Постановление Местной администрации городского поселения Терек Терского муниципального района КБР от 20.06.2023 N 108 "Об оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных"



МЕСТНАЯ АДМИНИСТРАЦИЯ ГОРОДСКОГО ПОСЕЛЕНИЯ ТЕРЕК
ТЕРСКОГО МУНИЦИПАЛЬНОГО РАЙОНА
КАБАРДИНО-БАЛКАРСКОЙ РЕСПУБЛИКИ

ПОСТАНОВЛЕНИЕ
от 20 июня 2023 г. в„– 108

ОБ ОЦЕНКЕ ВРЕДА, КОТОРЫЙ МОЖЕТ БЫТЬ ПРИЧИНЕН
СУБЪЕКТАМ ПЕРСОНАЛЬНЫХ ДАННЫХ В СЛУЧАЕ НАРУШЕНИЯ
ФЕДЕРАЛЬНОГО ЗАКОНА "О ПЕРСОНАЛЬНЫХ ДАННЫХ"

В целях выполнения требований Федерального закона от 27 июля 2006 г. в„– 152-ФЗ "О персональных данных" и приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 27 октября 2022 г. в„– 178 "Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных" местная администрация городского поселения Терек постановляет:
1. Утвердить прилагаемые Правила оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных".
2. Утвердить комиссию по оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения местной администрацией городского поселения Терек Федерального закона "О персональных данных" (далее - Комиссия) в составе:

Председатель Комиссии:

Хапажев Тимур Урусбиевич
заместитель главы по правовому обеспечению и вопросам безопасности
Заместитель председателя Комиссии:
Машитлова Зара Шамиловна
начальник отдела делопроизводства и организационно-кадровой работы
Секретарь Комиссии:
Семенова Эльвира Альбияновна
главный специалист отдела делопроизводства и организационно-кадровой работы
Члены Комиссии:
Макоев Алим Борисович
юрисконсульт
Лукожев Виталий Анатольевич
главный специалист по имущественным отношениям

3. Контроль за исполнением настоящего постановления оставляю за собой.

Глава местной администрации
городского поселения Терек
О.ШОМАХОВ





Утверждены
постановлением
Местной администрации
городского поселения Терек
Терского муниципального района КБР
от 20 июня 2023 г. в„– 108

ПРАВИЛА
ОЦЕНКИ ВРЕДА, КОТОРЫЙ МОЖЕТ БЫТЬ ПРИЧИНЕН СУБЪЕКТАМ
ПЕРСОНАЛЬНЫХ ДАННЫХ В СЛУЧАЕ НАРУШЕНИЯ
ФЕДЕРАЛЬНОГО ЗАКОНА "О ПЕРСОНАЛЬНЫХ ДАННЫХ"

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящие Правила оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных" (далее - Правила), разработаны с учетом:
- Федерального закона от 27 июля 2006 г. в„– 152-ФЗ "О персональных данных";
- приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 27 октября 2022 г. в„– 178 "Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных".
1.2. Целью разработки настоящих Правил является установление общего порядка проведения оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения местной администрацией городского поселения Терек (далее - Администрация) Федерального закона "О персональных данных" (далее - оценка вреда).
1.3. В целях оценки вреда в Администрации создается комиссия по оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных" (далее - Комиссия). Численный и персональный состав Комиссии утверждается постановлением Администрации.
1.4. Настоящие Правила подлежат анализу и, при необходимости, пересмотру в случаях изменения законодательства Российской Федерации в отношении обработки персональных данных.

2. ПОРЯДОК ОЦЕНКИ ВРЕДА, КОТОРЫЙ МОЖЕТ БЫТЬ ПРИЧИНЕН
СУБЪЕКТАМ ПЕРСОНАЛЬНЫХ ДАННЫХ, И ДОКУМЕНТИРОВАНИЕ
РЕЗУЛЬТАТОВ

2.1. Оценка вреда осуществляется Комиссией в отношении всех категорий субъектов, персональные данные которых обрабатываются в Администрации.
2.2. Комиссией в отношении каждой категории субъекта персональных данных на основании приведенных ниже показателей присваивается одна из степеней вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных".
2.3. Высокая степень вреда устанавливается, если в отношении субъекта персональных данных применим хотя бы один из следующих показателей:
- Администрация обрабатывает сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются Администрацией для установления личности субъекта персональных данных. Исключением является обработка биометрических персональных данных в случаях, установленных федеральными законами, предусматривающими цели, порядок и условия обработки биометрических персональных данных;
- Администрация обрабатывает специальные категории персональных данных, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, сведений о судимости. Исключением является обработка специальных категорий персональных данных в случаях, установленных федеральными законами, предусматривающими цели, порядок и условия обработки специальных категорий персональных данных;
- Администрация обрабатывает персональные данные несовершеннолетних для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является несовершеннолетний, а также для заключения договора по инициативе несовершеннолетнего или договора, по которому несовершеннолетний будет являться выгодоприобретателем или поручителем в случаях, не предусмотренных законодательством Российской Федерации;
- Администрация осуществляет обезличивание персональных данных в том числе с целью проведения оценочных (скоринговых) исследований, оказания услуг по прогнозированию поведения потребителей товаров и услуг, а также иных исследований, не предусмотренных пунктом 9 части 1 статьи 6 Федерального закона от 27 июля 2006 г. в„– 152-ФЗ "О персональных данных";
- Администрация поручает осуществлять обработку персональных данных граждан Российской Федерации иностранному лицу (иностранным лицам);
- Администрация осуществляет сбор персональных данных с использованием баз данных, находящихся за пределами Российской Федерации.
2.4. Средняя степень вреда устанавливается, если в отношении субъекта персональных данных применим хотя бы один из нижеприведенных показателей и не применимы показатели, указанные в п. 2.3:
- Администрация распространяет персональные данные субъектов на официальном сайте в информационно-телекоммуникационной сети "Интернет", т.е. предоставляет персональные данные субъектов персональных данных неограниченному кругу лиц. Исключением является распространение персональных данных в случаях, установленных федеральными законами, предусматривающими цели, порядок и условия распространения персональных данных;
- Администрация осуществляет обработку персональных данных в дополнительных целях, отличных от первоначальной цели сбора персональных данных;
- Администрация осуществляет продвижение товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с использованием баз персональных данных, владельцем которых является иной оператор;
- Администрация получает согласие на обработку персональных данных посредством реализации на официальном сайте в информационно-телекоммуникационной сети "Интернет" функционала, не предполагающего дальнейшую идентификацию и (или) аутентификацию субъекта персональных данных;
- Администрация осуществляет деятельность по обработке персональных данных, предполагающую получение согласия на обработку персональных данных, содержащего положения о предоставлении права осуществлять обработку персональных данных определенному и (или) неопределенному кругу лиц в целях, несовместимых между собой.
2.5. Низкая степень вреда устанавливается, если в отношении субъекта персональных данных применим хотя бы один из нижеприведенных показателей и не применимы показатели, указанные в п. 2.3 и п. 2.4:
- Администрация осуществляет ведение общедоступных источников персональных данных, сформированных в соответствии со статьей 8 Федерального закона от 27 июля 2006 г. в„– 152-ФЗ "О персональных данных";
- в качестве ответственного за обработку персональных данных в Администрации назначено лицо, не являющееся штатным сотрудником Администрации.
2.6. В случае, если по итогам проведенной оценки вреда установлено, что в рамках деятельности по обработке персональных данных субъекту персональных данных могут быть причинены различные степени вреда, подлежит применению более высокая степень вреда.
2.7. В случае, если по итогам проведенной оценки вреда в отношении субъекта персональных данных не применим ни один показатель, указанный в п. 2.3 - 2.5, Комиссия делает вывод об отсутствии степени вреда, который может быть причинен субъектам персональных данных.
2.8. По итогам проведенной оценки Комиссия готовит Акт оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных". Документ в обязательном порядке должен содержать следующую информацию:
- наименование и адрес Администрации;
- дату издания акта оценки вреда;
- дату проведения оценки вреда;
- фамилию, имя, отчество (при наличии) и должности лиц, входящих в состав Комиссии, а также их подписи;
- степень вреда, который может быть причинена субъекту персональных данных, в соответствии с показателями, определяющими степень возможного вреда, указанными в п. 2.3 - 2.5 настоящих Правил.
2.9. Повторное проведение оценки вреда осуществляется Комиссией в следующих случаях:
- изменение в Администрации особенностей обработки персональных данных, влияющих на показатели, определяющие степень возможного вреда, указанные в п. 2.3 - 2.5 настоящих Правил;
- начало обработки в Администрации персональных данных новых категорий субъектов персональных данных.

3. ОТВЕТСТВЕННОСТЬ

3.1. Члены Комиссии несут персональную ответственность за ненадлежащее исполнение или неисполнение положений настоящих Правил.


------------------------------------------------------------------