Согласно п. 5 ч. 1 ст. 18.1 Закона № 152-ФЗ ответственное лицо — Оператор персональных данных — проводит оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона № 152-ФЗ.
Требования к такой оценке утверждены приказом Роскомнадзора от 27.10.2022 № 178 (далее – Требования).
Требования предусматривают три степени вреда – низкую, среднюю и высокую.
Высокая степень вреда устанавливается в случаях (п. 2.1 Требований):
- обработки биометрических персональных данных,
- обработки персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, сведений о судимости.
- обработки персональных данных несовершеннолетних
- обезличивания персональных данных (в том числе для проведения оценочных (скоринговых) исследований), оказания услуг по прогнозированию поведения потребителей товаров и услуг, а также других исследований, не предусмотренных п. 9 ч. 1 ст. 6 Закона № 152-ФЗ;
- поручения иностранному лицу (иностранным лицам) вести обработку персональных данных граждан РФ;
- сбора персональных данных с использованием баз данных, находящихся за пределами РФ.
Резюме: учитывая, что на сайте не производится обработка ПД по всем вышеперечисленным параметрам, нельзя оценить высокой степень вреда при нарушениях обработке ПД на сайте.
Средняя степень вреда устанавливается в случаях (п. 2.2 Требований):
- распространения персональных данных на официальном сайте оператора, а также их предоставление неограниченному кругу лиц, кроме случаев, установленных законом (пп. 1.1 ст. 3 Закона № 152-ФЗ);
- обработки персональных данных в целях, отличных от первоначальной цели сбора (например, если изначально предполагались сбор и хранение, а затем потребовалась их передача третьему лицу);
- продвижения товаров, работ, услуг на рынке путём прямых контактов с потребителем с использованием баз персональных данных, владельцем которых является другой оператор;
- получения согласия на обработку персональных данных на сайте оператора, который не предусматривает дальнейшую идентификацию и (или) аутентификацию субъекта персональных данных;
- обработки персональных данных с получением согласия на передачу права их обработки третьими лицам в целях, которые несовместимы с целями сбора таких данных (ч. 2 ст. 5 Закона № 152-ФЗ).
Резюме: поскольку на сайте требуется получение согласия на обработку ПД, не предусматривающую дальнейшую идентификацию Пользователя сайта, а также предоставляются услуги рекламной площадки, степень вреда при обработке ПД на сайте можно установить как среднюю.
Низкая степень вреда устанавливается в случаях (п. 2.3 Требований):
- ведения общедоступных источников персональных данных, сформированных в соответствии со ст. 8 Закона № 152-ФЗ (например, справочники, адресные книги и т. д.);
- назначения ответственным за обработку персональных данных лица, которое не является штатным сотрудником оператора.
Вывод:
На сайте https://sadapteka.ru устанавливается средняя степень вреда, который может быть причинён Пользователю сайта в случае нарушения Закона №152-ФЗ.
Оценка произведена Оператором персональных данных на сайте Касьяновой Евгенией Николаевной.
Так как форма оценки вреда на данный момент не утверждена законодателем, оценка составлена в произвольной форме.
10 мая 2025 года
