Правила оценки вреда который может быть причинен субъектам персональных данных в школе

Обновлено: 04.07.2024

Лист ознакомления с локальными актами и законодательством Российской Федерации, регулирующими обработку персональных данных

Справочные материалы для создания системы защиты персональных данных при их обработке в информационных системах персональных данных

Пособие для организаций самостоятельно решающих вопросы защиты персональных данных

Проверить свои знания в сфере защиты персональных данных Вы можете в уникальном сервисе тестирования. Тест на знание нормативных актов, регулирующих обработку персональных данных является бесплатным и не имеет аналогов.

Руководство по организации обработки и образцы организационно- распорядительных документов по выполнению требований законодательства о персональных данных в государственных и муниципальных органах.

Руководство по организации обработки и образцы организационно- распорядительных документов по выполнению требований законодательства о персональных данных в школах.

1. Настоящая Методика определяет порядок оценки вреда, который может быть причинён субъектам персональных данных в случае нарушения Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон), и отражает соотношение указанного возможного вреда и принимаемых Правительством Ульяновской области (далее - Оператор) мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом.

2. Вред субъекту персональных данных возникает в результате неправомерного или случайного доступа к персональным данным, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

3. Перечисленные в пункте 2 настоящей Методики неправомерные действия определяются как следующие нарушения безопасности информации:

1) неправомерное предоставление, распространение и копирование персональных данных являются нарушением конфиденциальности персональных данных;

2) неправомерное уничтожение и блокирование персональных данных являются нарушением доступности персональных данных;

3) неправомерное изменение персональных данных является нарушением целостности персональных данных;

4) нарушение права субъекта персональных данных требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения является нарушением целостности информации;

5) нарушение права субъекта персональных данных на получение информации, касающейся обработки его персональных данных, является нарушением доступности персональных данных;

6) обработка персональных данных, выходящая за рамки установленных и законных целей обработки, в объёме больше необходимого для достижения установленных и законных целей и дольше установленных сроков является нарушением конфиденциальности персональных данных;

7) неправомерное получение персональных данных от лица, не являющегося субъектом персональных данных, является нарушением конфиденциальности персональных данных;

8) принятие решения, порождающего юридические последствия в отношении субъекта персональных данных или иным образом затрагивающего его права и законные интересы, на основании исключительно автоматизированной обработки его персональных данных без согласия на то в письменной форме субъекта персональных данных или не предусмотренное федеральными законами, является нарушением конфиденциальности персональных данных.

4. Субъекту персональных данных может быть причинён вред в форме:

1) убытков - расходов, которые лицо, чьё право нарушено, понесло или должно будет понести для восстановления нарушенного права, утраты или повреждения его имущества (реальный ущерб), а также неполученных доходов, которые это лицо получило бы при обычных условиях гражданского оборота, если бы его право не было нарушено;

2) морального вреда - физических или нравственных страданий, причиняемых действиями, нарушающими личные неимущественные права гражданина либо посягающими на принадлежащие гражданину другие нематериальные блага, а также в других случаях, предусмотренных законом.

5. В оценке возможного вреда Оператор исходит из следующего способа учёта последствий допущенного нарушения принципов обработки персональных данных:

1) низкий уровень возможного вреда - последствия нарушения принципов обработки персональных данных включают только нарушение целостности персональных данных либо только нарушение доступности персональных данных;

2) средний уровень возможного вреда - последствия нарушения принципов обработки персональных данных включают только нарушение целостности персональных данных, повлёкшее убытки и моральный вред, либо только нарушение доступности персональных данных, повлёкшее убытки и моральный вред, либо только нарушение конфиденциальности персональных данных;

3) высокий уровень возможного вреда - во всех остальных случаях.

6. Оценка вреда, который может быть причинён субъектам персональных данных в случае нарушения Закона, и соотношение указанного возможного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом, приведены в таблице.

Оценка
вреда, который может быть причинён субъектам персональных данных, и соотношение возможного вреда и принимаемых Оператором мер

Требования Закона, которые могут быть нарушены

Возможные нарушение безопасности информации и причинённый субъекту персональных данных вред

Уровень возможного вреда

Меры, принимаемые Оператором, направленные на обеспечение выполнения обязанностей

Определение угроз безопасности персональных данных при их обработке в информационных системах, содержащих персональные данные

Убытки и моральный вред

Актуализация моделей угроз безопасности персональных данных

Порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищённости персональных данных

Убытки и моральный вред

В соответствии с законодательством Российской Федерации в области защиты информации и Положением об обработке персональных данных в Правительстве Ульяновской области

Подборка наиболее важных документов по запросу Оценка вреда субъектам персональных данных (нормативно–правовые акты, формы, статьи, консультации экспертов и многое другое).

Статьи, комментарии, ответы на вопросы: Оценка вреда субъектам персональных данных

Открыть документ в вашей системе КонсультантПлюс:
Статья: Защита информации
(Подготовлен для системы КонсультантПлюс, 2022) - производить оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона о персональных данных, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных данным Законом;

Открыть документ в вашей системе КонсультантПлюс:
"Научно-практический постатейный комментарий к Федеральному закону "О персональных данных"
(2-е издание, переработанное и дополненное)
(Савельев А.И.)
("Статут", 2021) Результаты оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения требований законодательства в области персональных данных, могут быть оформлены протоколом оценки вреда, в котором для каждой категории субъектов (работники, их родственники, соискатели, клиенты, посетители, руководящий состав и т.п.) и способа обработки персональных данных указывается присвоенная степень вреда. Оператор может сам определить классификацию степеней вреда, например "низкий, умеренный, средний, значительный, высокий, чрезвычайно высокий" . Степень тяжести вреда может варьироваться от степени "чувствительности" данных и их идентифицирующего потенциала; количества обрабатываемых данных; количества субъектов персональных данных, данные которых обрабатывает оператор, и прочих факторов.

Нормативные акты: Оценка вреда субъектам персональных данных

Федеральный закон от 27.07.2006 N 152-ФЗ
(ред. от 02.07.2021)
"О персональных данных" 5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом;

3. Настоящее постановление вступает в силу на следующий день после его обнародования.

4. Контроль за исполнением настоящего постановления возложить на руководителя аппарата администрации района Башмакову И.И.

Глава администрации района А.Н.Дорофеев

Правила оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных

1. Общие положения

1.2. Настоящие Правила разработаны в соответствии с действующим законодательством Российской Федерации в области обработки и защиты персональных данных.

2. Основные понятия

2.1. В настоящих Правилах используются основные понятия:

2.1.2. Безопасность информации - состояние защищенности информации, при котором обеспечены ее конфиденциальность, доступность и целостность;

2.1.3. Конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя;

2.1.4. Целостность информации - состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими право на такое изменение;

2.1.5. Доступность информации - состояние информации (ресурсов информационной системы), при котором субъекты, имеющие права доступа, могут реализовать их беспрепятственно;

2.1.6. Убытки - расходы, которые лицо, чье право нарушено, понесло или должно будет понести для восстановления нарушенного права, утраты или повреждения его имущества (реальный ущерб), а также неполученных доходов, которые это лицо получило бы при обычных условиях гражданского оборота, если бы его право не было нарушено;

2.1.7. Моральный вред - физические или нравственные страдания, причиняемые действиями, нарушающими личные неимущественные права гражданина либо посягающими на принадлежащие гражданину другие нематериальные блага, а также в других случаях, предусмотренных законом;

2.1.8. Оценка возможного вреда - определение уровня вреда на основании учета причиненных убытков и морального вреда, нарушения конфиденциальности, целостности и доступности персональных данных.

3. Методика оценки возможного вреда субъектам персональных данных

3.1. Вред субъекту персональных данных возникает в результате неправомерного или случайного доступа к персональным данным, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

3.2. Перечисленные неправомерные действия определяются как следующие нарушения безопасности информации:

3.2.1. Неправомерное предоставление, распространение и копирование персональных данных являются нарушением конфиденциальности персональных данных;

3.2.2. Неправомерное уничтожение и блокирование персональных данных является нарушением доступности персональных данных;

3.2.3. Неправомерное изменение персональных данных является нарушением целостности персональных данных;

3.2.4. Нарушение права субъекта требовать от оператора уточнения его персональных данных, их блокирования или уничтожение является нарушением целостности информации;

3.2.5. Нарушение права субъекта на получение информации, касающейся обработки его персональных данных, является нарушением доступности персональных данных;

3.2.6. Обработка персональных данных, выходящая за рамки установленных и законных целей обработки, в объеме больше необходимого для достижения установленных и законных целей и дольше установленных сроков является нарушением конфиденциальности персональных данных;

3.2.7. Неправомерное получение персональных данных от лица, не являющегося субъектом персональных данных, является нарушением конфиденциальности персональных данных;

3.2.8. Принятие решения, порождающего юридические последствия в отношении субъекта персональных данных или иным образом затрагивающие его права и законные интересы, на основании исключительно автоматизированной обработки его персональных данных без согласия на то в письменной форме субъекта персональных данных или непредусмотренное федеральными законами, является нарушением конфиденциальности персональных данных.

3.3. Субъекту персональных данных может быть причинен вред в форме:

3.3.1. Убытков - расходов, которые лицо, чье право нарушено, понесло или должно будет понести для восстановления нарушенного права, утраты или повреждения его имущества (реальный ущерб), а также неполученных доходов, которые это лицо получило бы при обычных условиях гражданского оборота, если бы его право не было нарушено;

3.3.2. Морального вреда - физических или нравственных страданий, причиняемых действиями, нарушающими личные неимущественные права гражданина либо посягающими на принадлежащие гражданину другие нематериальные блага, а также в других случаях, предусмотренных законом.

3.4. В оценке возможного вреда Оператор исходит из следующего способа учета последствий допущенного нарушения принципов обработки персональных данных:

3.4.1. Низкий уровень возможного вреда - последствия нарушения принципов обработки персональных данных включают только нарушение целостности персональных данных, либо только нарушение доступности персональных данных;

3.4.2. Средний уровень возможного вреда - последствия нарушения принципов обработки персональных данных включают только нарушение целостности персональных данных, повлекшее убытки и моральный вред, либо только нарушение доступности персональных данных, повлекшее убытки и моральный вред, либо только нарушение конфиденциальности персональных данных;

3.4.3. Высокий уровень возможного вреда - во всех остальных случаях.

4. Порядок проведения оценки возможного вреда, а также соотнесения возможного вреда и реализуемых Оператором мер

Оценка вреда, который может быть причинен субъектам

персональных данных, а также соотнесение возможного вреда и реализуемых Оператором мер

Возможные нарушение безопасности информации и причиненный субъекту вред

Уровень возможного вреда

Принимаемые меры по обеспечению выполнения обязанностей оператора персональных данных

Порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

Убытки и моральный вред

В соответствии с законодательством в области защиты информации и Положением по обеспечением безопасности персональных данных обрабатываемых в ИСПДн

Читайте также:

  
• Основные экологические проблемы в судане кратко
  
• Объект и предмет философии кратко
  
• Управление по результатам кратко
  
• Технология приготовления вареников кратко
  
• Перечень всех школьных олимпиад самарская область 2021 2022