Оценка вреда субъекту персональных данных

Информационная поддержка по теме: "Оценка вреда субъекту персональных данных" с подробным описанием. В статье мы постарались полностью раскрыть тему. В случае возникновения вопросов, вы всегда можете их задать дежурному юристу.

Содержание

  • Приложение N 1. Оценка вреда, который может быть причинен субъектам персональных данных, а также соотнесение возможного вреда и реализуемых Оператором мер

    Оценка вреда, который может быть причинен субъектам персональных данных, а также соотнесение возможного вреда и реализуемых Оператором мер

    Требования Федерального закона «О персональных данных», которые могут быть нарушены

    Возможные нарушение безопасности информации и причинённый субъекту вред

    Уровень возможного вреда

    Принимаемые меры по обеспечению выполнения обязанностей оператора персональных данных

    Порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

    Убытки и моральный вред

    В соответствии с законодательством в области защиты информации и Положением по обеспечением безопасности персональных данных

    Источник: http://base.garant.ru/45100008/9169543187b82c93518e209701f4491b/

    Приложение N 15. Правила оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных указанным Федеральным законом

    Приложение N 15
    к постановлению Администрации
    муниципального района «Заполярный район»
    от 17.07.2018 N 132п

    Правила
    оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных указанным Федеральным законом

    1.1. Настоящие Правила оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных указанным Федеральным законом (далее — Правила) определяют порядок оценки вреда, который может быть причинён субъектам персональных в случае нарушения Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Федеральный закон «О персональных данных»), и отражают соотношение указанного возможного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных указанным Федеральным законом.

    КОНСУЛЬТАЦИЯ ЮРИСТА


    УЗНАЙТЕ, КАК РЕШИТЬ ИМЕННО ВАШУ ПРОБЛЕМУ — ПОЗВОНИТЕ ПРЯМО СЕЙЧАС

    8 800 350 84 37

    1.2. Вред субъекту персональных данных возникает в результате неправомерного или случайного доступа к персональным данным.

    1.3. Перечисленные неправомерные действия определяются как следующие нарушения безопасности информации:

    — неправомерное предоставление, распространение и копирование персональных данных являются нарушением конфиденциальности персональных данных;

    — неправомерное уничтожение и блокирование персональных данных является нарушением доступности персональных данных;

    — неправомерное изменение персональных данных является нарушением целостности персональных данных;

    — нарушение права субъекта требовать от оператора уточнения его персональных данных, их блокирования или уничтожение является нарушением целостности информации;

    — нарушение права субъекта на получение информации, касающейся обработки его персональных данных, является нарушением доступности персональных данных;

    — обработка персональных данных, выходящая за рамки установленных и законных целей обработки, в объёме больше необходимого для достижения установленных и законных целей и дольше установленных сроков является нарушением конфиденциальности персональных данных;

    — неправомерное получение персональных данных от лица, не являющегося субъектом персональных данных, является нарушением конфиденциальности персональных данных;

    — принятие решения, порождающего юридические последствия в отношении субъекта персональных данных или иным образом затрагивающие его права и законные интересы, на основании исключительно автоматизированной обработки его персональных данных без согласия на то в письменной форме субъекта персональных данных или непредусмотренное федеральными законами, является нарушением конфиденциальности персональных данных.

    1.4. Субъекту персональных данных может быть причинён вред в форме убытков, морального вреда.

    1.5. В оценке возможного вреда Администрация исходит из следующего способа учёта последствий допущенного нарушения принципов обработки персональных данных:

    1.5.1. Низкий уровень возможного вреда — последствия нарушения принципов обработки персональных данных включают только нарушение целостности персональных данных, либо только нарушение доступности персональных данных;

    1.5.2. Средний уровень возможного вреда — последствия нарушения принципов обработки персональных данных включают только нарушение целостности персональных данных, повлекшее убытки и моральный вред, либо только нарушение доступности персональных данных, повлекшее убытки и моральный вред, либо только нарушение конфиденциальности персональных данных;

    1.5.3. Высокий уровень возможного вреда — во всех остальных случаях.

    1.6. Оценка возможного вреда субъектам персональных данных осуществляется лицом, ответственным за организацию обработки персональных данных, в соответствии с методикой, описанной в настоящих Правилах, и на основании значений, приведённых в Приложении N 1.

    Читайте так же:  Нужен ли загранпаспорт новорожденному ребенку в турцию

    1.7. Состав реализуемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных», определяется лицом, ответственным за организацию обработки персональных данных, исходя из правомерности и разумной достаточности указанных мер.

    • Приложение 1. Оценка вреда, который может быть причинен субъектам персональных данных, а также соотнесение возможного вреда и реализуемых оператором мер
    >
    Оценка вреда, который может быть причинен субъектам персональных данных, а также соотнесение возможного вреда и реализуемых.
    Содержание
    Постановление Администрации муниципального района «Заполярный район» Ненецкого автономного округа от 17 июля 2018.

    Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!

    Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.

    Источник: http://base.garant.ru/44017532/7af06a18e696b1f1f06e05ebdce27796/

    Глава 3. Методика оценки возможного вреда субъектам персональных данных

    Глава 3. Методика оценки возможного вреда субъектам персональных данных

    4. Вред субъекту персональных данных возникает в результате неправомерного или случайного доступа к персональным данным, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

    5. Перечисленные неправомерные действия определяются как следующие нарушения безопасности информации:

    1) неправомерное предоставление, распространение и копирование персональных данных являются нарушением конфиденциальности персональных данных;

    2) неправомерное уничтожение и блокирование персональных данных является нарушением доступности персональных данных;

    3) неправомерное изменение персональных данных является нарушением целостности персональных данных;

    4) нарушение права субъекта требовать от оператора уточнения его персональных данных, их блокирования или уничтожение является нарушением целостности информации;

    5) нарушение права субъекта на получение информации, касающейся обработки его персональных данных, является нарушением доступности персональных данных;

    6) обработка персональных данных, выходящая за рамки установленных и законных целей обработки, в объеме больше необходимого для достижения установленных и законных целей и дольше установленных сроков является нарушением конфиденциальности персональных данных;

    7) неправомерное получение персональных данных от лица, не являющегося субъектом персональных данных, является нарушением конфиденциальности персональных данных;

    8) принятие решения, порождающего юридические последствия в отношении субъекта персональных данных или иным образом затрагивающие его права и законные интересы, на основании исключительно автоматизированной обработки его персональных данных без согласия на то в письменной форме субъекта персональных данных или непредусмотренное федеральными законами, является нарушением конфиденциальности персональных данных.

    6. Субъекту персональных данных может быть причинен вред в форме:

    1) убытков — расходов, которые лицо, чье право нарушено, понесло или должно будет понести для восстановления нарушенного права, утраты или повреждения его имущества (реальный ущерб), а также неполученных доходов, которые это лицо получило бы при обычных условиях гражданского оборота, если бы его право не было нарушено;

    2) морального вреда — физических или нравственных страданий, причиняемых действиями, нарушающими личные неимущественные права гражданина либо посягающими на принадлежащие гражданину другие нематериальные блага, а также в других случаях, предусмотренных законом.

    7. В оценке возможного вреда Администрация города Нижний Тагил исходит из следующего способа учета последствий допущенного нарушения принципов обработки персональных данных:

    1) низкий уровень возможного вреда — последствия нарушения принципов обработки персональных данных включают только нарушение целостности персональных данных, либо только нарушение доступности персональных данных;

    2) средний уровень возможного вреда — последствия нарушения принципов обработки персональных данных включают только нарушение целостности персональных данных, повлекшее убытки и моральный вред, либо только нарушение доступности персональных данных, повлекшее убытки и моральный вред, либо только нарушение конфиденциальности персональных данных;

    8. Высокий уровень возможного вреда — во всех остальных случаях.

    >
    Порядок проведения оценки возможного вреда, а также соотнесения возможного вреда и реализуемых Оператором мер
    Содержание
    Постановление Администрации города Нижний Тагил Свердловской области от 13 сентября 2017 г. N 2228-ПА «Об утверждении.

    Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!

    Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.

    Источник: http://base.garant.ru/46743892/daf75cc17d0d1b8b796480bc59f740b8/

    Блог Артема Агеева

    Страницы

    Анализ вреда субъекту ПДн

    • К1 — значительные негативные последствия;
    • К2 — негативные последствия;
    • К3 — незначительные негативные последствия.

    • К1 — телесные повреждения средней тяжести. Средний штраф — 50 000т.р.;
    • К2 — незначительные телесные повреждения. Средний штраф — 25 000т.р.;
    • К3 — побои. 10 000т.р.

    1. Уведомить субъекта персональных данных в 10 дневный срок (ч.3 ст. 21 152-ФЗ). Уведомить его необходимо заказным письмом (100р.) и звонком (15р), т.к. письмо за 10 дней может и не дойти. Письмо нужно составить, распечатать и упаковать в конверт — 35р. Итого — 150 рублей на субъекта минимум.
    2. Заплатить штраф за нарушение ст. 13.11 КоАП — 10 000 рублей;
    3. Устранить причину утечки, провести мероприятия по модернизации системы безопасности, аттестации или контролю эффективности.

    8 комментариев:

    На счет доступности. Не всегда недоступность ПДн и недоступность услуги — это одно и тоже.

    С другой стороны не со всеми субъектами есть договор. Может быть например госучреждение которое обязано оказать услугу — выдать справку, перечислить субсидию и т.п.
    Например какой ущерб если ГИБДД в течении недели не сможет оказывать услугу по регистрации автомобилей?
    Может быть 0, а может быть 100 тыщ млн?

    Читайте так же:  Отказано в принятии заявления в суд

    2 подход — это оценка стоимости данных со стороны преступников. Если сворованную картину или бриллиант преступник может продать только за 100 тыс, это не значит что исходно картина не могла стоить 10 млн.

    3 подход — ущерб оператору не всегда соизмерим с ущербом субъекту. Особенно если речь идет об утечке ценных данных по малому количеству субъектов.

    Например, если медицинская компания разгласила что Президент РФ употребляет лечится от наркомании или организация проводящая исследования на полиграфе разгласила что губернатор берет взятки?
    Убытки оператора и ущерб субъекту будут не сравнимы.

    Надеюсь, в случае с ГИБДД ущерб будет равняться 2 звездочкам с погонов 🙂

    Оценка ущерба — дело очень сложное и запутанное. Моя задача была дать максимально простой подход, который подошел бы большинству операторов.

    Согласен, результаты по 2 и 3 подходу дают заниженную оценку, однако полученные цифры все равно выглядят достаточно убедительно.

    Закон не обязывает оператора проводить КОЛИЧЕСТВЕННУЮ оценку вреда, идем по пути регулятора (трехглавый приказ) и оцениваем качественно.

    Закон про качественную оценку ничего не говорит. Результат оценки нужно соотносить с принятыми мерами и есть только один способ это сделать =)

    имхо важная часть данного анализа — показать руководству сколько стоят пдн и какие затраты может понести оператор.

    Вот именно что может. А может и не понести. Все очень индивидуально. В условиях бардака в законодательстве оценка вреда — очередная химера. Реальная защита ПДн осуществляется там, где это актив, ценный для бизнеса оператора (клиентская база, например), а не виртуальные убытки вследствии призрачного вреда субъекту.

    в случае с ЖКХ, здравоохранением и т.д. конфиденциальность пдн не является для оператора сколь-либо ценной. А вот для субъекта эти сведения зачастую важно держать в тайне.

    хоть в законодательстве и бардак, но требование есть и исполнять его нужно. Краснодарский РКН уже подобный документ запрашивает.

    Источник: http://www.itsec.pro/2011/12/blog-post_14.html

    Оценка вреда субъекту персональных данных

    МИНИСТЕРСТВО ЗДРАВООХРАНЕНИЯ САРАТОВСКОЙ ОБЛАСТИ

    от 9 марта 2016 года N 328

    Об утверждении правил оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных

    В соответствии с требованиями Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных» ПРИКАЗЫВАЮ:

    1. Утвердить Правила оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных в министерстве здравоохранения области согласно Приложению к настоящему приказу.

    2. Назначить заместителя начальника управления организации работы министерства здравоохранения области Курганова Сергея Владимировича ответственными за оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных в министерстве здравоохранения области.

    3. Настоящий приказ подлежит официальному опубликованию в средствах массовой информации.

    4. Контроль за исполнением настоящего приказа возложить на первого заместителя министра здравоохранения области В. Б. Николаева.

    Министр
    Ж. А. Никулина

    Приложение. Правила оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных

    Приложение
    к приказу министерства
    здравоохранения Саратовской области
    от 09.03.2016 г. N 328

    Правила оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных

    1. Общие положения

    1.1. Настоящие Правила оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных (далее — Правила) определяют порядок оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных» (далее — ФЗ N 152-ФЗ), и отражают соотношение указанного возможного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ N 152-ФЗ.

    1.2. Настоящие Правила разработаны в соответствии с действующим законодательством Российской Федерации в области обработки и защиты персональных данных.

    2. Основные понятия

    3. Методика оценки возможного вреда субъектам персональных данных

    4. Порядок проведения оценки возможного вреда, а также соотнесения возможного вреда и реализуемых Оператором мер

    4.1. Оценка возможного вреда субъектам персональных данных осуществляется лицом, ответственным в министерстве здравоохранения области за защиту информации, в соответствии с методикой, описанной в разделе 3 настоящих Правил, и на основании экспертных значений, приведенных в Приложении 1.

    4.2. Состав реализуемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ N 152-ФЗ «О персональных данных», определяется лицом, ответственным в министерстве здравоохранения области за организацию обработки персональных данных, исходя из правомерности и разумной достаточности указанных мер.

    Приложение 1 к правилам. Оценка вреда, который может быть причинен субъектам персональных данных, а также соотнесение возможного вреда и реализуемых Оператором мер

    Приложение 1
    к правилам

    Читайте так же:  Нормативно правовые акты регулирующие судебное делопроизводство

    Оценка вреда, который может быть причинен субъектам персональных данных, а также соотнесение возможного вреда и реализуемых Оператором мер

    Возможные нарушение безопасности информации и причиненный субъекту вред

    Уровень возможного вреда

    Принимаемые меры по обеспечению выполнения обязанностей оператора персональных данных

    Видео (кликните для воспроизведения).

    порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

    Убытки и моральный вред

    В соответствии с законодательством в области защиты информации и Положением по обеспечением безопасности персональных данных

    Источник: http://docs.cntd.ru/document/467709503

    ПОЛОЖЕНИЕ по организации и проведению работ по обеспечению безопасности персональных данных

    Главный врач БУ «Козловская ЦРБ им. И.Е. Виноградова» Минздрава Чувашии

    «19» декабря 2018 г.

    по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных БУ «Козловская ЦРБ им. И.Е. Виноградова» Минздрава Чувашии

    Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

    Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания, если иное не предусмотрено федеральным законом.

    Межсетевой экран – локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную систему персональных данных и (или) выходящей из информационной системы.

    Несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных.

    Обработка персональных данных – действия (операции) с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

    Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

    Технические средства информационной системы персональных данных – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации).

    Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

    Пользователь информационной системы персональных данных – лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования.

    Ресурс информационной системы – именованный элемент системного, прикладного или аппаратного обеспечения функционирования информационной системы.

    Средства вычислительной техники – совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.

    Угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.

    Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

    Уровень защищенности персональных данных – комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

    Утечка (защищаемой) информации по техническим каналам – неконтролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществляющего перехват информации.

    Целостность информации – способность средства вычислительной техники или информационной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).

    Этап 1. Предпроектное обследование ИСПДн и разработка технического задания на создание СЗПДн.

    Этап 2. Проектирование СЗПДн, закупка, установка, настройка необходимых средств защиты информации.

    Этап 3. Ввод ИСПДн с СЗПДн в эксплуатацию.

    Техническое задание на разработку СЗПДн должно содержать:

    к Положению по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных БУ «Козловская ЦРБ им. И.Е. Виноградова» Минздрава Чувашии

    от «____»_________________ 20__ г.

    План мероприятий по защите персональных данных

    в БУ «Козловская ЦРБ им. И.Е. Виноградова» Минздрава Чувашии

    Источник: http://www.kozlovka-crb.med.cap.ru/important-info/politika-obrabotki-personaljnih-dannih/polozhenie-po-organizacii-i-provedeniyu-rabot-po-obe

    Оценка вреда субъекту персональных данных

    АДМИНИСТРАЦИЯ ТАМБОВСКОЙ ОБЛАСТИ

    от 26 июня 2018 года N 626

    Об утверждении правил оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных в администрации области

    Во исполнение требований пункта 5 части 1 статьи 18.1 Федерального закона от 27.07.2006 152-ФЗ «О персональных данных» (в редакции от 29.07.2017) администрация области постановляет:

    Читайте так же:  Образец подачи жалобы на определение суда

    1. Утвердить правила оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных в администрации области.

    2. Назначить управление информационных технологий, связи и документооборота администрации области (Стрельцов) ответственным за оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных в администрации области.

    3. Руководителям структурных подразделений администрации области ознакомить под роспись государственных гражданских служащих структурных подразделений администрации области с настоящим постановлением.

    4. Опубликовать постановление на сайте сетевого издания «Тамбовская жизнь» (www.tamlife.ru).

    5. Контроль за исполнением настоящего постановления возложить на первого заместителя главы администрации области, руководителя аппарата главы администрации области О.О.Иванова.

    Глава администрации области
    А.В.Никитин

    Правила оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных в администрации области

    Утверждены
    постановлением
    администрации Тамбовской области
    от 26.06.2018 N 626

    1. Общие положения

    1.1. Настоящие правила оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных в администрации области, (далее — Правила) определяют порядок оценки вреда, который может быть причинен субъектам персональных в случае нарушения Федерального закона N 152-ФЗ «О персональных данных» (далее — Закон N 152-ФЗ), и отражают соотношение указанного возможного вреда и принимаемых администрацией области (далее — Оператор) мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом N 152-ФЗ.

    1.2. Настоящие Правила разработаны в соответствии с действующим законодательством Российской Федерации в области обработки и защиты персональных данных.

    2. Основные понятия

    В настоящих Правилах используются основные понятия приведенные в Гражданском кодексе Российской Федерации, в Федеральном законе от 27.07.2006 1149-ФЗ «Об информации, информационных технологиях и о защите информации» и в Федеральном законе от 27.07.2006 152-ФЗ «О персональных данных».

    3. Методика оценки возможного вреда субъектам персональных данных

    3.1. Вред субъекту персональных данных возникает в результате неправомерного или случайного доступа к персональным данным, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

    3.2. Перечисленные неправомерные действия определяются как следующие нарушения безопасности информации:

    нарушение конфиденциальности персональных данных:

    неправомерное предоставление, распространение и копирование персональных данных;

    обработка персональных данных, выходящая за рамки установленных целей обработки, в объеме больше необходимого;

    неправомерное получение персональных данных от лица, не являющегося субъектом персональных данных;

    принятие решения, порождающего юридические последствия в отношении субъекта персональных данных или иным образом затрагивающего права и законные интересы, на основании исключительно автоматизированной обработки его персональных данных без согласия на то в письменной форме субъекта персональных данных или не предусмотренного федеральными законами;

    нарушение доступности персональных данных:

    нарушение права субъекта на получение информации, касающейся обработки его персональных данных;

    неправомерное уничтожение и блокирование персональных данных;

    нарушение целостности персональных данных:

    неправомерное изменение персональных данных;

    нарушение права субъекта требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения.

    3.3. Вред, который может быть причинен субъекту персональных данных, определяется в виде:

    убытков — расходов, которые субъект персональных данных, чье право нарушено, понесло или должно будет понести для восстановления нарушенного права, утраты или повреждения его имущества (реальный ущерб);

    недополученного дохода, который этот субъект персональных данных получил бы при обычных условиях гражданского оборота, если бы его право не было нарушено;

    морального вреда — физических или нравственных страданий, причиняемых действиями, нарушающими личные неимущественные права субъекта персональных либо посягающими на принадлежащие субъекту персональных данных другие нематериальные блага, а также в других случаях, предусмотренных законом.

    3.4. В оценке возможного вреда необходимо исходить из следующего способа учета последствий допущенного нарушения принципов обработки персональных данных:

    низкий уровень возможного вреда — последствия нарушения принципов обработки персональных данных включают только нарушение целостности персональных данных, либо только нарушение доступности персональных данных;

    средний уровень возможного вреда — последствия нарушения принципов обработки персональных данных включают только нарушение целостности персональных данных, повлекшее убытки и моральный вред, либо только нарушение доступности персональных данных, повлекшее убытки и моральный вред, либо только нарушение конфиденциальности персональных данных;

    высокий уровень возможного вреда — во всех остальных случаях.

    4. Порядок проведения оценки возможного вреда, а также соотнесения возможного вреда и реализуемых Оператором мер

    Оценка возможного вреда проводится для исполнения требований к защите персональных данных при их обработке в информационной системе персональных данных (далее — ИСПДн), в частности, при определение типа актуальных угроз безопасности персональных данных при их обработке в ИСПДн во исполнение п. 5 ч. 1 ст. 18.1 Закона N 152-ФЗ.

    Оценка возможного вреда субъектам персональных данных и состав реализуемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом N 152-ФЗ, осуществляется должностными лицами управления информационных технологий, связи и документооборота администрации области в соответствии с методикой оценки возможного вреда субъектам персональных данных, определенной в разделе 3 настоящих Правил, и на основании оценки вреда, который может быть причинен субъектам персональных данных, а также соотнесения возможного вреда и реализуемых Оператором мер, приведенных в приложении к Правилам, исходя из правомерности и разумной достаточности указанных мер. При необходимости допускается привлечение сторонних экспертов в области защиты информации.

    Читайте так же:  Исковое заявление в суд на гибдд

    Приложение. Оценка вреда, который может быть причинен субъектам персональных данных, а также соотнесение возможного вреда и реализуемых Оператором мер

    Приложение
    к правилам оценки вреда, который может
    быть причинен субъектам персональных данных
    в случае нарушения требований по обработке и
    обеспечению безопасности персональных данных
    в администрации области

    При определении уровня возможного вреда необходимо учитывать, что сами по себе нарушения целостности и доступности могут принести наименьший вред субъекту персональных данных, так как субъект персональных данных может и имеет право требовать восстановления целостности и доступности.

    Если такое правомочие субъекта персональных данных затруднено, считается, что имеется основание для судебного иска, поэтому нарушение целостности или доступности, повлекшие моральный вред или ущерб, отнесены к среднему уровню вреда.

    Если нарушение конфиденциальности потенциально необратимо (ставшие публичными данные невозможно снова сделать конфиденциальными), то даже в случае, если оно не повлекло причинение морального вреда субъекту персональных данных, такое нарушение относится к среднему уровню возможного вреда.

    Если нарушения конфиденциальности повлекли за собой моральный ущерб и убытки, то такие нарушения относятся к наивысшему уровню возможного вреда.

    Таблица. Оценка уровня возможного вреда

    Требования Федерального закона от 27.07.2006 152-ФЗ «О персональных данных», которые могут быть нарушены

    Возможные нарушения безопасности информации и причиненный субъекту вред

    Уровень возможного вреда

    Принимаемые меры по обеспечению выполнения обязанностей Оператора персональных данных

    1. Порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных

    Убытки и моральный вред

    В соответствии с законодательством в области защиты информации и Положением по обеспечением безопасности персональных данных

    Источник: http://docs.cntd.ru/document/550130088

    Оценка вреда субъекту персональных данных

    АДМИНИСТРАЦИЯ МУНИЦИПАЛЬНОГО ОБРАЗОВАНИЯ «ТЕРЕНЬГУЛЬСКИЙ РАЙОН» УЛЬЯНОВСКОЙ ОБЛАСТИ

    от 10 марта 2017 года N 92

    ОБ УТВЕРЖДЕНИИ ПРАВИЛ ОЦЕНКИ ВРЕДА, КОТОРЫЙ МОЖЕТ БЫТЬ ПРИЧИНЕН СУБЪЕКТАМ ПЕРСОНАЛЬНЫХ ДАННЫХ В СЛУЧАЕ НАРУШЕНИЯ ТРЕБОВАНИЙ ПО ОБРАБОТКЕ И ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ В АДМИНИСТРАЦИИ МУНИЦИПАЛЬНОГО ОБРАЗОВАНИЯ «ТЕРЕНЬГУЛЬСКИЙ РАЙОН»

    В соответствии с требованиями Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных» Администрация муниципального образования «Тереньгульский район» постановляет:

    1. Утвердить Правила оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных в Администрации муниципального образования «Тереньгульский район» (приложение N 1).

    2. Назначить руководителя аппарата Администрации муниципального образования «Тереньгульский район» ответственными за оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных в Администрации муниципального образования «Тереньгульский район».

    2. Контроль за исполнением настоящего постановления возложить на руководителя аппарата Администрации муниципального образования «Тереньгульский район».

    3. Настоящее постановление вступает в силу после опубликования в информационном бюллетене «Вестник района».

    Глава администрации
    муниципального образования
    «Тереньгульский район»
    В.М.ДЕРГУНОВ

    Приложение N 1. Правила оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных

    Приложение N 1
    к постановлению
    администрации МО «Тереньгульский район»
    от 10 марта 2017 года N 92

    1. Общие положения

    1.1. Настоящие Правила оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных (далее — Правила) определяют порядок оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных» (далее — Закон), и отражают соотношение указанного возможного вреда и принимаемых Администрацией муниципального образования «Тереньгульский район» (далее — Оператор) мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом.

    1.2. Настоящие Правила разработаны в соответствии с действующим законодательством Российской Федерации в области обработки и защиты персональных данных.

    2. Основные понятия

    3. Методика оценки возможного вреда субъектам персональных данных

    4. Порядок проведения оценки возможного вреда, а также соотнесения возможного вреда и реализуемых Оператором мер

    4.1. Оценка возможного вреда субъектам персональных данных осуществляется руководителем аппарата Администрации муниципального образования «Тереньгульский район», в соответствии с методикой, описанной в разделе 3 настоящих Правил, и на основании экспертных значений, приведенных в Приложении 1.

    4.2. Состав реализуемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом, определяется лицом, ответственным в Администрации муниципального образования «Тереньгульский район» за организацию обработки персональных данных, исходя из правомерности и разумной достаточности указанных мер.

    Видео (кликните для воспроизведения).

    Источник: http://docs.cntd.ru/document/463720751

    Оценка вреда субъекту персональных данных
    Оценка 5 проголосовавших: 1

    ОСТАВЬТЕ ОТВЕТ

    Please enter your comment!
    Please enter your name here