Уже с марта все учреждения обязаны подготовить акт об оценке степени вреда, который можете причинить в случае утечки персональных данных. Дожидаться утечки нельзя — акт важно составить заранее, чтобы вовремя уведомить Роскомнадзор (п. 5 ст. 18.1 Закона от 27.07.2006 № 152-ФЗ, далее — Закон № 152-ФЗ).
При утечке данных на это будет всего 24 часа (приказ Роскомнадзора от 14.11.2022 № 187). Без этого акта коллеги из IT-службы или службы безопасности не смогут подготовить такое уведомление. Предварительные результаты оценки вреда при утечке персональных данных — одно из обязательных полей документа.
Провести такую оценку — это не новая обязанность, но правил, как это делать, и требований актировать результат раньше не было. Поэтому, даже если вы уже этим занимались, все равно надо оставить акт с учетом новых требований Роскомнадзора (приказ от 27.10.2022 № 178, далее — Приказ № 178).
Как определить степень вреда
Главная задача при составлении акта — правильно оценить степень возможного вреда. Она зависит от вида персональных данных, которые вы обрабатываете, и от конкретных операций с ними. Подробнее смотрите в чек-листе.
Как составить акт
Акт оценки вреда можно составить на бумаге или в электронном виде с электронной подписью. Знакомить работников при приеме на работу не нужно. Данный документ придется предъявить Роскомнадзору в случае проверки, п. 4 ст. 18.1 Закона № 152-ФЗ.
Факт уничтожения персональных данных также надо фиксировать двумя документами — актом об уничтожении персональных данных и выгрузкой из журнала регистрации событий в информационной системе персональных данных. Требования к документам Роскомнадзор утвердил приказом от 28.10.2022 № 179, далее — Приказ № 179.
Как составить акт
Акт можно составлять индивидуально или с помощью комиссии. Форму акта и выгрузки утвердите приказом. Чиновники Роскомнадзора образец не привели, лишь указали, что в нем должно быть. Мы разработали форму с учетом всех требований. Читайте подробнее, как уничтожать персональные данные по новым правилам и формам.