличивания персональных данных, в том числе с целью проведения оценочных (скоринговых) исследований, оказания услуг по прогнозированию поведения потребителей товаров и услуг, а также иных исследований, не предусмотренных пунктом 9 части 1 статьи 6 Закона о персональных данных;
  • поручения иностранному лицу (иностранным лицам) осуществлять обработку персональных данных граждан Российской Федерации;
    сбора персональных данных с использованием баз данных, находящихся за пределами Российской Федерации.
       2. Среднюю в случаях:

  • распространения персональных данных на официальном сайте в информационно-телекоммуникационной сети "Интернет" оператора, а равно предоставление персональных данных неограниченному кругу лиц, за исключением случаев, установленных федеральными законами, предусматривающими цели, порядок и условия такой обработки персональных данных;
  • обработки персональных данных в дополнительных целях, отличных от первоначальной цели сбора;
  • продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с использованием баз персональных данных, владельцем которых является иной оператор;
  • получения согласия на обработку персональных данных посредством реализации на официальном сайте в информационно-телекоммуникационной сети "Интернет" функционала, не предполагающего дальнейшую идентификацию и (или) аутентификацию субъекта персональных данных;
  • осуществления деятельности по обработке персональных данных, предполагающей получение согласия на обработку персональных данных, содержащего положения о предоставлении права осуществлять обработку персональных данных определенному и (или) неопределенному кругу лиц в целях, несовместимых между собой 
        3. Низкую в случаях:

  • ведения общедоступных источников персональных данных, сформированных в соответствии со статьей 8 Закона о персональных данных;
  • назначения в качестве ответственного за обработку персональных данных лица, не являющегося штатным сотрудником оператора.
Федеральный Закон № 152 от 27.07.2006 "О персональных данных":
Статья 18.1. Пункт 1. п.п.5
5. оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом;

Комментарии 1

1 месяц назад

Акт оценки вреда, который может быть причинен субъектам персональных данных (далее – Акт)

В соответствии с требованиями приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 27 октября 2022 года № 178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных"», произведена оценка вреда для следующих субъектов:

 | №, п/п | ФИО | Степень вреда | Дата проведения оценки|
1. 
2. 
 
Ответственный за организацию обработки ПДн:
 
_______________________________/__________________________ 
          (ФИО, должность)                       (подпись)       
 
Комиссия:
 
_______________________________/__________________________ 
          (ФИО, должность)                       (подпись)      
_______________________________/__________________________ 
          (ФИО, должность)                       (подпись)      
_______________________________/__________________________ 
          (ФИО, должность)                       (подпись)