Как вы наверное знаете недавно регуляторами Роскомнадзором, ФСТЭК России и ФСБ России был разработан стандарт по оценке вреда субъектам ПДн, документ прошел экспертные слушания и был передан на регистрацию в Минюст России.
Основные положения данного документа:
· определение возможного вреда субъектам ПДн организуется оператором для каждой ИСПДн
· определение возможного вреда субъектам ПДн производится коллегиально комиссией или рабочей группой
· в комиссию должны включатся следующие лица:
o лицо, ответственное за организацию обработки ПДн
o субъект, персональные данные которого обрабатываются в системе
o представитель территориального подразделения ФСТЭК России
o представитель территориального подразделения ФСБ России
o представитель территориального подразделения Роскомнадзора
· представители регуляторов назначаются в ответ на письмо лица, ответственного за организацию обработки ПДн, содержащего основную информацию об обработке ПДн в ИСПДн:
o состав ПДн
o тип ИСПДн
o объем обработки ПДн
o содержание форм с ПДн
· оценка возможного вреда производится на основе следующей методологии: каждым членом комиссии выставляется одна из возможных оценок возможного ущерба: нулевой, незначительный, средний, значительный. Таблица следующая
· каждым членом комиссии оценка производится в соответствии с его субъективным мнением о значимости обрабатываемых ПДн, известных ему судебных прецедентов и случаев ущерба субъекту ПДн
· далее оценка каждого члена комиссии заменяется на его числовой показатель и суммируется = L; далее итоговый результат:
o вред субъектам ПДн значительный, если сумма Lбольше либо равна 0.9
o вред субъектам ПДн средний, если сумма Lбольше либо равна 0.5
o вред субъектам ПДн незначительный, если сумма Lбольше либо равна 0.2
o вред субъектам ПДн нулевой, в иных случаях
Как видно, методика определения вреда достаточно простая и вопросов не вызывает.
Операторам ПДн стоит включить в план мероприятий организацию комиссии по оценке вреда и подготовить шаблон документа (акт об оценке вреда субъектам ПД н)