Работа с персональными данными: опубликовали правила оценки возможного вреда гражданам

📌1 марта 2023 года начнут действовать требования к тому, как оценивать вред, который оператор может причинить физлицам, если нарушит Закон о персональных данных.

🔍Оценку должен будет проводить ответственный за организацию обработки личных сведений.

Вместо него это сможет сделать комиссия оператора.

📃От оператора потребуют определить высокую, среднюю или низкую степень вероятного вреда. Отметим примеры случаев, когда нужно выбрать одну из них:

— высокая степень - оператор обрабатывает информацию о несовершеннолетних, например, чтобы исполнять договоры, по которым они контрагенты, выгодоприобретатели либо поручители;

— средняя - он продвигает товары, работы и услуги через прямые контакты с потенциальными потребителями с помощью хранилищ (баз персональных данных) другого лица;

— низкая - оператор назначил внештатного сотрудника ответственным за обработку личных сведений.

🔗Если гражданину могут причинить вред разных степеней, надо учитывать более высокую из них.

🧷Степень вреда и ряд других сведений обяжут отразить в акте. Документ разрешат составить в цифровом виде, но тогда его придется заверить электронной подписью.

Сейчас требований к тому, как проводить оценку, нет.

💡Напомним, оценивать вероятный вред нужно при обработке персональной информации в информсистемах. Дело в том, что по итогам этой процедуры определяют тип угроз безопасности личных сведений. В остальных случаях оценка необязательна.