Автор: Avstry, *** | 110717 | 06.03.2023 15:41 |
Добрый день, существует такой документ как оценка вреда, с 1 марта вступил в силу приказ "об утверждении требований к оценке вреда, который может быть причинен субъектам персональных данных". Периодически формировали акт, пытаясь с юристами что-то сформировать адекватное, и убирали его в темный угол. С выходом приказа надеялся получить разъяснения, но в приказе чуть уточнили как определять степени, по факту документ так же остался "мертвым".
Вопрос, на что влияет этот документ, как его воспринимать, как его применять? |
Автор: oko | 110719 | 06.03.2023 20:56 |
imho, технически, результат оценки вреда должен использоваться при моделировании угроз (в рамках определения последствий/ущерба), при создании КСЗ (в рамках выбора оптимальных затрат на ее реализацию, если ИОД == исключительно ПДн) и при эксплуатации ОИ (в рамках размера удара по шапке за пропущенные УБИ к ПДн)...
Только регуляторы как всегда не договорились и не выстроили стройную схему заранее, да и в части оценки ущерба в период суда, imho, этот Акт не будет играть никакой роли... imho, там есть проблемы по-серьезнее: - не вижу в приведенных критериях оценки вреда ни одного применимого к классическим "кадровым" и т.п. ИСПДн (читай, делопроизводство по работникам Оператора), т.е. не вижу в принципе - какой тогда уровень вреда фиксировать? Приказ лишен формулировок в стиле "если ни один критерий не подходит - применять Низкую степень вреда"... - фраза про "обезличивание ПДн, в том числе..." при чтении "в лоб" намекает на отказ от любых методов обезличивания ПДн (ибо теперь автоматом Высокая степень вреда). Но как быть с ЗНИ.8 в 21 Приказе ФСТЭК - обезличивание же там считается "мерой защиты", т.е. априори не должно повышать возможную степень вреда субъекту ПДн... |
Автор: Ivygin | 110868 | 05.05.2023 15:15 |
to Avstry, ***
На ....Вопрос, на что влияет этот документ,... 152-ФЗ. Статья 18.1. Оператор обязан представить документы .....оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом.....по запросу уполномоченного органа по защите прав субъектов персональных данных. |
Автор: Петр | 111428 | 03.05.2024 16:10 |
Только сел за оценку вреда и оценил проблемы озвученные oko.
Вопрос. Я правильно понимаю, что раз РКН приравнивает сведения о состоянии здоровья в листке нетрудоспособности, медкнижке или военном билете к персданным из специальной категории, то за организациями остается выбор только Высокой степени вреда. Выбор без выбора. Ведь все ведут воинский учет. Требования утвержденные приказом Роскомнадзора от 27.10.2022 N 178 2.1. Высокую в случаях: обработки специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, сведений о судимости, за исключением случаев, установленных федеральными законами, предусматривающими цели, порядок и условия обработки специальных категорий персональных данных; |
Автор: oko | 111429 | 05.05.2024 21:44 |
to Петр
Не все так однозначно. И судебная практика это тоже подтверждает. imho, при простом кадровом делопроизводстве (даже с учетом воинских особенностей, ага) никаких "спец.категорий ПДн" не обрабатывается. Если только работодатель сам не лезет в бутылку, протоколируя каждый диагноз и/или прописанные/проходящие методы лечения, каждое отклонение психического или физического здоровья и т.п. по работникам... Все упирается в несогласованную терминологию и действия Минздрава, РКН и остальных причастных. Даже с учетом 323-ФЗ (в части определения "здоровья" и "состояния") и 149-ФЗ (в части "информации" и "сведений"). А также в лень регулирования всех вопросов по ПДн по стране в стиле "однозначно, понятно и конкретно". Ну и в классическое: законодатель обязан что-то написать, исполнитель это что-то исполнить, а суд уже трактовать и решать - при этом ни один не заморачивается над комплексностью подхода... Это как с "показателями значимости" и всей диспозицией в КИИ. Умники по приколу выставили некорректный режим работы автоматизированного оборудования - работник порезал палец. Что на выходе? Есть ущерб здоровью (ибо по букве Минздрава), есть компьютерная атака (ибо воздействие было на компьютер с использованием соответствующих информационных интерфейсов). Т.е. при желании и по букве можно притянуть необходимость категорирования такого оборудования (с 3 кат. по социальной значимости, ага)... |
Автор: Петр | 111430 | 06.05.2024 11:42 |
2 oko Большое спасибо за развернутый ответ.
Так суть в том, что военных билетах, приписных даже нет прямой информации о состоянии здоровья, только категория годности - А,Б,В,Г,Д и ее описание годен, годен с незн. ограничениями, и т.д. Но что поделать.. |
Автор: nekto | 111432 | 06.05.2024 13:13 |
to Петр
"...суть в том, что военных билетах, приписных даже нет прямой информации о состоянии здоровья..." Ну так и не трактуйте эту информацию, как сведения о состоянии здоровья, трактуйте ее как сведения военного билета.... |
Автор: Петр | 111433 | 07.05.2024 17:47 |
2 nekto Очень интересный вариант, видимо в данной ситуации и самый правильный. Спасибо!
|
Автор: Петр | 111434 | 07.05.2024 17:51 |
Но какую тогда выбрать степень возможного вреда для "классических "кадровых" и т.п. ИСПДн"?! Если не один пункт не подходит. И самое главное каким критерием обосновывать..
|
Автор: Петр | 111435 | 08.05.2024 12:42 |
Получился примерно такой текст.
В связи с отсутствием подходящих критериев определения одной из степеней вреда, который может быть причинен субъекту персональных данных в случае нарушения Закона, согласно п.2 Требований, утвержденных приказом Роскомнадзора от 27.10.2022 №178 и на основании того, что оператор обрабатывает иные категории персональных данных сотрудников оператора и иные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора установлено, что степень вреда, который может быть причинен субъектам персональных данных обрабатываемых оператором - низкая. |
Просмотров темы: 1453