Политика оценки вреда

ООО "Центр лабораторной диагностики"

Телефон: 8(845)229-26-97

г.Саратов, ул.им.Рахова В.Г., д.280
dnacenter@yandex.ru, dnacenter@overta.ru

Внимание! Сайт находится в разработке

Подробнее

Приложение № 1 к приказу № 0111-24ПЕР от 15.05.2024 года

«Об утверждении положения о внутреннем контроле и (или)

аудите соответствия обработки персональных данных, в

ООО "Центр лабораторной диагностики" требованиям

законодательства в сфере обработки персональных данных.

УТВЕРЖДЕНО Приказом по ООО «Центр

лабораторной диагностики»» № 0415/24 от 15.04.2024

Правила оценки вреда, который может быть причинен при нарушении закона "О персональных данных"

в ООО "Центр лабораторной диагностики"

1. Общие положения

1.1. Настоящие Правила оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных в ООО « Центр лабораторной диагностики» (далее - Правила) определяют порядок оценки вреда, который может быть причинён субъектам персональных в случае нарушения Федерального закона № 152-ФЗ «О персональных данных».
1.2. Комиссия по обеспечению безопасности персональных данных (далее - Комиссия) утверждена приказом ООО «Центр лабораторной диагностики» и действует на основании настоящих Правил.
1.3. Настоящие Правила утверждены в соответствии с действующим законодательством Российской Федерации в области обработки и защиты персональных данных и на основании Приказа Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 27.10.2022 г. № 178.

2. Основные понятия

2.1. В настоящих Правилах используются основные понятия:
2.1.1 Информация - сведения (сообщения, данные) независимо от формы их представления.
2.1.2. Безопасность информации - состояние защищенности информации, при котором обеспечены ее конфиденциальность, доступность и целостность.
2.1.3. Конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.
2.1.4. Целостность информации - состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими право на такое изменение.
2.1.5. Доступность информации - состояние информации (ресурсов информационной системы), при котором субъекты, имеющие права доступа, могут реализовать их беспрепятственно.
2.1.6. Убытки - расходы, которые лицо, чье право нарушено, понесло или должно будет понести для восстановления нарушенного права, утраты или повреждения его имущества (реальный ущерб), а также неполученных доходов, которые это лицо получило бы при обычных условиях гражданского оборота, если бы его право не было нарушено.
2.1.7. Моральный вред - физические или нравственные страдания, причиняемые действиями, нарушающими личные неимущественные права гражданина либо посягающими на принадлежащие гражданину другие нематериальные блага, а также в других случаях, предусмотренных законом.
2.1.8. Оценка возможного вреда - определение уровня вреда на основании учёта причинённых убытков и морального вреда, нарушения конфиденциальности, целостности и доступности персональных данных

3. Методика оценки возможного вреда субъектам персональных данных ООО «Центр лабораторной диагностики»

3.1. Вред субъекту персональных данных возникает в результате неправомерного или случайного доступа к персональным данным, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
3.2. Перечисленные неправомерные действия определяются как следующие нарушения безопасности информации:
3.2.1. Неправомерное предоставление, распространение и копирование персональных данных являются нарушением конфиденциальности персональных данных.
3.2.2. Неправомерное уничтожение и блокирование персональных данных является нарушением доступности персональных данных.
3.2.3. Неправомерное изменение персональных данных является нарушением целостности персональных данных.
3.2.4. Нарушение права субъекта требовать от оператора уточнения его персональных данных, их блокирования или уничтожение является нарушением целостности информации.
3.2.5. Нарушение права субъекта на получение информации, касающейся обработки его персональных данных, является нарушением доступности персональных данных.
3.2.6. Обработка персональных данных, выходящая за рамки установленных и законных целей обработки, в объёме больше необходимого для достижения установленных и законных целей и дольше установленных сроков является нарушением конфиденциальности персональных данных.
3.2.7. Неправомерное получение персональных данных от лица, не являющегося субъектом персональных данных, является нарушением конфиденциальности персональных данных.
3.2.8. Принятие решения, порождающего юридические последствия в отношении субъекта персональных данных или иным образом затрагивающие его права и законные интересы, на основании исключительно автоматизированной обработки его персональных данных без согласия на то в письменной форме субъекта персональных данных или непредусмотренное федеральными законами, является нарушением конфиденциальности персональных данных.
3.2.9. Для защиты персональных данных, в целях недопущения причинения вреда субъектам персональных данных, ООО «Центр лабораторной диагностики» предпринимает следующие меры безопасности: оборудование помещений охранно-пожарной сигнализацией, использование технических средств защиты информационной системы, использование паролей при входе в информационную систему, инструктаж работников, которые обрабатывают персональные данные и имеют к ним доступ.
3.3. Субъекту персональных данных может быть причинён вред в форме:
3.3.1. Убытков - расходов, которые лицо, чье право нарушено, понесло или должно будет понести для восстановления нарушенного права, утраты или повреждения его имущества (реальный ущерб), а также неполученных доходов, которые это лицо получило бы при обычных условиях гражданского оборота, если бы его право не было нарушено.
3.3.2. Морального вреда - физических или нравственных страданий, причиняемых действиями, нарушающими личные неимущественные права гражданина либо посягающими на принадлежащие гражданину другие нематериальные блага, а также в других случаях, предусмотренных законом.
3.4. В оценке возможного вреда ООО «Центр лабораторной диагностики» исходит из следующего способа учёта последствий, допущенных нарушений принципов обработки персональных данных:
Высокий уровень вреда в случаях: - обработки специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, сведений о судимости, за исключением случаев, установленных федеральными законами, предусматривающими цели, порядок и условия обработки специальных категорий персональных данных; - обработки персональных данных несовершеннолетних для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является несовершеннолетний, а также для заключения договора по инициативе несовершеннолетнего или договора, по которому несовершеннолетний будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных; - обезличивания персональных данных, в том числе с целью проведения оценочных исследований, оказания услуг по прогнозированию поведения потребителей социальных услуг, а также иных статических исследований;
Средний уровень вреда в случаях: - распространения персональных данных на официальном сайте в информационно телекоммуникационной сети "Интернет" оператора, а равно предоставление персональных данных неограниченному кругу лиц, за исключением случаев, установленных Политикой в отношении обработки персональных данных в ООО «Центр лабораторной диагностики», предусматривающей цели, порядок и условия такой обработки персональных данных; - обработки персональных данных в дополнительных целях, отличных от первоначальной цели сбора; - продвижения услуг в ООО «Центр лабораторной диагностики», путем осуществления прямых контактов с потенциальным потребителем с использованием баз персональных данных, владельцем которых является иной оператор; - получения согласия на обработку персональных данных посредством реализации на официальном сайте в информационно-телекоммуникационной сети "Интернет" функционала, не предполагающего дальнейшую идентификацию и (или) аутентификацию субъекта персональных данных; - осуществления деятельности по обработке персональных данных, предполагающей получение согласия на обработку персональных данных, содержащего положения о предоставлении права осуществлять обработку персональных данных определенному и (или) неопределенному кругу лиц в целях, несовместимых между собой.
Низкий уровень вреда в случаях: - ведения общедоступных источников персональных данных, сформированных с целью информационного обеспечения и только с письменного согласия субъекта персональных данных и могут быть отозваны в любое время из общедоступных источников; - назначения в качестве ответственного за обработку персональных данных лица, не являющегося штатным сотрудником оператора

4. Порядок проведения оценки возможного вреда, а также соотнесения возможного вреда и реализуемых мер

4.1. Комиссия по обеспечению безопасности персональных данных проводит оценку возможного вреда, который может быть причинен субъектам персональных данных, устанавливая уровень возможного вреда, в соответствии с п.3.4. (Приложение 1 к Правилам оценки вреда).
4.2. По результатам оценки возможного вреда субъекту персональных данных комиссией по обеспечению безопасности персональных данных составляется акт оценки возможного вреда субъектам персональных данных (Приложение 2 к Правилам оценки вреда), подписывается членами комиссии, утверждается директором ООО «Центр лабораторной диагностики». Допускается оформление одного акта на несколько субъектов персональных данных.

Приложение 1

к Правилам оценки вреда

Оценка возможного вреда, который может быть причинен субъектам персональных данных

№ п/п_______________________Требования Федерального закона_______________________________________ Возможные нарушения безопасности________________________________________________ Уровень возможного

_______________________________"О персональных данных" №152-ФЗ,____________________________________информации и причиненный субъекту_________________________________________________вреда_____________________

_________________________________которые могут быть нарушены____________________________________________("+" или "-")__________________________________________________________________________________________________________________

1_____________________________Неправомерное предоставление, распространение________________Убытки и моральный вред______________________________________________________________________________________________

_______________________________и копирование персональных данных_____________________________________Целостность________________________________________________________________________________________________________________

________________________________________________________________________________________________________________________Доступность________________________________________________________________________________________________________________

________________________________________________________________________________________________________________________Конфиденциальность____________________________________________________________________________________________________

2_______________________________Неправомерное уничтожение и___________________________________________Убытки и моральный вред______________________________________________________________________________________________

________________________________блокирование персональных данных_____________________________________Целостность________________________________________________________________________________________________________________

3______________________________Неправомерное изменение_________________________________________________Убытки и моральный вред______________________________________________________________________________________________

________________________________персональных данных_________________________________________________________Целостность_________________________________________________________________________________________________________________

4_____________________________Нарушение права субъекта требовать___________________________________Убытки и моральный вред______________________________________________________________________________________________

_______________________________от оператора уточнения его__________________________________________________Целостность________________________________________________________________________________________________________________

_______________________________персональных данных, их блокирования__________________________________Доступность________________________________________________________________________________________________________________

_______________________________или уничтожения__________________________________________________________________Конфиденциальность_____________________________________________________________________________________________________

5_____________________________Нарушение права субъекта на получение_______________________________Убытки и моральный вред______________________________________________________________________________________________

_______________________________информации, касающейся обработки его________________________________Целостность________________________________________________________________________________________________________________

_______________________________персональных данных___________________________________________________________Доступность________________________________________________________________________________________________________________

6____________________________Обработка персональных данных, выходящая___________________________Убытки и моральный вред_____________________________________________________________________________________________

_______________________________за рамки установленных и законных целей______________________________Целостность________________________________________________________________________________________________________________

______________________________обработки, в объеме больше необходимого для_________________________Доступность_______________________________________________________________________________________________________________

______________________________достижения установленных и законных целей____________________________Конфиденциальность____________________________________________________________________________________________________

______________________________и дольше установленных сроков________________________________________________________________________________________________________________________________________________________________________________

7_____________________________Неправомерное получение персональных_______________________________Убытки и моральный вред______________________________________________________________________________________________

_______________________________данных от лица, не являющегося субъектом_____________________________Целостность________________________________________________________________________________________________________________

_________________________________________________________________________________________________________________________Конфиденциальность____________________________________________________________________________________________________

8____________________________Принятие решения, порождающего_________________________________________Убытки и моральный вред______________________________________________________________________________________________

______________________________юридические последствия в отношении субъекта______________________Целостность________________________________________________________________________________________________________________

______________________________персональных данных или иным образом_________________________________Доступность________________________________________________________________________________________________________________

______________________________затрагивающие его права и законные интересы_______________________Конфиденциальность____________________________________________________________________________________________________

______________________________на основании исключительно автоматизированной_____________________________________________________________________________________________________________________________________________________

______________________________обработки его персональных данных без__________________________________________________________________________________________________________________________________________________________________

______________________________согласия на то в письменной форме субъекта____________________________________________________________________________________________________________________________________________________________

______________________________персональных данных или непредусмотренное___________________________________________________________________________________________________________________________________________________________

______________________________федеральными законами_________________________________________________________________________________________________________________________________________________________________________________________