В статье разберем основные вопросы, возникающие у операторов при проведении оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения 152-ФЗ.
Чем регулируется проведение оценки вреда?
Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения 152-ФЗ (далее – оценка вреда), соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных 152-ФЗ, является обязанностью оператора в соответствии с п. 5 ч. 1 ст. 18.1 152-ФЗ.
Требования к оценке вреда установлены приказом РКН № 178.
Зачем проводить оценку вреда?
Во-первых, как указано выше, это обязательное требование закона и его неисполнение может повлечь выдачу требования или предписания уполномоченного органа.
Оценить вред придется и в том случае, если Вам поступит информация о нарушении прав субъекта ПДн (от РКН или от самого субъекта).
Во-вторых, это необходимо для того, чтобы оценить, насколько принятые Вами меры по обеспечению безопасности ПДн достаточны. Чем выше степень вреда – тем больше внимания следует уделить принимаемым мерам, чтобы минимизировать возможный вред.
В-третьих, с учетом оценки возможного вреда и в соответствии с НПА, принятыми во исполнение ч. 5 ст. 19 152-ФЗ, оператором производится определение типа угроз безопасности персональных данных, актуальных для информационной системы (п. 7 Требований, утвержденных ПП РФ от 01.11.2012 № 1119). В настоящее время конкретных требований или рекомендаций касаемо того, как влияет степень вреда на определение типа угроз нет, но тем не менее не лишним будет принять особые меры для защиты ПДн, по отношению к которым определена высокая степень вреда, в сравнении со средней или низкой степенью.
Кто в организации проводит оценку вреда?
Согласно п. 1 приказа РКН № 178 есть два варианта:
- Ответственный за организацию обработки ПДн. В этом случае рекомендуем закрепить данную обязанность в его должностной инструкции или ином локальном акте, устанавливающим права и обязанности ответственного.
- Комиссия, образуемая оператором. Состав комиссии, ее права и обязанности закрепите соответствующим приказом. В состав комиссии рекомендуется включить не менее трех человек, среди них обязательно – ответственного за организацию обработки.
Для удобства можете утвердить внутренний приказ о проведении оценки вреда или утвердить иной локальный акт, например, Положение о проведении оценки вреда, в котором прописать основания проведения оценки вреда, ответственных за проведение лиц, порядок действий по определению оценки вреда, способы оформления результатов и тд. Однако это не обязательно, достаточно руководствоваться приказом РКН № 178.
Как оценить степень вреда?
В приказе РКН от 27.10.2022 № 178 выделены три степени вреда: высокая, средняя, низкая, а также установлены критерии их определения. Перечислять их не будем, поскольку они достаточно подробно описаны регулятором. Но дадим несколько рекомендаций про реализации проведения оценки вреда.
- Подготовьте для себя чек-лист, в который перенесите соотношение степени среда и соответствующих критериев оценки из приказа РКН № 178.
- Далее по каждому критерию оцените: есть ли в Вашей деятельности соответствующий процесс обработки ПДн.
- Фиксируйте в чек-листе напротив каждого критерия отметку о наличии/отсутствии критерия и кратко отмечайте процесс, в котором присутствует данный критерий, если он выявлен. Это поможет наглядно провести выделение критериев оценки вреда и сделать правильные выводы.
Подобный процесс проведения оценки вреда заложен в сервисе 152DOC, а степень вреда определяется автоматически на основании указанной оператором информации.
Напомним, что в случае выявления разных степеней – применяется более высокая степень.
Например, в Вашей компании в качестве ответственного за организацию обработки ПДн назначено лицо, не являющееся штатным сотрудником. Это относится к низкой степени вреда.
Но также у Вас есть сайт, на котором есть форма обратной связи, под которой размещен чек-бокс с согласием не обработку ПДн, но идентификация и (или) аутентификация пользователя сайта, заполнившую форму, на сайте не производится. Это уже средняя степень вреда.
Таким образом, для такого оператора характерна более высокая из выявленных степеней вреда – средняя.
Возможны ситуации, когда ни один из критериев для оператора не подходит – это тоже результат оценки вреда и его необходимо зафиксировать в Акте, указав что в ходе проведения оценки вреда критерии, установленные приказом РКН № 178, в деятельности оператора не выявлены.
Также обратите внимание – некоторые критерии имеют очень тонкую грань с нарушением требований законодательства в области ПДн.
Например, одним их критериев средней степени вреда является «обработка ПДн в дополнительных целях, отличных от первоначальной цели сбора», что по сути является признаком нарушения принципов обработки ПДн, заложенных в ст. 5 152-ФЗ, поскольку обработка ПДн априори должна соответствовать целям сбора.
Поэтому при выявлении таких «граничащих» критериев лучше задуматься над тем, чтобы перестроить процессы обработки ПДн таким образом, чтоб такие критерии исключить.
Как оформить результаты оценки вреда?
По результатам проведенной работы должен быть оформлен Акт оценки вреда. Это может быть классический бумажный документ, подписанный собственноручно, или документ в электронном виде, подписанный электронной подписью. Требования к нему установлены приказом РКН от 27.10.2022 № 178.
Содержание Акта оценки вреда:
- наименование или ФИО (при наличии) и адрес оператора;
- дату издания акта оценки вреда;
- дату проведения оценки вреда;
- ФИО (при наличии), должность лиц (лица) (при наличии), проводивших оценку вреда, а также их (его) подпись;
- степень вреда, которая может быть причинена субъекту персональных данных (высокая, средняя или низкая) в соответствии с критериями, установленными приказом РКН от 27.10.2022 № 178.
Сколько Актов оценки необходимо?
Может быть один Акт на всю деятельность в целом.
Вместе с тем, с учетом оценки возможного вреда и в соответствии с НПА, принятыми во исполнение ч. 5 ст. 19 152-ФЗ, оператором производится определение типа угроз безопасности персональных данных, актуальных для информационной системы (п. 7 Требований, утвержденных ПП РФ от 01.11.2012 № 1119).
Поэтому рекомендуем проводить оценку вреда для каждой ИСПДн отдельно, как это реализовано в сервисе 152DOC.
Проведение оценки вреда позволяет определить слабые стороны в процессах обработки ПДн, предвидеть ущерб, который может быть причинен субъектам ПДн в случае нарушения закона (например, при утечке ПДн, при нарушении их конфиденциальности и тд.), и своевременно принять меры для недопущения негативных последствий или их минимизации.