ГрамотаИБ ГрамотаИБ

Оценка вреда субъектам персональных данных: приказ Роскомнадзора №178

Редакция ГрамотаИБ · Опубликовано 07.07.2026

Что такое оценка вреда, который может быть причинён субъектам персональных данных, зачем её проводить по приказу Роскомнадзора №178 от 27.10.2022 (в силе с 1 марта 2023), какие три степени вреда он вводит (высокая, средняя, низкая) и по каким критериям, как оператору оценить и оформить вред и как это связано с реагированием на утечку.

С 1 марта 2023 года у операторов персональных данных появился ещё один документ, который спрашивает Роскомнадзор, — оценка вреда, который может быть причинён субъектам. Правила такой оценки задал приказ Роскомнадзора от 27.10.2022 №178. Разберём, что это, кто должен её проводить, какие степени вреда бывают и как всё оформить.

Что такое оценка вреда и зачем она нужна

Оценка вреда — это заранее продуманный вывод оператора о том, насколько серьёзными будут последствия для людей, если их персональные данные утекут, будут изменены, уничтожены или иным образом обработаны с нарушением закона. Приказ №178 устанавливает требования к такой оценке: по каким критериям и на какие степени вред делится. Смысл — чтобы оператор трезво понимал риск для субъектов и соизмерял с ним свои меры защиты и порядок реагирования, а не относился к данным формально.

Кто должен проводить оценку

Требования адресованы операторам персональных данных, то есть на практике касаются практически любой организации и ИП, которые обрабатывают ПДнПерсональные данные — Любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту ПДн). (работников, клиентов, посетителей). Отдельной формы «единого акта» приказ не навязывает, но результат оценки логично зафиксировать внутренним документом (актом или заключением об оценке вреда) и держать в комплекте организационно-распорядительной документации вместе с политикой обработки ПДн. Пустой раздел «оценка вреда» при проверке выглядит так же плохо, как и его отсутствие.

Три степени вреда

Приказ №178 делит возможный вред на три степени. Чем чувствительнее данные и тяжелее последствия для человека, тем выше степень:

СтепеньКогда обычно применяется (ориентир)
ВысокаяЕсть обстоятельства, при которых нарушение может повлечь наиболее серьёзные последствия для субъекта: угрозу жизни и здоровью, дискриминацию, существенный имущественный ущерб, невозможность реализовать права или иные тяжёлые последствия.
СредняяНарушение способно причинить субъекту ощутимые неблагоприятные последствия, но без признаков высокой степени вреда: например, репутационные риски, нежелательные контакты, раскрытие значимого набора идентифицирующих сведений.
НизкаяОбрабатывается ограниченный набор данных, а возможные последствия нарушения для субъекта не достигают критериев средней или высокой степени.

Конкретные критерии отнесения к каждой степени приведены в самом приказе №178; их удобно применять по категориям обрабатываемых данных, целям и возможным последствиям нарушения. Специальные категории и биометрические данные требуют особенно внимательной оценки — см. виды согласий и категории ПДн.

Как провести и оформить

На практике оценку вреда делают по каждой цели и категории обрабатываемых данных: определяют, какие последствия наступят для субъекта при нарушении, и по критериям приказа относят к высокой, средней или низкой степени. Оценку удобно вести той же логикой, что и модель угроз (там оценивается вероятность и опасность угроз, здесь — тяжесть последствий для человека), и согласовывать с выбранным уровнем защищённости ИСПДн. Результат фиксируют документом с указанием, кто и когда провёл оценку.

Связь с реагированием на утечку

Оценка вреда напрямую пригождается при инциденте. При утечке персональных данных оператор обязан уведомить Роскомнадзор в сжатые сроки (первичное уведомление — в течение 24 часов, результаты внутреннего расследования — в течение 72 часов), и понимание степени вреда помогает и оценить масштаб, и корректно заполнить уведомление. Порядок действий при инциденте — в статье «Утечка персональных данных: алгоритм», а что ещё поменялось в регулировании — в статье «Что изменилось в работе с ПДн».

Что оформить

  • Документ с оценкой вреда (акт или заключение) — по целям и категориям данных, с отнесением к степени по критериям приказа №178.
  • Согласование оценки с моделью угроз и уровнем защищённости ИСПДнИнформационная система персональных данных — Совокупность персональных данных в базах данных и обеспечивающих их обработку информационных технологий и технических средств..
  • Пересмотр оценки при изменении состава данных, целей или процессов обработки.

Типичные ошибки

  • Нет оценки вообще. Документ не оформлен, хотя данные обрабатываются, — на проверке подтвердить нечего.
  • Занижают степень. Обрабатывают данные о здоровье или биометрию, а вред оценивают как низкий.
  • Делают один раз и забывают. Состав данных и процессы меняются, а оценка остаётся прежней.

Главное

Оценка вреда субъектам ПДн (приказ Роскомнадзора №178, в силе с 1 марта 2023) — это документально зафиксированный вывод оператора о тяжести последствий для людей при нарушении закона о персональных данных, с отнесением к высокой, средней или низкой степени. Её проводят по целям и категориям данных, согласуют с моделью угроз и уровнем защищённости и используют при реагировании на утечку. ГрамотаИБ помогает оценить вред под ваш профиль обработки и собрать комплект документов — попробовать можно в сервисе.

Нужно подготовить документы и меры по защите данных под свой профиль?

Собрать в ГрамотаИБ

Заявление о принятии мер по ограничению доступа к ПДн: форма из приказа Роскомнадзора №85

Что такое заявление субъекта персональных данных о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением закона (приказ Роскомнадзора №85 от 22.07.2015, статья 15.5 149-ФЗ): когда его можно подать, зачем нужен судебный акт, какие сведения указываются в форме и что происходит дальше.

Реестр нарушителей прав субъектов ПДн и блокировка сайта: приказ Роскомнадзора №84

Что такое реестр нарушителей прав субъектов персональных данных, как работает механизм блокировки сайта за незаконную обработку ПДн по приказу Роскомнадзора №84 от 22.07.2015 и статье 15.5 149-ФЗ: роль судебного акта, взаимодействие Роскомнадзора с провайдером хостинга и операторами связи, сроки удаления информации.

Согласие на распространение персональных данных: приказ Роскомнадзора №18

Что такое согласие на обработку персональных данных, разрешённых субъектом для распространения (статья 10.1 152-ФЗ, приказ Роскомнадзора №18 от 24.02.2021), чем оно отличается от обычного согласия, что обязательно должно быть в его содержании, как субъект устанавливает запреты и условия и почему молчание не считается согласием.

Перечень стран с адекватной защитой ПДн: приказ Роскомнадзора №128

Что такое перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных (приказ Роскомнадзора №128 от 05.08.2022, в силе с 1 марта 2023), как страны делятся на две группы, что это значит для трансграничной передачи данных и уведомления Роскомнадзора и как проверить государство получателя.