Вред, который может быть причинен субъектам ПД в случае нарушения Федерального закона о персональных данных, оценивается ответственным за организацию обработки ПД или комиссией, образуемой оператором.

Оператор определяет одну из степеней вреда, который может быть причинен субъекту ПД:

– высокую (например, в случаях обработки биометрических персональных данных, обработки специальных категорий ПД, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, сведений о судимости);

– среднюю  (например, в случаях предоставления ПД неограниченному кругу лиц, продвижения товаров, работ, услуг, если используются данные из баз ПД, владельцем которых является другой оператор);

– низкую (в случае ведения общедоступных источников персональных данных, сформированных в соответствии со статьей 8 Закона о персональных данных или назначения ответственным за обработку ПД лица, не являющегося штатным сотрудником оператора).

Если по итогам оценки вреда установлено, что субъекту персональных данных причинили вред разных степеней, то учитывают более высокую из них.

Требования вступят в силу с 1 марта 2023 г. и будут действовать до 1 марта 2029 г.

Приказ Роскомнадзора от 27.10.2022 № 178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных» (Зарегистрировано в Минюсте России 28.11.2022 № 71166).

Фото:unsplash.com   

Scroll to Top