Приложение 4. Приказ департамента по обеспечению деятельности мировых судей Краснодарского края от 26.09.2023 N 86 "О внесении изменений в приказ департамента по обеспечению деятельности мировых судей Краснодарского края от 21.11.2018 N 262 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных" в департаменте по обеспечению деятельности мировых судей Краснодарского края"

Приложение 4
к приказу департамента по
обеспечению деятельности мировых
судей Краснодарского края
от 26 сентября 2023 N 86

"Приложение 12

УТВЕРЖДЕНА
приказом департамента по
обеспечению деятельности мировых
судей Краснодарского края
от 21 ноября 2018 г. N 262
(в редакции приказа департамента по
обеспечению деятельности мировых
судей Краснодарского края
от 26 сентября 2023 N 86)

Оценка
вреда, который может быть причинён субъектам персональных данных департамента по обеспечению деятельностей мировых судей Краснодарского края

1. Общие положения

1.1. Настоящий документ содержит оценку вреда, который может быть причинён субъектам персональных данных, (далее - оценка возможного вреда), обрабатываемых в департаменте по обеспечению деятельности мировых судей Краснодарского края (далее - Департамент), методику проведения оценки вреда, а также соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных").

1.2. Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных", осуществляется в соответствии с требованиями статьи 18.1 Федерального закона "О персональных данных".

1.3. Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных", осуществляется ответственным за организацию обработки персональных данных Департамента.

1.4. Методика оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных", разработана в соответствии с приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 27 октября 2022 г. N 178 "Об утверждении требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных"" (далее - Требования к оценке вреда) и представлена в разделе 3 настоящего документа.

2. Термины и определения

2.1. Персональные данные - любая информация, относящаяся к прямо или косвенно определённому, или определяемому физическому лицу (субъекту персональных данных).

2.2. Специальные категории персональных данных - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных.

2.3. Биометрические персональные данные - персональные данные, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных (за исключением сведений, относящихся к специальным категориям персональных данных).

2.4. Персональные данные, разрешенные субъектом персональных данных для распространения - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом "О персональных данных".

2.5. Иные персональные данные - любая информация, относящаяся к прямо или косвенно определённому, или определяемому физическому лицу (субъекту персональных данных), за исключением персональных данных, относящихся к специальным, биометрическим или общедоступным персональным данным.

2.6. Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

2.7. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределённому кругу лиц.

2.8. Предоставление персональных данных - действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц.

2.9. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

2.10. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

2.11. Конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определённой информации, требование не передавать такую информацию третьим лицам без согласия её обладателя.

2.12. Целостность информации - состояние информации, при котором отсутствует любое её изменение либо изменение осуществляется только преднамеренно субъектами, имеющими право на такое изменение.

2.13. Доступность информации - состояние информации (ресурсов информационной системы), при которой субъекты, имеющие права доступа, могут реализовать их беспрепятственно.

3. Методики оценки возможного вреда

3.1. Вред субъекту персональных данных возникает в результате неправомерного или случайного доступа к персональным данным, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

3.2. Перечисленные неправомерные действия определяются как следующие нарушения характеристик безопасности информации (персональных данных):

3.2.1. Неправомерное предоставление, распространение и копирование персональных данных являются нарушением конфиденциальности персональных данных.

3.2.2. Неправомерное блокирование персональных данных является нарушением доступности персональных данных.

3.2.3. Неправомерное уничтожение персональных данных является нарушением доступности и целостности персональных данных.

3.2.4. Неправомерное изменение персональных данных является нарушением целостности персональных данных.

3.2.5. Нарушение права субъекта персональных данных требовать от оператора персональных данных уточнения его персональных данных, их блокирования или уничтожение является нарушением целостности информации.

3.2.6. Нарушение права субъекта на получение информации, касающейся обработки его персональных данных, является нарушением доступности персональных данных.

3.2.7. Обработка персональных данных, выходящая за рамки установленных и законных целей обработки, в объёме больше необходимого для достижения установленных и законных целей и дольше установленных сроков является нарушением конфиденциальности персональных данных.

3.2.8. Неправомерное получение персональных данных от лица, не являющегося субъектом персональных данных, является нарушением конфиденциальности персональных данных.

3.3. Субъекту персональных данных может быть причинён вред в форме:

3.3.1. Морального вреда - физические или нравственные страдания, причинённые субъекту персональных данных, действиями (или бездействием) оператора персональных данных, нарушающими личные неимущественные права субъекта персональных данных, либо посягающими на принадлежащие субъекту персональных данных нематериальные блага, а также в других случаях, предусмотренных законом.

3.3.2. Убытков - расходы, которые лицо (субъект персональных данных), чьё право нарушено, произвело или должно будет произвести для восстановления нарушенного права, утрата или повреждение его имущества (реальный ущерб), а также неполученные доходы, которые это лицо получило бы при обычных условиях гражданского оборота, если бы его право не было нарушено (упущенная выгода).

3.4. Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных" определяется в соответствии с пунктом 2 Требований к оценке вреда и представлена следующими качественными критериями оценки:

3.4.1. Высокая степень вреда в случаях:

обработки сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, за исключением случаев, установленных федеральными законами, предусматривающими цели, порядок и условия обработки биометрических персональных данных;

обработки специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, сведений о судимости, за исключением случаев, установленных федеральными законами, предусматривающими цели, порядок и условия обработки специальных категорий персональных данных;

обработки персональных данных несовершеннолетних для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является несовершеннолетний, а также для заключения договора по инициативе несовершеннолетнего или договора, по которому несовершеннолетний будет являться выгодоприобретателем или поручителем в случаях, не предусмотренных пунктом 5 части 1 статьи 6 Федерального закона "О персональных данных";

обезличивания персональных данных, в том числе с целью проведения оценочных (скоринговых) исследований, оказания услуг по прогнозированию поведения потребителем товаров и услуг, а также иных исследований, не предусмотренных пунктом 9 части 1 статьи 6 Федерального закона "О персональных данных";

поручения иностранному лицу (иностранным лицам) осуществлять обработку персональных данных граждан Российской Федерации;

сбора персональных данных с использованием баз данных, находящихся за пределами Российской Федерации.

3.4.2. Средняя степень вреда в случаях:

распространения персональных данных на официальном сайте в информационно-телекоммуникационной сети "Интернет" оператора, а равно предоставление персональных данных неограниченному кругу лиц, за исключением случаев, установленных федеральными законами, предусматривающими цели, порядок и условия такой обработки персональных данных;

обработки персональных данных в дополнительных целях, отличных от первоначальной цели сбора;

продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с использованием баз персональных данных, владельцем которых является иной оператор;

получения согласия на обработку персональных данных посредством реализации на официальном сайте в информационно-телекоммуникационной сети "Интернет" функционала, не предполагающего дальнейшую идентификацию и (или) аутентификацию субъекта персональных данных;

осуществления деятельности по обработке персональных данных, предполагающей получение согласия на обработку персональных данных, содержащего положения о предоставлении права осуществлять обработку персональных данных определенному и (или) неопределенному кругу лиц в целях, несовместимых между собой.

3.4.3. Низкая степень вреда в случаях:

ведения общедоступных источников персональных данных, сформированных в соответствии со статьей 8 Федерального закона "О персональных данных";

назначения в качестве ответственного за обработку персональных данных лица, не являющегося штатным сотрудником оператора.

3.5. В случае если по итогам проведенной оценки вреда установлено, что в рамках деятельности по обработке персональных данных субъекту персональных данных в соответствии подпунктами 2.1 - 2.3 пункта 2 Требований к оценке вреда могут быть причинены различные степени вреда, подлежит применению более высокая степень вреда.

4. Результаты оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных"

4.1. Результаты оценки вреда оформляются актом оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных".

4.2. Акт оценки вреда., который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных", должен содержать:

наименование или фамилию, имя, отчество (при наличии) и адрес оператора;

дату издания акта оценки вреда;

дату проведения оценки вреда;

фамилию, имя, отчество (при наличии), должность лиц (лица) (при наличии), проводивших оценку вреда, а также их (его) подпись;

степень вреда, которая может быть причинена субъекту персональных данных, в соответствии с пунктом 3.4 Настоящего документа.

4.3. Форма акта оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных", приведена в приложении 1 к Настоящему документу.

5. Соотношение возможного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных"

5.1. В Департаменте принимаются правовые, организационные и технические меры, необходимые и достаточные для обеспечения исполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них.

5.2. Состав мер, направленных на защиту персональных данных, определяется исходя из требований, установленных:

Федеральным законом Российской Федерации от 27 июля 2006 г. N 152-ФЗ "О персональных данных";

Федеральным законом Российской Федерации от 2 марта 2007 г. N 25-ФЗ "О муниципальной службе в Российской Федерации";

Федеральным законом Российской Федерации от 2 мая 2006 г. N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации";

Федеральным законом Российской Федерации от 25 декабря 2008 г. N 273-ФЗ "О противодействие коррупции";

Указом Президента Российской Федерации от 30 мая 2005 г. N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела";

Постановлением Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами";

Постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке информационных системах персональных данных";

Постановлением Правительства Российской Федерации от 15 августа 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";

приказом Федеральной службы по техническому и экспертному контролю Российской Федерации от 18 февраля 2013 г. N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";

приказом Федеральной службы по техническому и экспертному контролю Российской Федерации России от 11 февраля 2013 г. N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах".

5.3. Соотношение возможного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных", приведено в приложении 2 к настоящему документу.

Начальник отдела организационного и информационно-технического обеспечения

В.В. Ишутин

Приложение 1
к оценке вреда, который может быть
причинён субъектам персональных
данных департамента по
обеспечению деятельности мировых
судей Краснодарского края

Акт N __
оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных"

     В  соответствии с требованиями статьи 18.1 Федерального закона от 27

июля  2006 г. N 152-ФЗ "О персональных данных" (далее - Федеральный закон

"О  персональных  данных")  и  положениями  приказа Федеральной службы по

надзору  в сфере связи, информационных технологий и массовых коммуникаций

от  27  октября  2022 г. N 178 "Об утверждении требований к оценке вреда,

который  может  быть  причинен  субъектам  персональных  данных  в случае

нарушения    Федерального     закона    "О    персональных      данных" "

__________________________ ответственным за  организацию

  (дата проведения оценки)

обработки     персональных    данных    департамента    по    обеспечению

деятельности мировых судей Краснодарского края___________________________

_________________________________________________________________________

        (должность, Ф.И.О. ответственного, проводившего оценку)

произведена   оценка  вреда,    который  может  быть  причинен  субъектам

персональных    данных    в   случае  нарушения  Федерального  закона  "О

персональных  данных"  и  установлено,  что  для  информационной  системы

департамента  по  обеспечению  деятельности  мировых судей Краснодарского

края,    оператором    которой    является   департамент  по  обеспечению

деятельности  мировых  судей  Краснодарского края, размещенный по адресу:

350038,  г. Краснодар, ул. Короленко,  д. 2/1, определена _______________

                                                          (степень вреда)

степень  вреда,  который  может  быть  причинен  субъектам   персональных

данных в случае нарушения Федерального закона "О персональных данных".

   Ответственный за организацию

обработки персональных данных

департамента по обеспечению

деятельности мировых судей

Краснодарского края

_________________________ __________________ / ________________________

      (должность)             (подпись)         (расшифровка подписи)

"___" ___________ 20 ____ г.

Приложение 2
к оценке вреда, который может быть
причинён субъектам персональных
данных субъектам персональных
данных департамента по
обеспечению деятельности мировых
судей Краснодарского края

Соотношение
возможного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных"

п/п	Перечень мер, принимаемых для обеспечения защиты персональных данных	Степень возможного вреда субъекту персональных данных, при невыполнении меры
1	2	3
1	Сбор согласий на обработку персональных данных, в случаях, установленных Федеральным законом "О персональных данных"	Средняя
2	Оценка вреда субъектам персональных данных	Средняя
3	Уточнение и уничтожение персональных данных, в случаях, когда это необходимо	Средняя
4	Определение правил рассмотрения запросов субъектов персональных данных или их представителей	Средняя
5	Определение порядка доступа в помещения Департамента, в которых ведётся обработка персональных данных	Средняя
6	Осуществление внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами Департамента	Средняя
7	Определение угроз безопасности персональных данных при их обработке в информационных системах Департамента	Средняя
8	Определение уровня защищённости персональных данных, обрабатываемых в информационных системах Департамента	Средняя
9	Применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах Департамента, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищённости персональных данных	Средняя
10	Исключение несанкционированного, в том числе случайного, доступа к персональным данным, а также иных неправомерных действий в отношении персональных данных	Средняя
11	Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации	Средняя
12	Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных	Средняя
13	Учёт машинных носителей персональных данных	Средняя
14	Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер	Средняя
15	Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним	Средняя
16	Установление правил доступа к персональным данным, а также обеспечением регистрации и учёта всех действий, совершаемых с персональными данными в информационных системах Департамента	Средняя
17	Контроль за принимаемыми мерами по обеспечению безопасности персональных данных	Средняя

".