Приказ Департамента архитектуры и градостроительства г. Севастополя от 20.06.2024 N 76 "Об оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных"

В целях выполнения требований Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" и приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 27.10.2022 N 178 "Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных",

приказываю

1. Создать комиссию по оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Департаментом архитектуры и градостроительства города Севастополя Федерального закона "О персональных данных" (далее - Комиссия) в составе:

Председатель комиссии:
Пазухина Юлия Васильевна	заместитель начальника Управления административной работы
Заместитель председателя комиссии:
Марочкина Ирина Владимировна	начальник Управления развития городской среды
Секретарь комиссии:
Снегирева Людмила Сергеевна	главный специалист-эксперт отдела государственной службы, кадров и охраны труда Управления административной работы
Члены комиссии:
Акимова Лиля Аджевелиевна	начальник Управления градостроительной политики
Евстифейкина Юлия Владимировна	начальник отдела государственной службы, кадров и охраны труда Управления административной работы
Николаев Дмитрий Александрович	референт директора Департамента

2. Утвердить прилагаемые Правила оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных".

3. Отделу государственной службы, кадров и охраны труда Управления административной работы Департамента архитектуры и градостроительства города Севастополя обеспечить размещение настоящего приказа на официальном сайте Департамента архитектуры и градостроительства города Севастополя.

4. Контроль за исполнением настоящего приказа оставляю за собой.

Исполняющий обязанности директора Департамента архитектуры и градостроительства города Севастополя

Ю.В. Шемонаева

УТВЕРЖДЕН
приказом Департамента
архитектуры и градостроительства
города Севастополя
от 20 июня 2024 г. N 76

Правила оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных"

1. Общие положения

1.1. Настоящие правила оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных" (далее - Правила), разработаны с учетом:

- Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных";

- приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 27.10.2022 N 178 "Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных".

1.2. Целью разработки настоящих Правил является установление общего порядка проведения оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Департаментом архитектуры и градостроительства города Севастополя (далее - ДАиГ) Федерального закона "О персональных данных" (далее - оценка вреда).

1.3. В целях оценки вреда в ДАиГ создается комиссия по оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных" (далее - Комиссия). Численный и персональный состав Комиссии утверждается приказом ДАиГ.

1.4. Настоящие Правила подлежат анализу и, при необходимости, пересмотру в случаях изменения законодательства Российской Федерации в отношении обработки персональных данных.

2. Порядок оценки вреда, который может быть причинен субъектам персональных данных, и документирование результатов

2.1. Оценка вреда осуществляется Комиссией в отношении всех категорий субъектов, персональные данные которых обрабатываются в ДАиГ.

2.2. Комиссией в отношении каждой категории субъекта персональных данных на основании приведенных ниже показателей присваивается одна из степеней вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных".

2.3. Высокая степень вреда устанавливается, если в отношении субъекта персональных данных применим хотя бы один из следующих показателей:

- ДАиГ обрабатывает сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются ДАиГ для установления личности субъекта персональных данных. Исключением является обработка биометрических персональных данных в случаях, установленных федеральными законами, предусматривающими цели, порядок и условия обработки биометрических персональных данных;

- ДАиГ обрабатывает специальные категории персональных данных, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, сведений о судимости. Исключением является обработка специальных категорий персональных данных в случаях, установленных федеральными законами, предусматривающими цели, порядок и условия обработки специальных категорий персональных данных;

- ДАиГ обрабатывает персональные данные несовершеннолетних для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является несовершеннолетний, а также для заключения договора по инициативе несовершеннолетнего или договора, по которому несовершеннолетний будет являться выгодоприобретателем или поручителем в случаях, не предусмотренных законодательством Российской Федерации;

- ДАиГ осуществляет обезличивание персональных данных, в том числе с целью проведения оценочных (скоринговых) исследований, оказания услуг по прогнозированию поведения потребителей товаров и услуг, а также иных исследований, не предусмотренных пунктом 9 части 1 статьи 6 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных";

- ДАиГ поручает осуществлять обработку персональных данных граждан Российской Федерации иностранному лицу (иностранным лицам);

- ДАиГ осуществляет сбор персональных данных с использованием баз данных, находящихся за пределами Российской Федерации.

2.4. Средняя степень вреда устанавливается, если в отношении субъекта персональных данных применим хотя бы один из нижеприведенных показателей и не применимы показатели, указанные в п. 2.3:

- ДАиГ распространяет персональные данные субъектов на официальном сайте в информационно-телекоммуникационной сети "Интернет", т.е. предоставляет персональные данные субъектов персональных данных неограниченному кругу лиц. Исключением является распространение персональных данных в случаях, установленных федеральными законами, предусматривающими цели, порядок и условия распространения персональных данных;

- ДАиГ осуществляет обработку персональных данных в дополнительных целях, отличных от первоначальной цели сбора персональных данных;

- ДАиГ осуществляет продвижение товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с использованием баз персональных данных, владельцем которых является иной оператор;

- ДАиГ получает согласие на обработку персональных данных посредством реализации на официальном сайте в информационно-телекоммуникационной сети "Интернет" функционала, не предполагающего дальнейшую идентификацию и (или) аутентификацию субъекта персональных данных;

- ДАиГ осуществляет деятельность по обработке персональных данных, предполагающую получение согласия на обработку персональных данных, содержащего положения о предоставлении права осуществлять обработку персональных данных определенному и (или) неопределенному кругу лиц в целях, несовместимых между собой.

2.5. Низкая степень вреда устанавливается, если в отношении субъекта персональных данных применим, хотя бы один из нижеприведенных показателей и не применимы показатели, указанные в п. 2.3 и п. 2.4:

- ДАиГ осуществляет ведение общедоступных источников персональных данных, сформированных в соответствии со статьей 8 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных";

- в качестве ответственного за обработку персональных данных в ДАиГ назначено лицо, не являющееся штатным сотрудником ДАиГ.

2.6. В случае, если по итогам проведенной оценки вреда установлено, что в рамках деятельности по обработке персональных данных субъекту персональных данных могут быть причинены различные степени вреда, подлежит применению более высокая степень вреда.

2.7. В случае, если по итогам проведенной оценки вреда в отношении субъекта персональных данных не применим ни один показатель, указанный в п. 2.3-2.5, Комиссия делает вывод об отсутствии степени вреда, который может быть причинен субъектам персональных данных.

2.8. По итогам проведенной оценки Комиссия готовит Акт оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных". Документ в обязательном порядке должен содержать следующую информацию:

- наименование и адрес ДАиГ;

- дату издания акта оценки вреда;

- дату проведения оценки вреда;

- фамилию, имя, отчество (при наличии) и должности лиц, входящих в состав Комиссии, а также их подписи;

- степень вреда, который может быть причинен субъекту персональных данных, в соответствии с показателями, определяющими степень возможного вреда, указанными в п. 2.3-2.5 настоящих Правил.

2.9. Повторное проведение оценки вреда осуществляется Комиссией в следующих случаях:

- изменение в ДАиГ особенностей обработки персональных данных, влияющих на показатели, определяющие степень возможного вреда, указанные в п. 2.3-2.5 настоящих Правил;

- начало обработки в ДАиГ персональных данных новых категорий субъектов персональных данных.

3. Ответственность

Члены Комиссии несут персональную ответственность за ненадлежащее исполнение или неисполнение положений настоящих Правил.