В соответствии с п. 5 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", оператор должен проводить оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения указанного закона.
Данную оценку необходимо проводить при выявлении нарушения указанного закона, при наступлении иных обстоятельств, или она должна быть сделана заранее? Какую степень вреда следует присвоить при проведении указанной оценки, если отсутствуют все факторы, предусмотренные приказом Роскомнадзора от 27.10.2022 N 176?
Одной из мер, направленных на обеспечение выполнения оператором обязанностей, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ), является оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения указанного закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных данным законом (п. 5 ч. 1 ст. 18.1 Закона N 152-ФЗ).
Оценка вреда проводится согласно Требованиям, утвержденным Приказом Роскомнадзора от 27.10.2022 N 178. Этим должен заняться ответственный за организацию обработки персональных данных либо созданная вами комиссия (п. 1 Требований).
Исходя из буквального толкования нормы п. 5 ч. 1 ст. 18.1 Закона N 152-ФЗ следует, что оценка проводится заранее, поскольку это профилактическая мера, которая устанавливает возможную оценку вреда, а не уже причиненный вред.
Как указано в материале ст. 18.1, "Научно-практический постатейный комментарий к Федеральному закону "О персональных данных" (2-е издание, переработанное и дополненное) (Савельев А.И.) ("Статут", 2021) {КонсультантПлюс} "оператор должен осуществлять самостоятельную оценку рисков и возможного вреда, который может быть причинен субъектам персональных данных в случае нарушения требований Закона о персональных данных. Основной целью такого аудита является анализ эффективности предпринимаемых организационно-технических мер по защите обрабатываемых персональных данных для минимизации такого рода вреда. Порядок и периодичность проведения такого рода аудита определяется локальным актом оператора.
…Данная мера была заимствована из европейского законодательства, где в качестве одной из ее основных целей обозначается профилактика возможных нарушений, поскольку она позволяет выявлять факторы, влекущие возможность их наступления на ранних стадиях".
Таким образом, оценку вреда, который может быть причинен субъектам персональных данных необходимо проводить заранее, как профилактическую меру, а не при выявлении нарушения закона или при наступлении иных обстоятельств.
В ходе оценки оператор определяет одну из степеней вреда (высокую, среднюю или низкую), который может быть причинен в случае нарушения Закона о персональных данных. Если выясняется, что может быть причинен вред различных степеней, необходимо выбрать более высокую степень вреда (п. п. 2, 6 Требований, утвержденных Приказом Роскомнадзора от 27.10.2022 N 178).
По итогам оценки составляется акт на бумажном носителе или в электронной форме, подписанный согласно законодательству. В документ включают обязательные сведения, в частности, дату проведения оценки и Ф.И.О., должности тех, кто ее делал (п. п. 3 - 5 Требований, утвержденных Приказом Роскомнадзора от 27.10.2022 N 178).
Из буквального содержания Требований следует, что акт оценки вреда должен содержать сведения о соответствующей степени вреда, каких-либо исключений не предусмотрено.
Специалисты Роскомнадзора указали на то, что если в детальности оператора не выявлены случаи, установленные Приказом от 27.10.2022 N 178, то в акте оценки вреда делается вывод об отсутствии степени вреда. Это не будет противоречить требованиям закона. Также обращено внимание, что методика проведения оценки вреда, периодичность проведения, определение комиссии по оценке вреда, право подписи акта оценки вреда относится к исключительной компетенции оператора (Вебинар Роскомнадзора "Защита персональных данных", 27.07.2023 https://vk.com/video-76229642_456239470).
Таким образом, если в деятельности организации нет случаев, указанных в Требованиях, утв. Приказом Роскомнадзора от 27.10.2022 N 178, в акте оценки указывается вывод об отсутствии степени вреда.
По запросу Роскомнадзора вы обязаны представить акт оценки вреда (ч. 4 ст. 18.1 Закона о персональных данных). Также документ понадобится и в случае, если персональные данные неправомерно или случайно переданы (предоставлены, распространены и т.д.) и это нарушило права субъекта персональных данных. Результаты оценки вреда отражаются среди обязательных сведений в первичном уведомлении, которое направляется в Роскомнадзор (п. 1 ч. 3.1 ст. 21 Закона о персональных данных, п. 2 Порядка, утвержденного Приказом Роскомнадзора от 14.11.2022 N 187).
Следует обратить внимание, что определение срока проведения оценки вреда, методику, способы и порядок оформления результатов оператор определяет самостоятельно с учетом специфики своей деятельности.
Рекомендуем ознакомиться с материалом: Готовое решение: Каковы обязанности оператора персональных данных (КонсультантПлюс, 2026) {КонсультантПлюс}.
Настоящая консультация имеет информационно-разъяснительный характер по вопросам применения законодательства Российской Федерации и не препятствует руководствоваться нормами законодательства в понимании, отличающемся от трактовки, изложенной в настоящей консультации.
Услуга оказывается в соответствии с Регламентом Линии консультаций КАДИС.
