Приложение 12. Оценка вреда, который может быть причинен субъектам персональных данных. Приказ министерства транспорта и дорожного хозяйства Краснодарского края от 15.03.2019 N 139 "Об организации работы с персональными данными в министерстве транспорта и дорожного хозяйства Краснодарского края" (с изменениями и дополнениями)

Приложение 12
Утверждена
приказом министерства
транспорта и дорожного
хозяйства Краснодарского края
от 15.03.2019 N 139

Оценка вреда,
который может быть причинен субъектам персональных данных

1. Общие положении

1. Настоящий документ содержит оценку вреда, который может быть причинен субъектам персональных данных, обрабатываемых в министерстве транспорта и дорожного хозяйства Краснодарского края (далее - министерство), в случае нарушения Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Оценка возможного вреда), методику проведения Оценки возможного вреда, а также соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных"),

2. Оценка возможного вреда осуществляется в соответствии с требованиями статьи 18.1 Федерального закона "О персональных данных".

3. Оценка возможного вреда производится по Методике Оценки возможного вреда согласно раздела 2 настоящего документа, если это не противоречит федеральному законодательству и законодательству Краснодарского края.

4. Оператором персональных данных является министерство транспорта и дорожного хозяйства Краснодарского края (далее - министерство).

5. Понятия "персональные данные", "биометрические персональные данные", "общедоступные персональные данные", "оператор", "распространение персональных данных", "предоставление персональных данных", "блокирование персональных данных", "уничтожение персональных данных" используются в значениях, предусмотренных Федеральным законом "О персональных данных".

Понятие "конфиденциальность информации" используется в значении, предусмотренном Федеральным законом от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации".

2. Методика Оценки возможного вреда

1. Вред субъекту персональных данных возникает в результате неправомерного или случайного доступа к персональным данным, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

2. Указанные в пункте 1 настоящего раздела неправомерные действия определяются как следующие нарушения характеристик безопасности информации (персональных данных):

1) неправомерное предоставление, распространение и копирование персональных данных являются нарушением конфиденциальности персональных данных;

2) неправомерное блокирование персональных данных является нарушением доступности персональных данных;

3) неправомерное уничтожение персональных данных является нарушением доступности и целостности персональных данных;

4) неправомерное изменение персональных данных является нарушением целостности персональных данных;

5) нарушение права субъекта персональных данных требовать от оператора персональных данных уточнения его персональных данных, их блокирования или уничтожение является нарушением целостности информации;

6) нарушение права субъекта на получение информации, касающейся обработки его персональных данных, является нарушением доступности персональных данных;

7) обработка персональных данных, выходящая за рамки установленных и законных целей обработки, в объёме больше необходимого для достижения установленных и законных целей и дольше установленных сроков является нарушением конфиденциальности персональных данных;

8) неправомерное получение персональных данных от лица, не являющегося субъектом персональных данных, является нарушением конфиденциальности персональных данных.

3. Субъекту персональных данных может быть причинён вред в форме:

1) морального вреда;

2) убытков.

4. Оценка возможного вреда субъектам персональных данных определяется в соответствии следующими качественными критериями оценки нарушения заданных характеристик безопасности персональных данных:

1) высокий - приводит к значительным негативным последствиям для субъекта персональных данных, а именно:

нанесение крупного ущерба субъекту персональных данных;

крупные финансовые потери для субъекта персональных данных в результате неправомерных действий с персональными данными;

возможное нанесение тяжелого вреда здоровью субъекта или возможность реализации прямой угрозы жизни;

2) средний - приводит к негативным последствиям для субъекта персональных данных, а именно:

причинение ущерба субъекту персональных данных;

значительные финансовые потери в результате неправомерных действий с персональными данными;

возможное нанесение вреда, не создающего угрозы жизни или здоровью субъекту персональных данных;

3) низкий - приводит к незначительным последствиям для субъекта персональных данных, а именно:

нанесение незначительного ущерба субъекту персональных данных или отсутствие подобного вреда;

отсутствие финансовых потерь или незначительные потери для субъекта персональных данных;

отсутствие вреда здоровью или жизни субъекту персональных данных, или незначительный вред.

3. Оценка возможного вреда

1. Степень возможного вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных", определяется по наибольшему значению возможного нарушения каждой из характеристик безопасности информации и отношении категорий субъектов персональных данных, чьи персональные данные обрабатываются в министерстве.

2. Оценка возможно вреда производится согласно приложению 1 к настоящему документу.

3. Для всех категорий субъектов персональных данных, чьи персональные данные обрабатываются в министерстве, определена средняя степень возможного ущерба, так как:

1) в составе персональных данных, обрабатываемых в министерстве, отсутствуют сведения, неправомерные действия с которыми, могут привести к причинению крупного вреда субъекту персональных данных;

2) угроза нанесения тяжкого вреда здоровью или угроза жизни и здоровью субъектам персональных данных отсутствует.

4. Соотношение возможного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных"

1. В министерстве принимаются правовые, организационные и технические меры, необходимые и достаточные для обеспечения исполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, для защиты персональных данных от неправомерного или случайного доступа к ним, а также от иных неправомерных действий в отношении них.

2. Состав мер, направленных на защиту персональных данных, определяется исходя из требований, установленных законодательством Российской Федерации, в том числе:

Федеральным законом "О персональных данных";

Федеральным законом от 2 мая 2006 г. N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации";

Федеральным законом от 25 декабря 2008 г. N 273-ФЗ "О противодействии коррупции";

Федеральным законом от 27 июля 2010 г. N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг";

Указом Президента Российской Федерации от 30 мая 2005 г. N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела";

постановлением Правительства Российской Федерации от 15 сентября 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";

постановлением Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами";

постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке информационных системах персональных данных".

3. Соотношение возможного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" (приложение 2 к настоящему документу).

Заместитель начальника правового управления, начальник отдела правового обеспечения правового управления

А.В. Василенко