Об акте оценки степени вреда. Новые требования с 2023 г.

Согласно отчету компании Group-IB, в России объём утечек персональных данных в 2022 году вырос в 40 раз по отношению к 2021 году и затронул примерно 100 млн граждан РФ.  Утечка данных – инцидент, связанный со случайной или неправомерной передачей (распространении, доступа) персональных данных.  По факту утечки персональных данных в течение 24 часов компании необходимо сообщить в Роскомнадзор и оценить степень вреда, а в течение 72 часов уведомить о результатах внутреннего расследования.

Акт оценки вреда может быть, как в бумажной, так и электронной форме и должен содержать:

• наименование ФИО;

• дату издания Акта;

• дату проведения оценки вреда;

• ФИО, должность, проводивших оценку вреда, а т.ж. их подписи;

• степень вреда, которая может быть причинена субъекту персональных данных .

Много было дискуссий об оценки степени вреда при утечках персональных данных. С 01.03.2023 г. по 01.03.2009 г. оценку степени вреда производят согласно приказу от 27.10.2022 № 178.   Степень вреда подразделяют на высокую, среднею и низкую.

Низкую в случаях:

• ведения общедоступных источников персональных данных;

• ответственный за обработку персональных данных, не является штатным сотрудником компании.

Средний в случаях:

• обработка персональных данных несовместима по целям, прописанных в согласии на обработку персональных данных и положению об обработке персональных данных;

• получения согласия на обработку персональных данных посредством реализации на официальном сайте в сети "Интернет" функционала, не предполагающего дальнейшую идентификацию субъекта персональных данных;