Приложение N 11. Порядок оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных". Приказ Министерства финансов Красноярского края от 14.06.2023 N 62 "Об обработке персональных данных в министерстве финансов Красноярского края"

Приложение N 11
к приказу министерства
финансов Красноярского края
от 14.06.2023 N 62

Порядок
оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных"

1. Порядок оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Порядок) устанавливает порядок проведения оценки вреда с учетом положений приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 27.10.2022 N 178 "Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных" (далее - приказ Роскомнадзора от 27.10.2022 N 178).

2. Для каждой цели обработки персональных данных степень вреда, который может быть причинен субъекту персональных данных в случае нарушения Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - возможный вред), устанавливается согласно приложению к Порядку.

3. Оценка возможного вреда осуществляется ответственным за организацию обработки персональных данных экспертным методом по каждой цели обработки персональных данных и категории субъектов персональных данных с учетом установленной степени вреда.

4. При оценке возможного вреда определяются вероятные негативные последствия, предусмотренные статьями 15, 151, 152 Гражданского кодекса Российской Федерации, для категории субъектов персональных данных от нарушения в отношении персональных данных таких свойств информации как конфиденциальность, целостность, доступность, подлинность.

5. Для вероятных негативных последствий от нарушения свойств информации может определяться следующий уровень возможного вреда:

а) возможный вред отсутствует - если нарушение свойств персональных данных не может привести к каким-либо негативным последствиям для субъекта персональных данных;

б) низкий уровень возможного вреда - если нарушение свойств безопасности персональных данных может привести к незначительным негативным последствиям для субъекта персональных данных;

в) средний уровень возможного вреда - если нарушение свойств безопасности персональных данных может привести к негативным последствиям для субъекта персональных данных;

г) высокий уровень возможного вреда - если нарушение свойств безопасности персональных данных может привести к значительным негативным последствиям для субъекта персональных данных.

6. Результаты оценки возможного вреда оформляются актом с учетом требований, установленных приказом Роскомнадзора от 27.10.2022 N 178.

7. Акт оценки возможного вреда подлежит согласованию с сотрудником министерства, ответственным за обеспечение безопасности персональных данных в информационных системах персональных данных министерства, в случае обработки персональных данных в информационных системах министерства.

8. Акт оценки возможного вреда утверждается заместителем министра, курирующим вопросы информационной безопасности.