Образ ответа можно посмотреть в телеграм.
Согласно ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ Оператор персональных данных обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом № 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами. К таким мерам, в частности, относится оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона № 152-ФЗ. При этом оценка вреда должна проводиться в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных.
В соответствии с п. 5 ч. 1 ст. 18.1 Федерального закона № 152-ФЗ, абз. 2 п. 1 Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденного постановлением Правительства Российской Федерации от 16 марта 2009 г. № 228, Роскомнадзором утверждены Требования к оценке вреда.
Во исполнение п. 2 Требований к оценке вреда, Оператор персональных данных для целей оценки вреда определяет одну из степеней вреда, который может быть причинен субъекту персональных данных в случае нарушения Федерального закона № 152-ФЗ.
Результаты оценки вреда оформляются актом оценки вреда, который в соответствии с п. 4 Требований к оценке вреда должен содержать наименование или фамилию, имя, отчество (при наличии) и адрес Оператора персональных данных, дату издания акта оценки вреда, дату проведения оценки вреда, фамилию, имя, отчество (при наличии), должность лиц (лица) (при наличии), проводивших оценку вреда, а также их (его) подпись, степень вреда, которая может быть причинена субъекту персональных данных, в соответствии с подпунктами 2.1-2.3 пункта 2 Требований к оценке вреда.
В случае если по итогам проведенной оценки вреда установлено, что в рамках деятельности по обработке персональных данных субъекту персональных данных в соответствии подпунктами 2.1-2.3 пункта 2 Требований к оценке вреда могут быть причинены различные степени вреда, подлежит применению более высокая степень вреда (п. 6 Требований к оценке вреда).
При этом Требованиями к оценке вреда не установлена обязанность по указанию Оператором персональных данных в акте оценки вреда сведений об информационных системах персональных данных.
Обращаем также Ваше внимание, что с учетом оценки возможного вреда, проведенной во исполнение п. 5 ч. 1 ст. 18.1 Федерального закона № 152-ФЗ, и в соответствии с нормативными правовыми актами, принятыми во исполнение ч. 5 ст. 19 Федерального закона № 152-ФЗ, Оператором персональных данных производится определение типа угроз безопасности персональных данных, актуальных для конкретной информационной системы персональных данных (п. 7 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных Постановлением Правительства Российской Федерации от 01.11.2012 г. № 1119).
