Нужно ли уведомлять Роскомнадзор о том, что организация определила высокую степень риска при утечке персональных данных в акте оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения 152-ФЗ?

Рассмотрев Ваш вопрос, сообщаем:
Уведомлять Роскомнадзор о том, что организация определила высокую степень риска при оценке вреда субъектам персональных данных, не требуется. Оценка степени вреда — это внутренний процесс, который проводится оператором в рамках соблюдения требований к обеспечению безопасности персональных данных. Результаты такой оценки фиксируются в акте, но не направляются в Роскомнадзор как отдельный документ.
Согласно п. 5 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», ответственный за обработку персональных данных или специально созданная комиссия обязаны проводить оценку вреда, который может быть причинён субъектам персональных данных в случае нарушения этого закона.
Роскомнадзор утвердил требования к такой оценке (приказ от 27.10.2022 № 178). Они действуют до 1 марта 2029 года. В соответствии с этими требованиями, выделяют три степени вреда:
Высокая. Устанавливается, например, при обработке биометрических данных, специальных категорий персональных данных (расовая, национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимная жизнь, сведения о судимости), персональных данных несовершеннолетних.
Средняя. Например, при распространении данных на официальном сайте оператора, обработке в целях, отличных от первоначальной, и др.
Низкая. Например, при ведении общедоступных источников персональных данных (справочники, адресные книги и т. д.).
Результаты оценки оформляются актом оценки вреда. В нём должны быть указаны:
— наименование или Ф.И.О. (при наличии) и адрес оператора;
— дата издания акта;
— дата проведения оценки вреда;
— Ф.И.О. (при наличии), должности лиц, проводивших оценку, и их подписи;
— степень вреда, которая может быть причинена субъекту персональных данных.
Акт составляется в произвольной форме — на бумаге или в электронном виде. Электронный акт должен быть подписан усиленной квалифицированной электронной подписью.
Если по итогам оценки установлено, что в рамках деятельности по обработке персональных данных субъекту могут быть причинены различные степени вреда, применяется более высокая степень.
Когда нужно уведомлять Роскомнадзор
Роскомнадзор необходимо уведомлять в следующих случаях:
При утечке персональных данных. Если произошёл инцидент, повлёкший неправомерную передачу, предоставление, распространение или доступ к персональным данным без согласия субъекта, оператор обязан направить в Роскомнадзор первичное уведомление в течение 24 часов с момента выявления факта утечки. В течение 72 часов нужно предоставить дополнительное уведомление с результатами внутреннего расследования.
При трансграничной передаче данных. Если оператор передаёт персональные данные за границу, он должен заранее уведомить Роскомнадзор.
При изменениях в сведениях об обработке данных. Если изменились данные, которые ранее были предоставлены в уведомлении об обработке (начале обработки) персональных данных, нужно уведомить Роскомнадзор не позднее 15 числа месяца, следующего за месяцем, в котором произошли изменения.
Таким образом, сама по себе оценка степени вреда и её результаты не требуют уведомления Роскомнадзора. Однако если в результате обработки данных с высокой степенью риска произойдёт инцидент (например, утечка), оператор будет обязан уведомить ведомство в установленные сроки.

Документы: Готовое решение: Каковы обязанности оператора персональных данных (КонсультантПлюс, 2026) {КонсультантПлюс}, Вопрос: Каким образом необходимо оформить результаты оценки потенциального вреда субъектам персональных данных? (Подборки и консультации Горячей линии, 2023) {КонсультантПлюс}