Акт оценки вреда субъектам персональных данных: образец и порядок составления

26.06.2026
5
18
Анна Золотарева

Анна Золотарева

Юрист, стаж работы более 10 лет в надзорной деятельности. Эксперт в сфере финансового мониторинга и защиты персональных данных. Руководитель юридического отдела ООО «Научно-Практический Центр Финансового Мониторинга»

Регистрация в Роскомнадзоре за 1 день

Не откладывайте на завтра, чтобы избежать штрафов

Соблюдение требований Федерального закона № 152‑ФЗ «О персональных данных» — обязанность каждого оператора. Один из ключевых документов в этой сфере — акт оценки возможного вреда субъектам персональных данных. Разберём, как его составить, что он должен содержать и какая ответственность предусмотрена за его отсутствие.

Что такое акт оценки вреда субъектам ПД

Акт оценки потенциального вреда субъектам персональных данных (ПД) — это официальный документ, фиксирующий результаты анализа потенциальных или реальных негативных последствий для субъектов ПД из‑за нарушения требований к их обработке и защите.

Документ нужен, чтобы:

  • выявить и классифицировать возможные угрозы безопасности ПД;
  • оценить степень потенциального вреда субъектам;
  • определить меры по снижению рисков и устранению уязвимостей;
  • подтвердить соблюдение требований 152‑ФЗ при проверках контролирующих органов (в т. ч. Роскомнадзора — РКН);
  • минимизировать риски штрафов и иных санкций за нарушения.

Составлять акт обязаны все операторы персональных данных — организации и ИП, обрабатывающие ПД.

Когда составляется акт

Акт оформляется в следующих случаях:

  • Утечка персональных данных или подозрение на несанкционированный доступ к информации.
  • Плановая или внеплановая проверка РКН — для демонстрации мер защиты и оценки рисков.
  • Внутренний аудит безопасности — профилактическая оценка уязвимостей систем обработки ПД.
  • Внедрение новых информационных систем или изменение процессов обработки ПД.
  • По требованию надзорных органов после выявления нарушений.

Кто проводит оценку

Оценку проводит специальная комиссия, назначаемая приказом руководителя организации.

В её состав обычно входят:

  • ответственный за организацию обработки ПД;
  • специалист по информационной безопасности;
  • представитель IT‑отдела;
  • юрист или сотрудник, отвечающий за соблюдение требований 152‑ФЗ;
  • иные специалисты (при необходимости).

Комиссия выявляет угрозы, оценивает риски и фиксирует результаты в акте.

Виды вреда и уровни риска

Вред субъектам ПД классифицируется по типам:

  • Финансовый — убытки из‑за кражи данных банковских карт, мошенничества с кредитами и т. д.
  • Репутационный — ущерб деловой репутации, распространение компрометирующей информации.
  • Физический — угроза здоровью или жизни (актуально для медицинских данных, биометрии).
  • Моральный — психологические страдания из‑за разглашения личной информации.

Уровни риска:

  • низкий (вероятность и последствия минимальны);
  • средний (возможны умеренные негативные последствия);
  • высокий (реальная угроза серьёзного ущерба).

Алгоритм проведения оценки

Пошаговый алгоритм:

  • Выявление угроз: анализ уязвимостей в системах обработки ПД (недостаточная защита, ошибки персонала и т. п.).
  • Классификация данных: определение категорий обрабатываемых ПД и их значимости.
  • Оценка вероятности: расчёт шанса реализации каждой угрозы.
  • Анализ последствий: прогнозирование вреда для субъектов при наступлении угрозы.
  • Определение уровня риска: сопоставление вероятности и тяжести последствий.
  • Разработка мер: предложение способов снижения рисков (технические, организационные).
  • Фиксация результатов: оформление выводов в акте оценки вреда.

Структура и реквизиты акта

Акт должен содержать:

  • наименование организации‑оператора ПД;
  • дату и номер документа;
  • состав комиссии (ФИО и должности);
  • цели и основания проведения оценки (например, «в соответствии с требованиями 152‑ФЗ»);
  • перечень обрабатываемых категорий ПД;
  • описание выявленных угроз и уязвимостей;
  • классификацию видов вреда и уровней риска;
  • меры по устранению или снижению рисков;
  • подписи членов комиссии и дату утверждения руководителем.

Форматы оформления

Акт составляется в двух форматах:

Бумажный — на фирменном бланке организации, с подписями членов комиссии и печатью (если используется).

Электронный — с усиленной квалифицированной электронной цифровой подписью (ЭЦП) всех участников комиссии. Оба варианта юридически равнозначны.

Ответственность за отсутствие документа

Отсутствие акта оценки вреда субъектам ПД — нарушение требований 152‑ФЗ. Это может привести к:

  • штрафам по ст. 13.11 КоАП РФ: для должностных лиц — до 20 000 руб., для организаций — до 100 000 руб.;
  • предписаниям РКН об устранении нарушений;
  • приостановке обработки данных до устранения недостатков;
  • репутационным потерям и искам со стороны субъектов ПД.

Акт образец оценки вреда субъектам

К сожалению, скачать готовый шаблон акта оценки вреда субъектам персональных данных бесплатно нельзя — унифицированной формы документа законодательно не установлено, а корректный вариант требует учёта специфики конкретной организации и процессов обработки персональных данных.

Однако вы можете заказать профессиональную разработку шаблона акта у ООО НПЦ Финансового мониторинга. Мы подготовим документ с учётом:

  • требований Федерального закона № 152‑ФЗ «О персональных данных»;
  • актуальных рекомендаций Роскомнадзора (РКН);
  • особенностей вашей системы обработки персональных данных;
  • внутренних бизнес‑процессов организации.

Соблюдение требований 152‑ФЗ и своевременное оформление акта оценки вреда — залог безопасности персональных данных и защиты вашей организации от штрафов.

Зарегистрируйтесь на вебинар или получите консультацию по любому вопросу

Ваше имя
Номер телефона *
Это поле обязательно для заполнения
E-mail *
Введён некорректный e-mail
Реквизиты компании
Запрещено загружать файл данного типа
Источник
Я даю согласие на обработку моих персональных данных, подтверждаю ознакомление с политикой конфиденциальности и пользовательским соглашением. Оповещен, что на сайте используются файлы cookie и сервисы сбора технических данных посетителей.