Роскомнадзор утвердил требования к такой оценке, обязательные для применения всеми операторами персональных данных (далее – Требования). Они будут действовать с 1 марта 2023 года до 1 марта 2029 года.

Требования предусматривают три степени вреда – низкую, среднюю и высокую.

Высокая степень вреда устанавливается в случаях (п. 2.1 Требований):

• обработки биометрических персональных данных, если оператор использует их для установления личности субъекта, которому они принадлежат. Исключение – случаи, когда обработка таких данных прямо предусмотрена законом (например, в связи с реализацией международных договоров РФ о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, с проведением обязательной государственной дактилоскопической регистрации и т. д., см. п. 2 ст. 11 Закона № 152-ФЗ);
• обработки персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, сведений о судимости. Исключение – случаи, установленные федеральными законами, предусматривающими цели, порядок и условия обработки специальных категорий персональных данных (например, обработка данных в целях переписи населения, в соответствии с трудовым и пенсионным законодательством РФ и т. д.);
• обработки персональных данных несовершеннолетних для исполнения или заключения договора, стороной которого такой несовершеннолетний является в случаях, не предусмотренных законом;
• обезличивания персональных данных (в том числе для проведения оценочных (скоринговых) исследований), оказания услуг по прогнозированию поведения потребителей товаров и услуг, а также других исследований, не предусмотренных п. 9 ч. 1 ст. 6 Закона № 152-ФЗ;
• поручения иностранному лицу (иностранным лицам) вести обработку персональных данных граждан РФ;
• сбора персональных данных с использованием баз данных, находящихся за пределами РФ.

Средняя степень вреда устанавливается в случаях (п. 2.2 Требований):

• распространения персональных данных на официальном сайте оператора, а также их предоставление неограниченному кругу лиц, кроме случаев, установленных законом (пп. 1.1 ст. 3 Закона № 152-ФЗ);
• обработки персональных данных в целях, отличных от первоначальной цели сбора (например, если изначально предполагались сбор и хранение, а затем потребовалась их передача третьему лицу);
• продвижения товаров, работ, услуг на рынке путем прямых контактов с потребителем с использованием баз персональных данных, владельцем которых является другой оператор;
• получения согласия на обработку персональных данных на сайте оператора, который не предусматривает дальнейшую идентификацию и (или) аутентификацию субъекта персональных данных;
• обработки персональных данных с получением согласия на передачу права их обработки третьими лицам в целях, которые несовместимы с целями сбора таких данных (ч. 2 ст. 5 Закона № 152-ФЗ).

Низкая степень вреда устанавливается в случаях (п. 2.3 Требований):

• ведения общедоступных источников персональных данных, сформированных в соответствии со ст. 8 Закона № 152-ФЗ (например, справочники, адресные книги и т. д.);
• назначения ответственным за обработку персональных данных лица, которое не является штатным сотрудником оператора.

Степень вреда, который может быть причинен субъекту персональных данных в случае нарушения Закона № 152-ФЗ, указывается в акте оценки (п. 3 Требований). В нем также указываются (п. 4 Требований):

• наименование или Ф. И. О. (при наличии) и адрес оператора персональных данных;
• дата издания акта оценки вреда;
• дата проведения оценки вреда;
• Ф. И. О. (при наличии), должности лиц, проводивших оценку вреда, а также их подписи;

Форма акта оценки вреда не утверждена, поэтому акт составляется в произвольной форме. Акт можно оформить как на бумаге, так и в электронной форме. Бумажный акт подписывается лицом, которое проводило оценку вреда. Электронный акт должен быть подписан электронной подписью. Полагаем, речь идет об усиленной квалифицированной электронной подписи (если иной вид подписи не предусмотрен локальными нормативными актами оператора персональных, см. п. 5 Требований).

При выявлении факторов, относящихся к разным степеням риска, выбирается более высокая степень.