Приложение N 1. Правила оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных". Приказ Департамента управления делами Губернатора и Правительства Севастополя от 01.02.2024 N 2 "Об оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных", в Департаменте управления делами Губернатора и Правительства Севастополя"

Приложение N 1
УТВЕРЖДЕНЫ
приказом Департамента управления
делами Губернатора и
Правительства Севастополя
от 01.02.2024 N 2

Правила оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных"

1. Общие положения

1.1 Настоящие правила оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных" (далее - Правила), разработаны с учетом:

- Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных");

- приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 27.10.2022 N 178 "Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных".

1.2. Целью разработки настоящих Правил является установление общего порядка проведения оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Департаментом управления делами Губернатора и Правительства Севастополя (далее - Департамент) Федерального закона "О персональных данных" (далее - оценка вреда).

1.3. Проведение оценки вреда осуществляет комиссия по категорированию объектов информатизации Департамента управления делами Губернатора и Правительства Севастополя (далее - Комиссия).

1.4. Настоящие Правила подлежат анализу и при необходимости пересмотру, в случаях изменения законодательства Российской Федерации в отношении обработки персональных данных.

2. Порядок оценки вреда, который может быть причинен субъектам персональных данных и документирование результатов

2.1. Оценка вреда осуществляется Комиссией в отношении всех категорий субъектов, персональные данные которых обрабатываются в Департаменте.

2.2. Комиссией в отношении каждой категории субъекта персональных данных на основании приведенных ниже показателей присваивается одна из степеней вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных".

2.3. Высокая степень вреда устанавливается, если в отношении субъекта персональных данных применим хотя бы один из следующих показателей:

- обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются для установления личности субъекта персональных данных.

Исключением является обработка биометрических персональных данных в случаях установленных федеральными законами, предусматривающими цели, порядок и условия обработки биометрических персональных данных;

- обрабатываются специальные категории персональных данных, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, сведений о судимости.

Исключением является обработка специальных категорий персональных данных в случаях, установленных федеральными законами, предусматривающими цели, порядок и условия обработки специальных категорий персональных данных;

- обрабатываются персональные данные несовершеннолетних для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является несовершеннолетний, а также для заключения договора по инициативе несовершеннолетнего или договора, по которому несовершеннолетний будет являться выгодоприобретателем или поручителем в случаях, не предусмотренных законодательством Российской Федерации;

- осуществляется обезличивание персональных данных, в том числе с целью проведения оценочных (скоринговых) исследований, оказания услуг по прогнозированию поведения потребителей товаров и услуг, а также иных исследований, не предусмотренных пунктом 9 части 1 статьи 6 Федерального закона "О персональных данных";

- поручается осуществлять обработку персональных данных граждан Российской Федерации иностранному лицу (иностранным лицам);

- осуществляется сбор персональных данных с использованием баз данных, находящихся за пределами Российской Федерации.

2.4. Средняя степень вреда устанавливается, если в отношении субъекта персональных данных применим хотя бы один из нижеприведенных показателей и не применимы показатели, указанные в п. 2.3:

- распространяются персональные данные субъектов на официальном сайте в информационно-телекоммуникационной сети "Интернет", т.е. предоставляются персональные данные субъектов персональных данных неограниченному кругу лиц.

Исключением является распространение персональных данных в случаях, установленных федеральными законами, предусматривающими цели, порядок и условия распространения персональных данных;

- обрабатываются персональные данные в дополнительных целях, отличных от первоначальной цели сбора персональных данных;

- осуществляется продвижение товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с использованием баз персональных данных, владельцем которых является иной оператор;

- согласие на обработку персональных данных получается посредством реализации на официальном сайте в информационно-телекоммуникационной сети "Интернет" функционала, не предполагающего дальнейшую идентификацию и (или) аутентификацию субъекта персональных данных;

- осуществляется деятельность по обработке персональных данных, предполагающая получение согласия на обработку персональных данных, содержащего положения о предоставлении права осуществлять обработку персональных данных определенному и (или) неопределенному кругу лиц в целях, несовместимых между собой.

2.5. Низкая степень вреда устанавливается, если в отношении субъекта персональных данных применим хотя бы один из нижеприведенных показателей и не применимы показатели, указанные в п. 2.3 и п. 2.4:

- осуществляется ведение общедоступных источников персональных данных, сформированных в соответствии со статьей 8 Федерального закона "О персональных данных";

- в качестве ответственного за обработку персональных данных назначено лицо, не являющееся штатным сотрудником Департамента.

2.6. В случае, если по итогам проведенной оценки вреда установлено, что в рамках деятельности по обработке персональных данных субъекту персональных данных могут быть причинены различные степени вреда, подлежит применению более высокая степень вреда.

2.7. В случае, если по итогам проведенной оценки вреда в отношении субъекта персональных данных не применим ни один показатель, указанный в п. 2.3-2.5, Комиссия делает вывод об отсутствии степени вреда, который может быть причинен субъектам персональных данных.

2.8. По итогам проведенной оценки Комиссия готовит Акт оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных". Документ в обязательном порядке должен содержать следующую информацию:

- наименование Департамента;

- дату издания акта оценки вреда;

- дату проведения оценки вреда;

- состав Комиссии, а также подписи всего состава Комиссии;

- степень вреда, который может быть причинен субъекту персональных данных, в соответствии с показателями, определяющими степень возможного вреда, указанными в п. 2.3-2.5 настоящих Правил.

2.9. Повторное проведение оценки вреда осуществляется Комиссией в следующих случаях:

- изменение особенностей обработки персональных данных, влияющих на показатели, определяющие степень возможного вреда, указанные в п. 2.3-2.5 настоящих Правил;

- начало обработки персональных данных новых категорий субъектов персональных данных.

3. Ответственность

3.1. Члены Комиссии несут персональную ответственность за ненадлежащее исполнение или неисполнение положений настоящих Правил в соответствии с законодательством Российской Федерации.