Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Постановление администрации муниципального образования "Биробиджанский муниципальный район" Еврейской автономной области от 4 марта 2024 г. N 127 "Об утверждении Порядка оценки возможного вреда, который может быть причинен субъектам персональных данных в случае нарушения требований Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" в администрации Биробиджанского муниципального района Еврейской автономной области"
- Приложение N 1. Порядок оценки возможного вреда, который может быть причинен субъектам персональных данных в случае нарушения требований Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" в администрации Биробиджанского муниципального района Еврейской автономной области
Приложение N 1. Порядок оценки возможного вреда, который может быть причинен субъектам персональных данных в случае нарушения требований Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" в администрации Биробиджанского муниципального района Еврейской автономной области
Приложение N 1
к постановлению администрации
муниципального района
от 04.03.2024 N 127
Порядок
оценки возможного вреда, который может быть причинен субъектам персональных данных в случае нарушения требований Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" в администрации Биробиджанского муниципального района Еврейской автономной области
1. Общие положения
1.1. Настоящие Порядок оценки возможного вреда, который может быть причинен субъектам персональных данных в случае нарушения требований Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" в администрации Биробиджанского муниципального района Еврейской автономной области (далее - Порядок) определяет методику и порядок оценки вреда, который может быть причинён субъекту персональных в случае нарушения требований Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных) в администрации Биробиджанского муниципального района Еврейской автономной области (далее - администрация муниципального района).
1.2. Настоящий Порядок принят в целях обеспечения соответствия процессов обработки персональных данных требованиям Закона о персональных данных и приказу Роскомнадзора от 27.10.2022 N 178 "Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных".
1.3. Настоящий Порядок применяется:
- к процессам администрации муниципального района, в которых ведется обработка персональных данных.
- ко всем структурным подразделениям администрации муниципального района;
1.4. Порядок предназначен для ответственного за организацию обработки персональных данных (далее - Ответственный);
2. Основные понятия
2.1. В настоящем Порядке используются следующие основные понятия с соответствующими определениями:
Информация - сведения (сообщения, данные) независимо от формы их представления;
Безопасность информации - состояние защищенности информации, при которой обеспечены ее конфиденциальность, доступность и целостность;
Конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя;
Целостность информации - состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими право на такое изменение;
Доступность информации - состояние информации (ресурсов информационной системы), при котором субъекты, имеющие права доступа, могут реализовать его беспрепятственно;
Оценка возможного вреда - определение уровня вреда на основании учета причиненных убытков и морального вреда, нарушения конфиденциальности, целостности и доступности персональных данных.
3. Методика оценки возможного вреда субъектам персональных данных в случае нарушения Закона о персональных данных
3.1. Возможный вред субъекту персональных данных возникает в результате неправомерного или случайного доступа к персональным данным, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
3.2. Перечисленные неправомерные действия определяются как следующие нарушения безопасности информации:
3.2.1. Неправомерное предоставление, распространение и копирование персональных данных являются нарушением конфиденциальности персональных данных;
3.2.2. Неправомерное уничтожение и блокирование персональных данных является нарушением доступности персональных данных.
3.2.3. Неправомерное изменение персональных данных является нарушением целостности персональных данных.
3.2.4. Нарушение права субъекта требовать от администрации муниципального района уточнения его персональных данных, их блокирования или уничтожение является нарушением целостности информации.
3.2.5. Нарушение права субъекта на получение информации, касающейся обработки его персональных данных, является нарушением доступности персональных данных.
3.2.6. Обработка персональных данных, выходящая за рамки установленных и законных целей обработки, в объеме больше необходимого для достижения установленных и законных целей и дольше установленных сроков является нарушением конфиденциальности персональных данных.
3.2.7. Неправомерное получение персональных данных от лица, не являющегося субъектом персональных данных, является нарушением конфиденциальности персональных данных.
3.2.8. Принятие решения, порождающего юридические последствия в отношении субъекта персональных данных или иным образом затрагивающие его права и законные интересы, на основании исключительно автоматизированной обработки его персональных данных без согласия на то в письменной форме субъекта персональных данных или непредусмотренное федеральными законами, является нарушением конфиденциальности персональных данных.
3.3. Вред, который может быть причинен субъекту персональных данных, определяется в виде:
3.3.1. Убытков - расходов, которые субъект персональных данных, чье право нарушено, понесло или должно будет понести для восстановления нарушенного права, утраты или повреждения его имущества (реальный ущерб).
3.3.2. Недополученного дохода, который этот субъект персональных данных получил бы при обычных условиях гражданского оборота, если бы его право не было нарушено.
3.3.3. Морального вреда - физических или нравственных страданий, причиняемых действиями, нарушающими личные неимущественные права субъекта персональных данных либо посягающими на принадлежащие субъекту персональных данных другие нематериальные блага, а также в других случаях, предусмотренных законом.
3.4. В оценке вреда определяется одна из степеней вреда, который может быть причинен субъекту персональных данных в случае нарушения Закона о персональных данных:
3.4.1. Высокую в случаях:
- обработки сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, за исключением случаев, установленных федеральными законами, предусматривающими цели, порядок и условия обработки биометрических персональных данных;
- обработки специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, сведений о судимости, за исключением случаев, установленных федеральными законами, предусматривающими цели, порядок и условия обработки специальных категорий персональных данных;
- обработки персональных данных несовершеннолетних для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является несовершеннолетний, а также для заключения договора по инициативе несовершеннолетнего или договора, по которому несовершеннолетний будет являться выгодоприобретателем или поручителем в случаях, не предусмотренных законодательством Российской Федерации.
- поручения иностранному лицу (иностранным лицам) осуществлять обработку персональных данных граждан Российской Федерации;
- сбора персональных данных с использованием баз данных, находящихся за пределами Российской Федерации.
3.4.2. Среднюю в случаях:
- распространения персональных данных на официальном сайте в информационно-телекоммуникационной сети "Интернет" оператора, а равно предоставление персональных данных неограниченному кругу лиц, за исключением случаев, установленных федеральными законами, предусматривающими цели, порядок и условия такой обработки персональных данных;
- обработки персональных данных в дополнительных целях, отличных от первоначальной цели сбора;
- продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с использованием баз персональных данных, владельцем которых является иной оператор;
- получения согласия на обработку персональных данных посредством реализации на официальном сайте в информационно телекоммуникационной сети "Интернет" функционала, не предполагающего дальнейшую идентификацию и (или) аутентификацию субъекта персональных данных;
- осуществления деятельности по обработке персональных данных, предполагающей получение согласия на обработку персональных данных, содержащего положения о предоставлении права осуществлять обработку персональных данных определенному и (или) неопределенному кругу лиц в целях, несовместимых между собой.
3.4.3. Низкую в случаях:
- ведения общедоступных источников персональных данных, сформированных в соответствии со статьей 8 Закона о персональных данных;
- назначения в качестве ответственного за обработку персональных данных лица, не являющегося штатным сотрудником оператора.
3.4.4. В случае если по итогам проведенной оценки вреда установлено, что в рамках деятельности по обработке персональных данных субъекту персональных данных в соответствии подпунктами 3.4.1 - 3.4.3 пункта 3.4 настоящего Порядка могут быть причинены различные степени вреда, подлежит применению более высокая степень вреда.
4. Порядок проведения оценки возможного вреда, а также соотнесения возможного вреда и реализуемых администрацией муниципального района мер
4.1. Оценка возможного вреда субъектам персональных данных осуществляется Ответственным, который может быть причинен субъектам персональных данных в случае нарушения требований Закона о персональных данных, соотношению указанного возможного вреда и принимаемых администрацией муниципального района мер, направленных на обеспечение выполнения обязанностей, предусмотренных указанным Федеральным законом, в соответствии с Методикой, описанной в разделе 3 настоящего Порядка.
4.2. Результаты оценки вреда оформляются актом оценки вреда.
4.3. Акт оценки вреда должен содержать:
а) наименование или фамилию, имя, отчество (при наличии) и адрес оператора;
б) дату издания акта оценки вреда;
в) дату проведения оценки вреда;
г) фамилию, имя, отчество (при наличии), должность лиц (лица) (при наличии), проводивших оценку вреда, а также их (его) подпись;
д) степень вреда, которая может быть причинена субъекту персональных данных, в соответствии с пунктами 3.4.1. - 3.4.3 раздела 3 настоящего Порядка.
Акт составляется согласно форме, указанной в приложении N 1 к настоящему Порядку.
4.4. Состав реализуемых администрацией муниципального района мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных, определяется Ответственным исходя из правомерности и разумной достаточности указанных мер.