Что подлежит отражению в акте оценки вреда, проведенной в соответствии с Требованиями, утвержденными приказом Роскомнадзора от 27.10.2022 N 178, при отсутствии в деятельности оператора предусмотренных случаев обработки персональных данных? Какие риски могут возникнуть в этом случае?

Одной из мер, направленных на обеспечение выполнения оператором обязанностей, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ), является оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения указанного закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных данным законом (п. 5 ч. 1 ст. 18.1 Закона N 152-ФЗ).

Требования к оценке вреда, который может быть причинен субъектам персональных данных, утверждены приказом Роскомнадзора от 27.10.2022 N 178 (далее - Требования).

Оператор для целей оценки вреда с учетом предусмотренных случаев обработки персональных данных определяет одну из трех степеней вреда, который может быть причинен субъекту персональных данных в случае нарушения Закона N 152-ФЗ (подп. 2.1-2.3 п. 2 Требований). Если по итогам проведенной оценки вреда установлено, что в рамках деятельности по обработке персональных данных субъекту могут быть причинены различные степени вреда, то подлежит применению более высокая оценка (п. 6 Требований).

Из содержания Требований также следует, что результаты оценки вреда должны быть оформлены соответствующим актом, содержащим среди прочих сведений степень вреда, которая может быть причинена субъекту персональных данных, в соответствии с подп. 2.1 2.3 п. 2 Требований.

Таким образом, из буквального содержания Требований следует, что акт оценки вреда должен содержать сведения о соответствующей степени вреда, каких-либо исключений не предусмотрено.

При этом представителями Роскомнадзора в ходе публичного мероприятия обращено внимание на то, что если в детальности оператора не выявлены случаи, установленные приказом Роскомнадзора от 27.10.2022 N 178, то в акте оценки вреда делается вывод об отсутствии степени вреда (смотрите материал: Вебинар Роскомнадзора "Защита персональных данных", 27.07.2023 https://vk.com/video-76229642_456239470). Однако оценка вреда и в случаях отсутствия в деятельности операторов установленных Требованиями случаев обработки в силу п. 5 ч. 1 ст. 18.1 Закона N 152-ФЗ подлежит проведению. Сроки, методику, способы и порядок оформления результатов оператор определяет самостоятельно с учетом специфики своей деятельности.

Говоря о возможных рисках, связанных с необоснованными выводами оператора по результатам проведения оценки в отношении степеней вреда или их отсутствии, стоит отметить, что проверка принятия оператором мер, предусмотренных ст. 18.1 Закона N 152-ФЗ, является предметом анализа в ходе проведения Роскомнадзором (его территориальными органами) контрольных (надзорных) мероприятий. Кроме того, обязанность подтвердить принятие установленных ч. 1 ст. 18.1 Закона N 152-ФЗ мер возложена на оператора и в силу ч. 4 ст. 18.1 Закона N 152-ФЗ по запросу Роскомнадзора (территориального органа), например, в ходе рассмотрения обращений субъектов персональных данных.

Непроведение оценки вреда, который может быть причинен субъектам персональных данных, так и необоснованные выводы по результатам проведенной оценки, могут явиться основаниями для выводов о нарушении в деятельности оператора ст. 18.1 Закона N 152-ФЗ, а также Требований и повлечь выдачу оператору по результатам контрольного (надзорного) мероприятия предписания об устранении выявленных нарушений либо в соответствии с возложенными полномочиями требования по результатам рассмотрения обращения (ч. 3 ст. 23 Закона N 152-ФЗ), неисполнение которых может являться основанием для привлечения к административной ответственности.

Ответ подготовил: Эксперт службы Правового консалтинга ГАРАНТ Беликова Татьяна