МИНИСТЕРСТВО ЗДРАВООХРАНЕНИЯ РЕСПУБЛИКИ КАРЕЛИЯ

ПРИКАЗ

от 22 ноября 2022 года N 2072


О внесении изменений в приказ Министерства здравоохранения Республики Карелия от 8 сентября 2020 года N 1363

Приказываю:

Внести в приказ Министерства здравоохранения Республики Карелия от 8 сентября 2020 года N 1363 "Об утверждении документов, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных" следующие изменения:

1. Добавить пункт 1.6 следующего содержания:

"1.6. Методику оценки вреда, который может быть причинен субъектам персональных данных согласно приложению N 6 к настоящему приказу.".

2. Пункт 2 изложить в следующей редакции:

"2. Отделу ресурсного обеспечения, технического развития и информационной безопасности (М.Н. Игнатику) ознакомить государственных гражданских служащих и работников, обеспечивающих деятельность Министерства с настоящим приказом.".

3. Пункт 4 изложить в следующей редакции:

"4. Контроль за исполнением настоящего приказа возложить на заместителя Министра здравоохранения Республики Карелия И.А. Кижнермана.".

4. Дополнить приложением N 6 в редакции согласно приложению N 1 к настоящему приказу.

Министр
М.Е.ОХЛОПКОВ

Приложение N 1
к приказу
Министерства здравоохранения и
Республики Карелия
от 22 ноября 2022 N 2072

Приложение N 6
к приказу
Министерства здравоохранения
и Республики Карелия
от 08.09.2020 N 1363

МЕТОДИКА ОЦЕНКИ ВРЕДА, КОТОРЫЙ МОЖЕТ БЫТЬ ПРИЧИНЕН СУБЪЕКТАМ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Настоящая Методика определяет порядок оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон), и отражает соотношение указанного возможного вреда и принимаемых Министерством здравоохранения Республики Карелия (далее - Оператор) мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом. Возможный вред субъектам персональных данных оценивается в соответствии с настоящей методикой, на основании экспертных значений и осуществляется в рамках проведения Оператором внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.

2. Вред субъекту персональных данных возникает в результате неправомерного или случайного доступа к персональным данным, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

3. Перечисленные в пункте 2 настоящей Методики неправомерные действия определяются как следующие нарушения безопасности информации:

1) неправомерное предоставление, распространение и копирование персональных данных являются нарушением конфиденциальности персональных данных;

2) неправомерное уничтожение и блокирование персональных данных являются нарушением доступности персональных данных;

3) неправомерное изменение персональных данных является нарушением целостности персональных данных;

4) нарушение права субъекта персональных данных требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения является нарушением целостности информации;

5) нарушение права субъекта персональных данных на получение информации, касающейся обработки его персональных данных, является нарушением доступности персональных данных;

6) обработка персональных данных, выходящая за рамки установленных и законных целей обработки, в объеме больше необходимого для достижения установленных и законных целей и дольше установленных сроков является нарушением конфиденциальности персональных данных;

7) неправомерное получение персональных данных от лица, не являющегося субъектом персональных данных, является нарушением конфиденциальности персональных данных;

8) принятие решения, порождающего юридические последствия в отношении субъекта персональных данных или иным образом затрагивающего его права и законные интересы, на основании исключительно автоматизированной обработки его персональных данных без согласия на то в письменной форме субъекта персональных данных или не предусмотренное федеральными законами, является нарушением конфиденциальности персональных данных.

4. Субъекту персональных данных может быть причинен вред в форме:

1) убытков - расходов, которые лицо, чье право нарушено, понесло или должно будет понести для восстановления нарушенного права, утраты или повреждения его имущества (реальный ущерб), а также неполученных доходов, которые это лицо получило бы при обычных условиях гражданского оборота, если бы его право не было нарушено;

2) морального вреда - физических или нравственных страданий, причиняемых действиями, нарушающими личные неимущественные права гражданина либо посягающими на принадлежащие гражданину другие нематериальные блага, а также в других случаях, предусмотренных законом.

5. В оценке возможного вреда Оператор исходит из следующего способа учета последствий допущенного нарушения принципов обработки персональных данных:

1) низкий уровень возможного вреда - последствия нарушения принципов обработки персональных данных включают только нарушение целостности персональных данных либо только нарушение доступности персональных данных;

2) средний уровень возможного вреда - последствия нарушения принципов обработки персональных данных включают только нарушение целостности персональных данных, повлекшее убытки и моральный вред, либо только нарушение доступности персональных данных, повлекшее убытки и моральный вред, либо только нарушение конфиденциальности персональных данных;

3) высокий уровень возможного вреда - во всех остальных случаях.

6. Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона, и соотношение указанного возможного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом, приведены в таблице.

Оценка

вреда, который может быть причинен

субъектам персональных данных, и соотношение возможного

вреда и принимаемых Оператором мер