среда, 30 ноября 2022 г.

Оценка вреда субъектам персональных данных

 Доброго дня, коллеги! 28 ноября в Минюсте России был зарегистрирован Приказ Роскомнадзора от 27.10.2022 N 178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных». С текстом можно ознакомиться по ссылке.

1.               Приказ вступает в силу с 01.03.2023 года в соответствии с поправками, которые вносит в ФЗ 152 «О персональных данных» Федеральный закон от 14.07.2022 № 266-ФЗ "О внесении изменений в Федеральный закон "О персональных данных", отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона "О банках и банковской деятельности"

П. 5 ч. 1 статьи 18.1 ФЗ «О персональных данных» будет излагаться в следующей редакции:

Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам, в частности, относятся:

5) оценка вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом…

2.               Оценка вреда может производиться как лицом ответственным за организацию обработки персональных данных, так и комиссионно.

3.               Степень вреда может быть оценена как высокая (биометрия, специальные категории, несовершеннолетние, обезличивание, иностранные лица), средняя или низкая.

4.               Указаны требования к акту оценки вреда. Их немного и текст все также остается на усмотрение оператора.

 

На что влияет степень вреда?

 В статье 19 ФЗ 152 «О персональных данных» указано:

3. Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:

1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;

2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

3) требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

 

В Постановлении Правительства 1119 указано:

7. Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона "О персональных данных", и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона "О персональных данных".

Таким образом, степень вреда влияет на актуальные угрозы, а, значит, и на уровни защищенности персональных данных и, соответственно, на стоимость системы защиты персональных данных.

С другими изменениями, которые внесены 266 Федеральным законом вы можете ознакомиться в моей статье для журнала «Информационная безопасность» (ссылка, доступ свободный).

По вопросам сотрудничества и приобретения моих книг (электронных) обращайтесь:

Вконтакте: https://vk.com/shudrova
telegram: @KseniaShudrova

вторник, 22 ноября 2022 г.

Персональные данные. Чек-лист на 2022-2023 годы

 Добрый день, коллеги! После долгого перерыва вышла моя 61 ненаучная статья по информационной безопасности (ссылка), статья находится в открытом доступе. Материал посвящен изменениям в законодательстве в сфере персональных данных, которые были внесены 266-ФЗ. Приятного и полезного чтения!



По вопросам сотрудничества и приобретения моих книг (электронных) обращайтесь:

Вконтакте: https://vk.com/shudrova
telegram: @KseniaShudrova