В конце октября, например, Роскомнадзор подписал приказ «Об утверждении требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения закона "О персональных данных"». Он вводит три уровня вреда: высокий, средний и низкий. К высокому, например, отнесена биометрия, а также персональные данные, характеризующие политические взгляды граждан, состояние здоровья или интимную жизнь. Компании, обрабатывающие личные данные граждан, должны оценивать уровень вреда, который будет нанесен гражданину в случае утечки.
В Роскомнадзоре “Ъ” уточнили, что ответственность за неисполнение приказа не установлена, но в случае утечки наличие оценки вреда будет учитываться при проведении проверки и «избрании меры административного наказания судом».
Однако специалисты по защите персональных данных от приказа Роскомнадзора «пришли в некоторое удивление», говорит преподаватель Moscow Digital School Олег Блинов. Ведомство считает, что оператор должен оценить вред, а в следующем пункте сам же заранее оценил его, «такой формалистический подход сводит попытки защитить частную жизнь граждан к соблюдению формы, а не содержания», объясняет он. Пока все изменения со стороны регуляторов носят организационный характер, отмечает руководитель направления разрешения IT&IP-споров юридической фирмы «Рустам Курмаев и партнеры» Ярослав Шицле.