Методика оценки вреда который может быть причинен субъекту ПДн

УТВЕРЖДАЮ

Директор (Организация)

________________ ФИО

Методика оценки вреда

 который может быть причинен субъекту при обработке его персональных данных в информационных системах персональных данных в (Организация)

1.  ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящая Методика определяет систему оценки вреда, который может быть причинен субъектам персональных данных (далее–ПДн), обрабатываемых в информационных системах персональных данных (далее–ИСПДн) (Организация) (далее– оператор).

1.2. Согласно п.5 ч. 1 ст. 18.1 152-ФЗ, Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 23.07.2013) “О персональных данных” оператор обязан представить по запросу документ по оценке вреда субъекту ПДн.

2. МЕТОДИКА ОЦЕНКИ ВРЕДА

2.1. Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных:

Оценкой вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных является определение юридических или иным образом затрагивающих права и законные интересы последствий в отношении субъекта персональных данных, которые могут возникнуть в случае нарушения требований по обработке и обеспечению безопасности персональных данных.

К юридическим последствиям относятся случаи возникновения, изменения или прекращения личных либо имущественных прав граждан или иным образом затрагивающее его права, свободы и законные интересы.

При обработке персональных данных должны определяться и документально оформляться все возможные юридические или иным образом затрагивающие права и законные интересы последствия в отношении субъекта персональных данных, которые могут возникнуть в случае нарушения требований по обработке и обеспечению безопасности персональных данных.

Определение таких юридических последствий необходимо для недопущения нарушения и обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также определения соотношения вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных и принимаемых мер.

Обработка персональных данных без оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных не допускается.

К юридическим последствиям, порождаемым в результате действий (операций) с персональными данными, в отношении субъекта персональных данных либо иным образом затрагивающих права и свободы субъекта персональных данных в ИСПДн оператора ПДн относятся случаи возникновения, изменения или прекращения личных либо имущественных прав граждан или иным образом затрагивающее его права, свободы и законные интересы.

2.2. Оценка соотношения вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных и принимаемых мер по обработке и обеспечению безопасности персональных данных.

При оценке соотношения вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных, для каждой ИСПДн оператора производится экспертное сравнение заявленной оператором в своих локальных актах оценки вреда,  который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных и применяемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных действующим законодательством в области персональных данных и изложенных в настоящих Правилах.

По итогам сравнений принимается решение о достаточности применяемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных действующим законодательством в области персональных данных и возможности или необходимости принятия дополнительных мер или изменения установленного оператором порядка обработки и обеспечения безопасности персональных данных.

Оценка соотношения вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных и принимаемых мер по обработке и обеспечению безопасности персональных данных подписывается лицом, ответственным за организацию обработки персональных данных. По результатам принятых решений, лицом, ответственным за организацию обработки персональных данных организуется работа по их реализации.

3. ПРОТОКОЛ ОЦЕНКИ ВРЕДА

3.1. Состав и функциональное содержание методов и средств защиты ПДн определяются Оператором в зависимости от вида и степени ущерба, возникающего вследствие реализации угроз безопасности ПДн, которые обрабатываются Оператором.

3.2. Состав обрабатываемых Оператором ПДн не имеет высокую ценность для субъектов ПДн (т.к. не содержит данные о состоянии здоровья) и при разглашении такой информации возможно нанесение субъекту не значительного морального вреда. Ущерб для субъекта ПДн оценивается в 3 МРОТ (минимальный размер оплаты труда).

3.3. Субъектам, персональные данные которых обрабатываются Оператором, может быть причинен непосредственный* ущерб от неправомерных действий с их ПДн в виде получения их контактной информации, адреса проживания и т.д. Ущерб для субъекта ПДн оценивается в 5 МРОТ

* – Непосредственный ущерб связан с причинением физического, материального, финансового или морального вреда непосредственно субъекту ПДн. Он возникает за счет незаконного использования (в том числе распространения) ПДн или за счет несанкционированной модификации этих данных и может проявляться в виде: нанесения вреда здоровью субъекта ПДн; незапланированных и (или) непроизводительных финансовых или материальных затрат субъекта; потери субъектом свободы действий вследствие шантажа и угроз, осуществляемых с использованием ПДн; нарушения конституционных прав субъекта вследствие вмешательства в его личную жизнь, осуществление контактов с ним по различным поводам без его на то согласия.

3.4. Субъектам, персональные данные которых обрабатываются Оператором, может быть причинен опосредованный ущерб от неправомерных действий с их ПДн, связанный с причинением вреда Оператору за счет неправомерных действий с ПДн сотрудников и клиентов. Такой ущерб оценивается в 5 МРОТ.

3.5. Оценка материального вреда субъекту ПДн осуществляется с помощью примерного расчета возможных материальных потерь субъекта в случае нарушения конфиденциальности его ПДн. Моральный вред в соответствии со статьей 1101 главы 59 Гражданского кодекса РФ компенсируется также в денежной форме.