Приложение N 1. Порядок оценки возможного вреда, который может быть причинен субъектам персональных данных в случае нарушения требований Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" в администрации Биробиджанского муниципального района Еврейской автономной области. Постановление администрации муниципального образования "Биробиджанский муниципальный район" Еврейской автономной области от 04.03.2024 N 127 "Об утверждении Порядка оценки возможного вреда, который может быть причинен субъектам персональных данных в случае нарушения требований Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" в администрации Биробиджанского муниципального района Еврейской автономной области"

Приложение N 1
к постановлению администрации
муниципального района
от 04.03.2024 N 127

Порядок
оценки возможного вреда, который может быть причинен субъектам персональных данных в случае нарушения требований Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" в администрации Биробиджанского муниципального района Еврейской автономной области

1. Общие положения

1.1. Настоящие Порядок оценки возможного вреда, который может быть причинен субъектам персональных данных в случае нарушения требований Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" в администрации Биробиджанского муниципального района Еврейской автономной области (далее - Порядок) определяет методику и порядок оценки вреда, который может быть причинён субъекту персональных в случае нарушения требований Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных) в администрации Биробиджанского муниципального района Еврейской автономной области (далее - администрация муниципального района).

1.2. Настоящий Порядок принят в целях обеспечения соответствия процессов обработки персональных данных требованиям Закона о персональных данных и приказу Роскомнадзора от 27.10.2022 N 178 "Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных".

1.3. Настоящий Порядок применяется:

- к процессам администрации муниципального района, в которых ведется обработка персональных данных.

- ко всем структурным подразделениям администрации муниципального района;

1.4. Порядок предназначен для ответственного за организацию обработки персональных данных (далее - Ответственный);

1.5. Порядок разработан в целях реализации требований Закона о персональных данных и приказа Роскомнадзора от 27.10.2022 N 178 "Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных".

2. Основные понятия

2.1. В настоящем Порядке используются следующие основные понятия с соответствующими определениями:

Информация - сведения (сообщения, данные) независимо от формы их представления;

Безопасность информации - состояние защищенности информации, при которой обеспечены ее конфиденциальность, доступность и целостность;

Конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя;

Целостность информации - состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими право на такое изменение;

Доступность информации - состояние информации (ресурсов информационной системы), при котором субъекты, имеющие права доступа, могут реализовать его беспрепятственно;

Оценка возможного вреда - определение уровня вреда на основании учета причиненных убытков и морального вреда, нарушения конфиденциальности, целостности и доступности персональных данных.

3. Методика оценки возможного вреда субъектам персональных данных в случае нарушения Закона о персональных данных

3.1. Возможный вред субъекту персональных данных возникает в результате неправомерного или случайного доступа к персональным данным, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

3.2. Перечисленные неправомерные действия определяются как следующие нарушения безопасности информации:

3.2.1. Неправомерное предоставление, распространение и копирование персональных данных являются нарушением конфиденциальности персональных данных;

3.2.2. Неправомерное уничтожение и блокирование персональных данных является нарушением доступности персональных данных.

3.2.3. Неправомерное изменение персональных данных является нарушением целостности персональных данных.

3.2.4. Нарушение права субъекта требовать от администрации муниципального района уточнения его персональных данных, их блокирования или уничтожение является нарушением целостности информации.

3.2.5. Нарушение права субъекта на получение информации, касающейся обработки его персональных данных, является нарушением доступности персональных данных.

3.2.6. Обработка персональных данных, выходящая за рамки установленных и законных целей обработки, в объеме больше необходимого для достижения установленных и законных целей и дольше установленных сроков является нарушением конфиденциальности персональных данных.

3.2.7. Неправомерное получение персональных данных от лица, не являющегося субъектом персональных данных, является нарушением конфиденциальности персональных данных.

3.2.8. Принятие решения, порождающего юридические последствия в отношении субъекта персональных данных или иным образом затрагивающие его права и законные интересы, на основании исключительно автоматизированной обработки его персональных данных без согласия на то в письменной форме субъекта персональных данных или непредусмотренное федеральными законами, является нарушением конфиденциальности персональных данных.

3.3. Вред, который может быть причинен субъекту персональных данных, определяется в виде:

3.3.1. Убытков - расходов, которые субъект персональных данных, чье право нарушено, понесло или должно будет понести для восстановления нарушенного права, утраты или повреждения его имущества (реальный ущерб).

3.3.2. Недополученного дохода, который этот субъект персональных данных получил бы при обычных условиях гражданского оборота, если бы его право не было нарушено.

3.3.3. Морального вреда - физических или нравственных страданий, причиняемых действиями, нарушающими личные неимущественные права субъекта персональных данных либо посягающими на принадлежащие субъекту персональных данных другие нематериальные блага, а также в других случаях, предусмотренных законом.

3.4. В оценке вреда определяется одна из степеней вреда, который может быть причинен субъекту персональных данных в случае нарушения Закона о персональных данных:

3.4.1. Высокую в случаях:

- обработки сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, за исключением случаев, установленных федеральными законами, предусматривающими цели, порядок и условия обработки биометрических персональных данных;

- обработки специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, сведений о судимости, за исключением случаев, установленных федеральными законами, предусматривающими цели, порядок и условия обработки специальных категорий персональных данных;

- обработки персональных данных несовершеннолетних для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является несовершеннолетний, а также для заключения договора по инициативе несовершеннолетнего или договора, по которому несовершеннолетний будет являться выгодоприобретателем или поручителем в случаях, не предусмотренных законодательством Российской Федерации.

- поручения иностранному лицу (иностранным лицам) осуществлять обработку персональных данных граждан Российской Федерации;

- сбора персональных данных с использованием баз данных, находящихся за предел