Мы работаем для Вас!
пн. - пт.: с 8 до 19 ч.
сб.: с 8 до 14 ч.
тел. 8(8452) 75-62-92, 29-19-63
dnacenter@overta.ru, dnacenter@yandex.ru
Адрес: г.Саратов, им.Рахова В.Г.-280
Правила оценки вреда, который может быть причинён
Приложение № 1 к приказу № 1015 от 15.10.2024 года «Об
утверждении Правил оценки вреда, который может быть
причинён при нарушении закона «О персональных данных« в
ООО «Центр ДНК исследований и Положения о внутреннем
контроле и (или) аудите соответствия обработки персональных
данных в ООО «Центр ДНК исследований» требованиям
законодательства в сфере обработки персональных данных
УТВЕРЖДЕНО Приказом по ООО
«Центр ДНК исследований» №1015 от 15.10.2024
ПРАВИЛА
оценки вреда, который может быть причинен при нарушении закона «О персональных данных» в ООО «Центр ДНК исследований»
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящие Правила оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных в ООО «Центр ДНК исследований» (далее - Правила) определяют порядок оценки вреда, который может быть причинён субъектам персональных в случае нарушения Федерального закона № 152-ФЗ «О персональных данных».
1.2. Комиссия по обеспечению безопасности персональных данных (далее - Комиссия) утверждена приказом ООО «Центр ДНК исследований» и действует на основании настоящих Правил.
1.3. Настоящие Правила утверждены в соответствии с действующим законодательством Российской Федерации в области обработки и защиты персональных данных и на основании Приказа Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 27.10.2022 г. № 178.
2. ОСНОВНЫЕ ПОНЯТИЯ
2.1. В настоящих Правилах используются основные понятия:
2.1.1 Информация - сведения (сообщения, данные) независимо от формы их представления.
2.1.2. Безопасность информации - состояние защищенности информации, при котором обеспечены ее конфиденциальность, доступность и целостность.
2.1.3. Конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.
2.1.4. Целостность информации - состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими право на такое изменение.
2.1.5. Доступность информации - состояние информации (ресурсов информационной системы), при котором субъекты, имеющие права доступа, могут реализовать их беспрепятственно.
2.1.6. Убытки - расходы, которые лицо, чье право нарушено, понесло или должно будет понести для восстановления нарушенного права, утраты или повреждения его имущества (реальный ущерб), а также неполученных доходов, которые это лицо получило бы при обычных условиях гражданского оборота, если бы его право не было нарушено.
2.1.7. Моральный вред - физические или нравственные страдания, причиняемые действиями, нарушающими личные неимущественные права гражданина либо посягающими на принадлежащие гражданину другие нематериальные блага, а также в других случаях, предусмотренных законом.
2.1.8. Оценка возможного вреда - определение уровня вреда на основании учёта причинённых убытков и морального вреда, нарушения конфиденциальности, целостности и доступности персональных данных
3. МЕТОДИКА ОЦЕНКИ ВОЗМОЖНОГО ВРЕДА СУБЪЕКТАМ ПЕРСОНАЛЬНЫХ ДАННЫХ ООО «Центр ДНК исследований»
3.1. Вред субъекту персональных данных возникает в результате неправомерного или случайного доступа к персональным данным, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
3.2. Перечисленные неправомерные действия определяются как следующие нарушения безопасности информации:
3.2.1. Неправомерное предоставление, распространение и копирование персональных данных являются нарушением конфиденциальности персональных данных.
3.2.2. Неправомерное уничтожение и блокирование персональных данных является нарушением доступности персональных данных.
3.2.3. Неправомерное изменение персональных данных является нарушением целостности персональных данных.
3.2.4. Нарушение права субъекта требовать от оператора уточнения его персональных данных, их блокирования или уничтожение является нарушением целостности информации.
3.2.5. Нарушение права субъекта на получение информации, касающейся обработки его персональных данных, является нарушением доступности персональных данных.
3.2.6. Обработка персональных данных, выходящая за рамки установленных и законных целей обработки, в объёме больше необходимого для достижения установленных и законных целей и дольше установленных сроков является нарушением конфиденциальности персональных данных.
3.2.7. Неправомерное получение персональных данных от лица, не являющегося субъектом персональных данных, является нарушением конфиденциальности персональных данных.
3.2.8. Принятие решения, порождающего юридические последствия в отношении субъекта персональных данных или иным образом затрагивающие его права и законные интересы, на основании исключительно автоматизированной обработки его персональных данных без согласия на то в письменной форме субъекта персональных данных или непредусмотренное федеральными законами, является нарушением конфиденциальности персональных данных.
3.2.9. Для защиты персональных данных, в целях недопущения причинения вреда субъектам персональных данных, ООО «Центр ДНК исследований» предпринимает следующие меры безопасности: оборудование помещений охранно-пожарной сигнализацией, использование технических средств защиты информационной системы, использование паролей при входе в информационную систему, инструктаж работников, которые обрабатывают персональные данные и имеют к ним доступ.
3.3. Субъекту персональных данных может быть причинён вред в форме:
3.3.1. Убытков - расходов, которые лицо, чье право нарушено, понесло или должно будет понести для восстановления нарушенного права, утраты или повреждения его имущества (реальный ущерб), а также неполученных доходов, которые это лицо получило бы при обычных условиях гражданского оборота, если бы его право не было нарушено.
3.3.2. Морального вреда - физических или нравственных страданий, причиняемых действиями, нарушающими личные неимущественные права гражданина либо посягающими на принадлежащие гражданину другие нематериальные блага, а также в других случаях, предусмотренных законом.
3.4. В оценке возможного вреда ООО «Центр ДНК исследований» исходит из следующего способа учёта последствий, допущенных нарушений принципов обработки персональных данных:
Высокий уровень вреда в случаях: - обработки специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, сведений о судимости, за исключением случаев, установленных федеральными законами, предусматривающими цели, порядок и условия обработки специальных категорий персональных данных; - обработки персональных данных несовершеннолетних для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является несовершеннолетний, а также для заключения договора по инициативе несовершеннолетнего или договора, по которому несовершеннолетний будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных; - обезличивания персональных данных, в том числе с целью проведения оценочных исследований, оказания услуг по прогнозированию поведения потребителей социальных услуг, а также иных статических исследований;
Средний уровень вреда в случаях: - распространения персональных данных на официальном сайте в информационно телекоммуникационной сети "Интернет" оператора, а равно предоставление персональных данных неограниченному кругу лиц, за исключением случаев, установленных Политикой в отношении обработки персональных данных в ООО «Центр ДНК исследований», предусматривающей цели, порядок и условия такой обработки персональных данных;
- обработки персональных данных в дополнительных целях, отличных от первоначальной цели сбора;
- продвижения услуг в ООО «Центр ДНК исследований», путем осуществления прямых контактов с потенциальным потребителем с использованием баз персональных данных, владельцем которых является иной оператор;
- получения согласия на обработку персональных данных посредством реализации на официальном сайте в информационно-телекоммуникационной сети "Интернет" функционала, не предполагающего дальнейшую идентификацию и (или) аутентификацию субъекта персональных данных;
- осуществления деятельности по обработке персональных данных, предполагающей получение согласия на обработку персональных данных, содержащего положения о предоставлении права осуществлять обработку персональных данных определенному и (или) неопределенному кругу лиц в целях, несовместимых между собой.
Низкий уровень вреда в случаях: - ведения общедоступных источников персональных данных, сформированных с целью информационного обеспечения и только с письменного согласия субъекта персональных данных и могут быть отозваны в любое время из общедоступных источников; - назначения в качестве ответственного за обработку персональных данных лица, не являющегося штатным сотрудником оператора
4. ПОРЯДОК ПРОВЕДЕНИЯ ОЦЕНКИ ВОЗМОЖНОГО ВРЕДА, А ТАКЖЕ СООТНЕСЕНИЯ ВОЗМОЖНОГО ВРЕДА И РЕАЛИЗУЕМЫХ МЕР
4.1. Комиссия по обеспечению безопасности персональных данных проводит оценку возможного вреда, который может быть причинен субъектам персональных данных, устанавливая уровень возможного вреда, в соответствии с п.3.4. (Приложение 1 к Правилам оценки вреда).
4.2. По результатам оценки возможного вреда субъекту персональных данных комиссией по обеспечению безопасности персональных данных составляется акт оценки возможного вреда субъектам персональных данных (Приложение 2 к Правилам оценки вреда), подписывается членами комиссии, утверждается директором ООО «Центр ДНК исследований». Допускается оформление одного акта на несколько субъектов персональных данных.