№ 141-р О проведении мероприятий по оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения требований федерального законодательства по защите персональных данных
- размер шрифта уменьшить размер шрифта увеличить размер шрифта
АДМИНИСТРАЦИЯ
ГОРОДСКОГО ПОСЕЛЕНИЯ Р.П. СРЕДНЯЯ АХТУБА
СРЕДНЕАХТУБИНСКОГО РАЙОНА ВОЛГОГРАДСКОЙ ОБЛАСТИ
Р А С П О Р Я Ж Е Н И Е
|
От 29 мая 2019г. № 141-р
О проведении мероприятий по оценке вреда, который может быть
причинен субъектам персональных данных в случае нарушения требований федерального законодательства по защите персональных данных
Во исполнение требований Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»:
- Утвердить правила оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных в Администрации городского поселения р.п.Средняя Ахтуба Среднеахтубинского муниципального района Волгоградской области (Приложение № 1).
- Для оценки возможного вреда субъектам, чьи персональные данные обрабатываются в информационных системах Администрации городского поселения р.п.Средняя Ахтуба Среднеахтубинского муниципального района Волгоградской области, назначить комиссию в составе:
Председатель |
Заместитель главы городского поселения р.п.Средняя Ахтуба В.Н.Васильев |
Члены комиссии |
Главный специалист-юрисконсульт административно-правового отдела В.Г.Бобришова |
|
Главный специалист отдела бухгалтерского учета и отчетности Н.А.Шибанова |
|
Главный специалист административно-правового отдела О.А.Скубакова |
|
Ведущий специалист А.С.Кондакова |
- По результатам работ предоставить для утверждения Акт оценки возможного вреда субъектам, чьи персональные данные обрабатываются в информационных системах Администрации городского поселения р.п.Средняя Ахтуба Среднеахтубинского муниципального района Волгоградской области.
- Контроль за исполнением настоящего распоряжения оставляю за собой.
- Настоящее распоряжение вступает в силу со дня его подписания.
Глава городского поселения р.п.Средняя Ахтуба |
Ю.В. Попов |
|
Приложение № 1 |
|
утверждено |
||
распоряжением администрации городского поселения р.п.Средняя Ахтуба от 29 мая 2019г. № 141-р |
|
ПРАВИЛА
оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных в Администрации городского поселения р.п.Средняя Ахтуба Среднеахтубинского муниципального района Волгоградской области
- Общие положения
- Настоящие Правила Администрации городского поселения р.п.Средняя Ахтуба Среднеахтубинского муниципального района Волгоградской области оценки возможного вреда субъектам персональных данных и принятия мер по его предотвращению (далее – Правила) определяют порядок оценки вреда, который может быть причинён субъектам персональных в случае нарушения федерального законодательства по защите персональных данных, в частности Федерального закона № 152-ФЗ «О персональных данных» (далее – № 152-ФЗ), и отражают соотношение указанного возможного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных № 152-ФЗ.
- Настоящие Правила разработаны в соответствии с действующим законодательством Российской Федерации в области обработки и защиты персональных данных.
- Термины и определения
- В настоящих Правилах используются основные понятия:
- Информация – сведения (сообщения, данные) независимо от формы их представления.
- Безопасность информации – состояние защищенности информации, при котором обеспечены ее конфиденциальность, доступность и целостность.
- Конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.
- Целостность информации – состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими право на такое изменение.
- Доступность информации – состояние информации (ресурсов информационной системы), при котором субъекты, имеющие права доступа, могут реализовать их беспрепятственно.
- Убытки – расходы, которые лицо, чье право нарушено, понесло или должно будет понести для восстановления нарушенного права, утраты или повреждения его имущества (реальный ущерб), а также неполученных доходов, которые это лицо получило бы при обычных условиях гражданского оборота, если бы его право не было нарушено.
- Моральный вред – физические или нравственные страдания, причиняемые действиями, нарушающими личные неимущественные права гражданина либо посягающими на принадлежащие гражданину другие нематериальные блага, а также в других случаях, предусмотренных законом.
- Оценка возможного вреда – определение уровня вреда на основании учёта причинённых убытков и морального вреда, нарушения конфиденциальности, целостности и доступности персональных данных.
- Описание вреда субъектам персональных данных
- Вред субъекту персональных данных возникает в результате неправомерного или случайного доступа к персональным данным, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
- Перечисленные неправомерные действия определяются как следующие нарушения безопасности информации:
- Неправомерное предоставление, распространение и копирование персональных данных являются нарушением конфиденциальности персональных данных.
- Неправомерное уничтожение и блокирование персональных данных является нарушением доступности персональных данных.
- Неправомерное изменение персональных данных является нарушением целостности персональных данных.
- Нарушение права субъекта требовать от оператора уточнения его персональных данных, их блокирования или уничтожение является нарушением целостности информации.
- Нарушение права субъекта на получение информации, касающейся обработки его персональных данных, является нарушением доступности персональных данных.
- Обработка персональных данных, выходящая за рамки установленных и законных целей обработки, в объёме больше необходимого для достижения установленных и законных целей и дольше установленных сроков является нарушением конфиденциальности персональных данных.
- Неправомерное получение персональных данных от лица, не являющегося субъектом персональных данных, является нарушением конфиденциальности персональных данных.
- Принятие решения, порождающего юридические последствия в отношении субъекта персональных данных или иным образом затрагивающие его права и законные интересы, на основании исключительно автоматизированной обработки его персональных данных без согласия на то в письменной форме субъекта персональных данных или непредусмотренное федеральными законами, является нарушением конфиденциальности персональных данных.
3.3. Субъекту персональных данных может быть причинён вред в форме:
3.3.1. Убытков – расходов, которые лицо, чье право нарушено, понесло или должно будет понести для восстановления нарушенного права, утраты или повреждения его имущества (реальный ущерб), а также неполученных доходов, которые это лицо получило бы при обычных условиях гражданского оборота, если бы его право не было нарушено.
3.3.2. Морального вреда – физических или нравственных страданий, причиняемых действиями, нарушающими личные неимущественные права гражданина либо посягающими на принадлежащие гражданину другие нематериальные блага, а также в других случаях, предусмотренных законом.
- Методика оценки возможного вреда субъектам
персональных данных
- Оценка возможного вреда должна производиться коллегиально. В комиссии должно быть пять человек.
- В оценке возможного вреда исходить из учёта последствий допущенного нарушения принципов обработки персональных данных. Вводится четыре уровня возможного вреда:
нулевой – вред субъекту ПДн не причиняется;
низкий – последствия нарушения принципов обработки персональных данных включают только нарушение целостности персональных данных, либо только нарушение доступности персональных данных;
средний – последствия нарушения принципов обработки персональных данных включают только нарушение целостности персональных данных, повлекшее убытки и моральный вред, либо только нарушение доступности персональных данных, повлекшее убытки и моральный вред, либо только нарушение конфиденциальности персональных данных;
высокий – во всех остальных случаях.
- Каждому уровню возможного вреда сопоставляется числовая оценка Y1, а именно:
0 – при нулевом уровне вреда;
0,05 – при низком уровне вреда;
0,1 – при среднем уровне вреда;
0,2 – при высоком уровне вреда.
- Каждым членом комиссии на основании собственного субъективного мнения выставляется одна из возможных оценок возможного вреда субъекту для каждой актуальной угрозы безопасности его ПДн из-за несанкционированного, в том числе случайного, доступа к его ПДн при их обработке в информационных системах.
- Все коэффициенты оценок суммируются по каждой актуальной угрозе.
- По значению суммарной оценки Y2 определяется возможный вред следующим образом:
если Y2 >0,9, то вред субъектам ПДн признается высоким;
если 0,5<Y2 ≤0,9, то вред субъектам ПДн признается средним;
если 0,2<Y2 ≤0,5, то вред субъектам ПДн признается низким;
если 0 <Y2 ≤0,5, то вред субъектам ПДн признается нулевым.
- Требования к мерам защиты
- С использованием данных об уровне защищенности ИСПДн Администрации городского поселения р.п.Средняя Ахтуба Среднеахтубинского муниципального района Волгоградской области и категориях персональных данных, обрабатываемых в них, на основе «Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» формулируются и применяются конкретные организационные и технические меры защиты, которые могут быть использованы при эксплуатации ИСПДн.