	сегодня
USD ЦБ	93.44
EUR ЦБ	99.58
BTC/USD	65926.47

Роскомнадзор установил требования к оценке вреда от утечки персональных данных и к подтверждению их уничтожения

08.12.2022 | статьи | печать

автор:

Ксения Петровец, старший юрист BIRCH LEGAL

опубликовано:«ЭЖ-Юрист» №48 (1249) 2022

В связи с внесенными в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ) изменениями Федеральным законом от 14.07.2022 № 266-ФЗ («ЭЖ-Юрист» о нем писал, см. https://www.eg-online.ru/article/457672/) Роскомнадзор принял два приказа. Первый — о требованиях к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения, второй — о порядке подтверждения уничтожения персональных данных (далее — ПД). Оба документа вступят в силу с 01.03.2023 и будут действовать до 01.03.2029.

Согласно принятым поправкам в Закон № 152-ФЗ сведения об оценке вреда субъектам персональных данных должны быть отражены в форме Уведомления о факте неправомерной или случайной передачи персональных данных, направляемой в Роскомнадзор в течение 24 часов с момента выявления утечки данных.

В связи с этим Роскомнадзор приказом от 27.10.2022 № 178 установил требования к порядку оценки вреда субъектам ПД. Согласно данному приказу в качестве уполномоченного за проведение оценки вреда субъектам ПД в компании может быть назначен сотрудник, ответственный за обработку ПД, либо специально сформированная комиссия.

В зависимости от типа субъектов, состава и категорий обрабатываемых ПД, а также от конкретного перечня совершаемых с ними действий уровни оценки вреда подразделяются на высокий, средний и низкий.

Так, высокая степень вреда присваивается в случаях:

обработки биометрических данных;
обработки специальных категорий персональных данных;
обработки персональных данных несовершеннолетних;
обезличивания персональных данных;
поручения обработки персональных данных иностранным лицам;
сбора персональных данных с использованием баз данных, находящихся за пределами Российской Федерации.

Средняя степень вреда присваивается при:

распространении персональных данных на сайте оператора или ином предоставлении персональных данных неограниченному кругу лиц;
обработке персональных данных в дополнительных целях, отличных от первоначальной цели сбора;
продвижении товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с использованием баз персональных данных, сторонних операторов;
получении согласия на обработку персональных данных посредством реализации на сайте функционала, не предполагающего дальнейшую идентификацию и (или) аутентификацию субъекта персональных данных;
осуществлении деятельности по обработке персональных данных, предполагающей получение согласия на обработку персональных данных, содержащего положения о предоставлении права осуществлять обработку персональных данных определенному и (или) неопределенному кругу лиц в целях, несовместимых между собой.

Низкая степень вреда присваивается в случаях:

ведения общедоступных источников персональных данных;
назначения в качестве ответственного за обработку персональных данных лица, не являющегося штатным сотрудником компании-оператора.

Если по итогам проведенной оценки будет установлено, что субъекту ПД могут быть причинены различные степени вреда, подлежит применению более высокая степень вреда.

Результаты оценки вреда будут оформляться Актом оценки вреда, который может быть оформлен как в бумажном виде, так и в формате электронного документа, подписанного электронной подписью.

В другом приказе от 28.10.2022 № 179 Роскомнадзор определил ключевые требования к порядку подтверждения уничтожения персональных данных. В соответствии с ним форма подтверждения факта уничтожения ПД будет напрямую зависеть от применяемого способа обработки.

Так, подтверждение уничтожения ПД должно оформляться:

при обработке данных без использования средств автоматизации — актом об уничтожении ПД (далее — акт);
при автоматизированной обработке данных — актом и выгрузкой из журнала регистрации событий в информационной системе.

Следует отметить, что акт при этом может быть оформлен как в бумажном виде, так и в формате электронного документа, подписанного электронной подписью. Такой акт должен содержать в том числе: наименование/ФИО и адрес оператора (лиц, осуществляющих обработку ПД по поручению оператора при его наличии), данные, относящиеся к определенному физическому лицу, чьи ПД были уничтожены. Также в акте нужно указать наименование уничтоженного материального носителя, содержащего ПД, с указанием количества листов в отношении каждого материального носителя (без использования средств автоматизации) или наименование информационной системы ПД, из которой были уничтожены ПД (с использованием средств автоматизации); и пр.

Выгрузка из журнала регистрации, в свою очередь, должна также отражать информацию, частично дублирующую содержащиеся в акте сведения. Как акт, так и выгрузка подлежат хранению в течение трех лет с момента уничтожения ПД.

Комментарий эксперта

Никита Володин, консультант по защите персональных данных компании Б-152

Если говорить об оценке вреда при утечке ПД, то приказ должен помочь оператору оценить вред при подаче уведомления об инциденте безопасности в соответствии с ч. 3.1 ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ. Однако в нем есть моменты, которые требуют уточнения. А именно:

В случае, если оценкой будет заниматься комиссия, — кто должен в нее входить? В каком количестве?
Как методика оценки вреда, установленная приказом Роскомнадзора № 178, соотносится с Методикой оценки угроз безопасности информации, разработанной и утвержденной ФСТЭК РФ?

Резюмируя, отметим, что приказ закрыл существующий пробел в регулировании, и теперь надзорный орган, предоставив собственную методику по оценке вреда, сможет проверять исполнение требований.

Что касается уничтожения ПД, то необходимость регламентации подтверждения их уничтожения назревала давно. Так, в соответствии с практикой ведомства оно довольно часто направляет запросы в адрес операторов с требованием подтвердить уничтожение ПД субъекта, обратившегося с жалобой к надзорному органу. Оператор при получении такого запроса приходил в замешательство: что именно необходимо предоставить надзорному органу? Как подтвердить уничтожение в случае, если обработка происходила в ИСПДн? Достаточно ли приложить скриншот из базы данных информационной системы или скриншот из журнала событий (логов)? До принятия приказа № 179, по опыту нашей компании, скриншотов было достаточно для подтверждения.

С принятием приказа Роскомнадзора № 179 устранен существовавший пробел в законодательстве и взаимодействие операторов и РКН в вопросе подтверждения уничтожения ПД существенно упростится.