Оценка вреда субъектам персональных данных: приказ Роскомнадзора №178
Что такое оценка вреда, который может быть причинён субъектам персональных данных, зачем её проводить по приказу Роскомнадзора №178 от 27.10.2022 (в силе с 1 марта 2023), какие три степени вреда он вводит (высокая, средняя, низкая) и по каким критериям, как оператору оценить и оформить вред и как это связано с реагированием на утечку.
С 1 марта 2023 года у операторов персональных данных появился ещё один документ, который спрашивает Роскомнадзор, — оценка вреда, который может быть причинён субъектам. Правила такой оценки задал приказ Роскомнадзора от 27.10.2022 №178. Разберём, что это, кто должен её проводить, какие степени вреда бывают и как всё оформить.
Что такое оценка вреда и зачем она нужна
Оценка вреда — это заранее продуманный вывод оператора о том, насколько серьёзными будут последствия для людей, если их персональные данные утекут, будут изменены, уничтожены или иным образом обработаны с нарушением закона. Приказ №178 устанавливает требования к такой оценке: по каким критериям и на какие степени вред делится. Смысл — чтобы оператор трезво понимал риск для субъектов и соизмерял с ним свои меры защиты и порядок реагирования, а не относился к данным формально.
Кто должен проводить оценку
Требования адресованы операторам персональных данных, то есть на практике касаются практически любой организации и ИП, которые обрабатывают ПДнПерсональные данные — Любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту ПДн). (работников, клиентов, посетителей). Отдельной формы «единого акта» приказ не навязывает, но результат оценки логично зафиксировать внутренним документом (актом или заключением об оценке вреда) и держать в комплекте организационно-распорядительной документации вместе с политикой обработки ПДн. Пустой раздел «оценка вреда» при проверке выглядит так же плохо, как и его отсутствие.
Три степени вреда
Приказ №178 делит возможный вред на три степени. Чем чувствительнее данные и тяжелее последствия для человека, тем выше степень:
| Степень | Когда обычно применяется (ориентир) |
|---|---|
| Высокая | Есть обстоятельства, при которых нарушение может повлечь наиболее серьёзные последствия для субъекта: угрозу жизни и здоровью, дискриминацию, существенный имущественный ущерб, невозможность реализовать права или иные тяжёлые последствия. |
| Средняя | Нарушение способно причинить субъекту ощутимые неблагоприятные последствия, но без признаков высокой степени вреда: например, репутационные риски, нежелательные контакты, раскрытие значимого набора идентифицирующих сведений. |
| Низкая | Обрабатывается ограниченный набор данных, а возможные последствия нарушения для субъекта не достигают критериев средней или высокой степени. |
Конкретные критерии отнесения к каждой степени приведены в самом приказе №178; их удобно применять по категориям обрабатываемых данных, целям и возможным последствиям нарушения. Специальные категории и биометрические данные требуют особенно внимательной оценки — см. виды согласий и категории ПДн.
Как провести и оформить
На практике оценку вреда делают по каждой цели и категории обрабатываемых данных: определяют, какие последствия наступят для субъекта при нарушении, и по критериям приказа относят к высокой, средней или низкой степени. Оценку удобно вести той же логикой, что и модель угроз (там оценивается вероятность и опасность угроз, здесь — тяжесть последствий для человека), и согласовывать с выбранным уровнем защищённости ИСПДн. Результат фиксируют документом с указанием, кто и когда провёл оценку.
Связь с реагированием на утечку
Оценка вреда напрямую пригождается при инциденте. При утечке персональных данных оператор обязан уведомить Роскомнадзор в сжатые сроки (первичное уведомление — в течение 24 часов, результаты внутреннего расследования — в течение 72 часов), и понимание степени вреда помогает и оценить масштаб, и корректно заполнить уведомление. Порядок действий при инциденте — в статье «Утечка персональных данных: алгоритм», а что ещё поменялось в регулировании — в статье «Что изменилось в работе с ПДн».
Что оформить
- Документ с оценкой вреда (акт или заключение) — по целям и категориям данных, с отнесением к степени по критериям приказа №178.
- Согласование оценки с моделью угроз и уровнем защищённости ИСПДнИнформационная система персональных данных — Совокупность персональных данных в базах данных и обеспечивающих их обработку информационных технологий и технических средств..
- Пересмотр оценки при изменении состава данных, целей или процессов обработки.
Типичные ошибки
- Нет оценки вообще. Документ не оформлен, хотя данные обрабатываются, — на проверке подтвердить нечего.
- Занижают степень. Обрабатывают данные о здоровье или биометрию, а вред оценивают как низкий.
- Делают один раз и забывают. Состав данных и процессы меняются, а оценка остаётся прежней.
Главное
Оценка вреда субъектам ПДн (приказ Роскомнадзора №178, в силе с 1 марта 2023) — это документально зафиксированный вывод оператора о тяжести последствий для людей при нарушении закона о персональных данных, с отнесением к высокой, средней или низкой степени. Её проводят по целям и категориям данных, согласуют с моделью угроз и уровнем защищённости и используют при реагировании на утечку. ГрамотаИБ помогает оценить вред под ваш профиль обработки и собрать комплект документов — попробовать можно в сервисе.