Кибероснова | 152-ФЗ — документы по защите персональных данных
GOLD — нет конкуренции
152-ФЗ20265 мин

Акт оценки вреда субъектам персональных данных: образец

Акт оценки вреда субъектам ПДн по Постановлению Правительства РФ № 1119: образец, виды вреда, пошаговая инструкция по составлению и связь с определением уровня защищённости.

Что такое акт оценки вреда субъектам ПДн

Акт оценки вреда субъектам персональных данных — это внутренний документ организации, в котором фиксируются результаты анализа возможного ущерба, который может быть причинён физическим лицам (субъектам ПДн) в случае нарушения безопасности их персональных данных.

Обязанность проводить оценку вреда установлена частью 5 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ и конкретизирована в Постановлении Правительства РФ от 01.11.2012 № 1119. Согласно пункту 7 ПП 1119, определение типа угроз безопасности персональных данных, актуальных для ИСПДн, производится оператором с учётом оценки возможного вреда.

Роль акта в системе защиты ПДн

Акт оценки вреда выполняет следующие функции:

  • Обосновывает тип актуальных угроз — результаты оценки вреда напрямую влияют на определение типа угроз (1-й, 2-й или 3-й);
  • Влияет на уровень защищённости — через тип угроз оценка вреда определяет требуемый уровень защиты (УЗ-1 — УЗ-4);
  • Документирует риски — фиксирует, какие негативные последствия могут наступить для субъектов ПДн;
  • Демонстрирует добросовестность оператора — подтверждает, что оператор осознанно подходит к защите данных.

Акт оценки вреда составляется до определения уровня защищённости и является одним из входных документов для акта определения УЗ.

Зачем нужен акт оценки вреда по ПП 1119

Постановление Правительства РФ от 01.11.2012 № 1119 устанавливает прямую связь между оценкой вреда и определением требований к защите персональных данных.

Требования ПП 1119

Согласно пункту 7 ПП 1119: «Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учётом оценки возможного вреда, проведённой во исполнение пункта 5 части 1 статьи 18.1 Федерального закона «О персональных данных»».

Это означает, что оценка вреда — необходимый этап перед определением уровня защищённости. Без неё оператор не может обосновать выбор типа актуальных угроз.

Последовательность действий

  1. Оценка вреда — анализ возможных негативных последствий для субъектов ПДн;
  2. Определение типа актуальных угроз — с учётом результатов оценки вреда;
  3. Определение уровня защищённости — на основании типа угроз, категории ПДн и объёма данных;
  4. Выбор мер защиты — в соответствии с установленным уровнем защищённости.

Нормативная база

  • Федеральный закон от 27.07.2006 № 152-ФЗ, пункт 5 части 1 статьи 18.1;
  • Постановление Правительства РФ от 01.11.2012 № 1119, пункт 7;
  • Методика оценки угроз ФСТЭК от 05.02.2021 — содержит подходы к оценке ущерба;
  • Базовая модель угроз безопасности ПДн (утверждена ФСТЭК 15.02.2008).

Виды вреда субъектам персональных данных

Вид вредаОписаниеПримеры последствийСтепень тяжести
Материальный вредФинансовые потери субъекта ПДн в результате утечки или неправомерного использования данныхХищение денежных средств, мошенничество с использованием паспортных данных, оформление кредитов на чужое имяВысокая
Моральный вредНравственные страдания, ущерб деловой репутации, нарушение неприкосновенности частной жизниРазглашение сведений о состоянии здоровья, распространение персональных данных без согласия, публикация личной информацииСредняя — высокая
Вред жизни и здоровьюУгроза физической безопасности субъекта в результате раскрытия данных о местонахождении или состоянии здоровьяУтечка данных о месте проживания защищаемого лица, раскрытие диагноза, утечка данных из медицинской ИСПДнКритическая
ДискриминацияОграничение прав субъекта на основании раскрытых персональных данныхОтказ в трудоустройстве на основании данных о здоровье, национальности или религиозных убежденийВысокая
Иной нематериальный вредУщерб, не относящийся к вышеперечисленным категориямНежелательные рекламные рассылки, навязчивые звонки, спам после утечки контактных данныхНизкая — средняя

Как составить акт оценки вреда: 4 шага

  1. 1

    Определите перечень обрабатываемых ПДн и категории субъектов

    Составьте полный перечень персональных данных, обрабатываемых в каждой ИСПДн: ФИО, паспортные данные, контактные данные, сведения о здоровье и т.д. Определите категории субъектов: сотрудники, клиенты, контрагенты, несовершеннолетние. Чем более чувствительные данные обрабатываются, тем выше потенциальный вред.

  2. 2

    Определите возможные негативные последствия для каждой категории

    Для каждого вида обрабатываемых ПДн определите, какой вред может быть причинён субъекту в случае утечки, несанкционированного доступа, уничтожения или модификации данных. Оцените материальный, моральный вред, угрозу жизни и здоровью, возможность дискриминации. Учитывайте специфику данных: утечка паспортных данных опаснее, чем утечка e-mail.

  3. 3

    Оцените степень вреда и присвойте уровень значимости

    Классифицируйте потенциальный вред по степени тяжести: незначительный (субъект испытывает неудобства, но без серьёзных последствий), средний (субъект несёт ощутимые финансовые или моральные потери), значительный (субъекту причиняется существенный ущерб — крупные финансовые потери, угроза здоровью, серьёзный моральный вред). Оценка степени вреда влияет на выбор типа актуальных угроз.

  4. 4

    Оформите акт и утвердите его у руководителя

    Зафиксируйте результаты оценки в акте: перечислите ИСПДн, категории субъектов, виды возможного вреда, степень тяжести и итоговое заключение. Акт подписывается комиссией и утверждается руководителем организации. Результаты оценки вреда используются на следующем этапе — при определении типа актуальных угроз и уровня защищённости.

Образец акта оценки вреда субъектам ПДн

УТВЕРЖДАЮ Генеральный директор ООО «_» _____________ / ФИО / «» ________ 2026 г.

АКТ оценки вреда, который может быть причинён субъектам персональных данных в случае нарушения Федерального закона от 27.07.2006 № 152-ФЗ

Комиссия в составе: Председатель комиссии: _______________ (должность, ФИО) Члены комиссии: — _______________ (должность, ФИО) — _______________ (должность, ФИО)

провела оценку вреда, который может быть причинён субъектам персональных данных в случае нарушения безопасности ПДн, в соответствии с п. 5 ч. 1 ст. 18.1 152-ФЗ и п. 7 ПП РФ от 01.11.2012 № 1119.

1. Информационная система: Наименование ИСПДн: _______________

2. Категории субъектов и обрабатываемые ПДн: — Сотрудники: ФИО, паспортные данные, СНИЛС, ИНН, адрес, телефон; — Клиенты: ФИО, телефон, e-mail, адрес доставки.

3. Оценка возможного вреда:

Категория субъектовВид вредаСтепень тяжести
СотрудникиМатериальный (мошенничество с паспортными данными)Средняя
СотрудникиМоральный (разглашение персональной информации)Средняя
КлиентыМатериальный (нежелательные контакты, спам)Незначительная
КлиентыМоральный (нарушение конфиденциальности)Незначительная

4. Заключение: По результатам оценки, потенциальный вред субъектам ПДн оценивается как средний. Рекомендуется установить 3-й тип актуальных угроз.

Председатель комиссии: _________ / ФИО / Члены комиссии: _________ / ФИО / _________ / ФИО /

Скачать образец

Актуальный бланк 2026 года в формате DOCX

Скачать

Связь акта оценки вреда с определением уровня защищённости

Акт оценки вреда составляется до определения уровня защищённости ПДн. Результаты оценки вреда используются для обоснования типа актуальных угроз (1-й, 2-й или 3-й тип), который, в свою очередь, является ключевым параметром при определении уровня защищённости по ПП 1119. Если ваша организация ещё не составила акт оценки вреда, начните с него, а затем переходите к акту определения уровня защищённости.

Создайте акт оценки вреда субъектам ПДн за 5 минут

Конструктор проведёт вас через все этапы оценки и сформирует готовый акт с учётом категорий ваших данных и субъектов.

Создать акт

Часто задаваемые вопросы

Да, оценка вреда является обязательной. Пункт 5 части 1 статьи 18.1 Федерального закона № 152-ФЗ обязывает оператора оценивать вред, который может быть причинён субъектам ПДн. А пункт 7 ПП 1119 требует проводить оценку вреда для определения типа актуальных угроз. Результаты рекомендуется оформлять в виде акта.

Нужна помощь с этим документом?

«Акт оценки вреда субъектам персональных данных: образец» — сложный документ, который требует экспертизы. Обратитесь к специалистам Кибероснова — мы подготовим его под вашу организацию.

Укажите телефон или email — хотя бы одно обязательно

Нажимая кнопку, вы соглашаетесь с политикой конфиденциальности

Нужен полный пакет документов по 152-ФЗ?

Подготовим комплект под ключ с адаптацией под ваш бизнес. Можно собрать самостоятельно.

Связанные материалы