Доброго дня, коллеги! 28 ноября в Минюсте России был зарегистрирован Приказ Роскомнадзора от 27.10.2022 N 178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных». С текстом можно ознакомиться по ссылке .
1. Приказ вступает в силу с 01.03.2023 года в соответствии с поправками, которые вносит в ФЗ 152 «О персональных данных» Федеральный закон от 14.07.2022 № 266-ФЗ "О внесении изменений в Федеральный закон "О персональных данных", отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона "О банках и банковской деятельности".
П. 5 ч. 1 статьи 18.1 ФЗ «О персональных данных» будет излагаться в следующей редакции:
Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам, в частности, относятся:
…
5) оценка вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом…
2. Оценка вреда может производиться как лицом ответственным за организацию обработки персональных данных, так и комиссионно.
3. Степень вреда может быть оценена как высокая (биометрия, специальные категории, несовершеннолетние, обезличивание, иностранные лица), средняя или низкая.
4. Указаны требования к акту оценки вреда. Их немного и текст все также остается на усмотрение оператора.
На что влияет степень вреда?
3. Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:
1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;
2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
3) требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.
В Постановлении Правительства 1119 указано:
7. Определение типа угрозбезопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона "О персональных данных", и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона "О персональных данных".
С другими изменениями, которые внесены 266 Федеральным законом вы можете ознакомиться в моей статье для журнала «Информационная безопасность» ( ссылка , доступ свободный).
По вопросам сотрудничества и приобретения моих книг (электронных) обращайтесь: