Приложение N 5. Правила оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных". Постановление администрации г. Дзержинска Нижегородской области от 26.02.2024 N 713 "Об обработке персональных данных в администрации города Дзержинска Нижегородской области"

Приложение N 5
к постановлению администрации
города Дзержинска
Нижегородской области
от 26.02.2024 N 713

Правила
оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных"

I. Общие положения

1.1. Настоящие правила оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных" (далее - Правила), разработаны с учетом:

- Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных";

- Приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 27 октября 2022 года N 178 "Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных".

1.2. Целью разработки настоящих Правил является установление общего порядка проведения оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения администрацией города Дзержинска (далее - администрация) Федерального закона "О персональных данных" (далее - оценка вреда).

1.3. В администрации создана Комиссия по внутреннему контролю соответствия обработки персональных данных требованиям к защите персональных данных, в задачи которой входит проведение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных" (далее - Комиссия). Численный и персональный состав Комиссии утверждается постановлением администрации.

1.4. Настоящие Правила подлежат анализу и, при необходимости, пересмотру в случаях изменения законодательства Российской Федерации в отношении обработки персональных данных.

II. Порядок оценки вреда, который может быть причинен субъектам персональных данных, и документирование результатов

2.1. Оценка вреда осуществляется Комиссией в отношении всех категорий субъектов, персональные данные которых обрабатываются в администрации.

2.2. Комиссией в отношении каждой категории субъекта персональных данных на основании приведенных ниже показателей присваивается одна из степеней вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных".

2.3. Высокая степень вреда устанавливается, если в отношении субъекта персональных данных применим хотя бы один из следующих показателей:

- администрация обрабатывает сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются администрацией для установления личности субъекта персональных данных. Исключением является обработка биометрических персональных данных в случаях, установленных федеральными законами, предусматривающими цели, порядок и условия обработки биометрических персональных данных;

- администрация обрабатывает специальные категории персональных данных, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, сведений о судимости. Исключением является обработка специальных категорий персональных данных в случаях, установленных федеральными законами, предусматривающими цели, порядок и условия обработки специальных категорий персональных данных;

- администрация обрабатывает персональные данные несовершеннолетних для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является несовершеннолетний, а также для заключения договора по инициативе несовершеннолетнего или договора, по которому несовершеннолетний будет являться выгодоприобретателем или поручителем в случаях, не предусмотренных законодательством Российской Федерации;

- нарушение права субъекта на получение информации, касающейся обработки его персональных данных.

2.4. Средняя степень вреда устанавливается, если в отношении субъекта персональных данных применим хотя бы один из нижеприведенных показателей и не применимы показатели, указанные в пункте 2.3:

- администрация распространяет персональные данные субъектов на официальном сайте в информационно-телекоммуникационной сети "Интернет", т.е. предоставляет персональные данные субъектов персональных данных неограниченному кругу лиц. Исключением является распространение персональных данных в случаях, установленных федеральными законами, предусматривающими цели, порядок и условия распространения персональных данных;

- администрация осуществляет обработку персональных данных в дополнительных целях, отличных от первоначальной цели сбора персональных данных;

- администрация осуществляет деятельность по обработке персональных данных, предполагающую получение согласия на обработку персональных данных, содержащего положения о предоставлении права осуществлять обработку персональных данных определенному и (или) неопределенному кругу лиц в целях, несовместимых между собой;

2.5. Низкая степень вреда устанавливается, если в отношении субъекта персональных данных применим хотя бы один из нижеприведенных показателей и не применимы показатели, указанные в пункте 2.3 и пункте 2.4:

- администрация осуществляет ведение общедоступных источников персональных данных, сформированных в соответствии со статьей 8 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных";

- в качестве ответственного за обработку персональных данных в администрации назначено лицо, не являющееся штатным сотрудником администрации.

2.6. В случае, если по итогам проведенной оценки вреда установлено, что в рамках деятельности по обработке персональных данных субъекту персональных данных могут быть причинены различные степени вреда, подлежит применению более высокая степень вреда.

2.7. В случае, если по итогам проведенной оценки вреда в отношении субъекта персональных данных не применим ни один показатель, указанный в пунктах 2.3 - 2.5, Комиссия делает вывод об отсутствии степени вреда, который может быть причинен субъектам персональных данных.

2.8. По итогам проведенной оценки Комиссия готовит Акт оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных". Форма Акта приведена в приложении к настоящим Правилам.

2.9. Повторное проведение оценки вреда осуществляется Комиссией в следующих случаях:

- изменение в администрации особенностей обработки персональных данных, влияющих на показатели, определяющие степень возможного вреда, указанные в пунктах 2.3 - 2.5 настоящих Правил;

- начало обработки в администрации персональных данных новых категорий субъектов персональных данных.

III. Ответственность

3.1. Члены Комиссии несут персональную ответственность за ненадлежащее исполнение или неисполнение положений настоящих Правил.