Приложение 6. Методика оценки вреда, который может быть причинён субъектам персональных данных департамента по надзору в строительной сфере Краснодарского края. Приказ департамента по надзору в строительной сфере Краснодарского края от 24.07.2024 N 71 "Об организационных мероприятиях по обработке и обеспечению безопасности персональных данных, обрабатываемых в департаменте по надзору в строительной сфере Краснодарского края" (с изменениями и дополнениями)

Приложение 6

УТВЕРЖДЕНА
приказом департамента по
надзору в строительной сфере
Краснодарского края
от 24.07.2024 N 71

Методика
оценки вреда, который может быть причинён субъектам персональных данных департамента по надзору в строительной сфере Краснодарского края

1. Общие положения

1.1. Оценка вреда, который может быть причинён субъектам персональных данных, (далее - Оценка возможного вреда), обрабатываемых в департаменте по надзору в строительной сфере Краснодарского края (далее - Департамент) осуществляется в соответствии с требованиями статьи 18.1 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных"), приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 27 октября 2022 г. N 178 "Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных" и проводится в соответствии с настоящей Методикой.

2. Термины и определения

2.1. Основные понятия, используемые в настоящей Политике, используются в значении, установленном Федеральным законом "О персональных данных".

3. Методики оценки возможного вреда

3.1. Департамент для целей оценки возможного вреда определяет одну из степеней вреда, который может быть причинен субъекту персональных данных в случае нарушения Федерального закона "О персональных данных".

3.2. Степень вреда субъектам персональных данных определяется в соответствии с следующими качественными критериями:

3.2.1. Высокая, в случаях:

обработки сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются Департаментом для установления личности субъекта персональных данных, за исключением случаев, установленных федеральными законами, предусматривающими цели, порядок и условия обработки биометрических персональных данных;

обработки специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, сведений о судимости, за исключением случаев, установленных федеральными законами, предусматривающими цели, порядок и условия обработки специальных категорий персональных данных;

обработки персональных данных несовершеннолетних для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является несовершеннолетний, а также для заключения договора по инициативе несовершеннолетнего или договора, по которому несовершеннолетний будет являться выгодоприобретателем или поручителем в случаях, не предусмотренных законодательством Российской Федерации;

обезличивания персональных данных, в том числе с целью проведения оценочных (скоринговых) исследований, оказания услуг по прогнозированию поведения потребителей товаров и услуг, а также иных исследований, не предусмотренных пунктом 9 части 1 статьи 6 Федерального закона "О персональных данных";

поручения иностранному лицу (иностранным лицам) осуществлять обработку персональных данных граждан Российской Федерации;

сбора персональных данных с использованием баз данных, находящихся за пределами Российской Федерации.

3.2.2. Средняя, в случаях:

распространения персональных данных на официальном сайте в информационно-телекоммуникационной сети "Интернет" Департамента, а равно предоставление персональных данных неограниченному кругу лиц, за исключением случаев, установленных федеральными законами, предусматривающими цели, порядок и условия такой обработки персональных данных;

обработки персональных данных в дополнительных целях, отличных от первоначальной цели сбора;

продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с использованием баз персональных данных, владельцем которых является иной оператор;

получения согласия на обработку персональных данных посредством реализации на официальном сайте в информационно-телекоммуникационной сети "Интернет" функционала, не предполагающего дальнейшую идентификацию и (или) аутентификацию субъекта персональных данных;

осуществления д