МИНИСТЕРСТВО ЗДРАВООХРАНЕНИЯ РЕСПУБЛИКИ КАРЕЛИЯ

ПРИКАЗ

от 8 сентября 2020 года N 1363


Об утверждении документов, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных"

(с изменениями на 22 ноября 2022 года)

(в ред. Приказов Минздрава Республики Карелия от 01.09.2022 N 1477, от 22.11.2022 N 2072)

Во исполнение требований Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных", в целях реализации постановления Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" приказываю:

1. Утвердить:

1.1. Правила работы с обезличенными персональными данными в Министерстве здравоохранения Республики Карелия согласно приложению N 1 к настоящему приказу;

1.2. Перечень должностей государственных гражданских служащих Министерства здравоохранения Республики Карелия, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, согласно приложению N 2 к настоящему приказу;

1.3. Правила рассмотрения запросов субъектов персональных данных или их законных представителей в Министерстве здравоохранения Республики Карелия согласно приложению N 3 к настоящему приказу;

1.4. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Министерстве здравоохранения Республики Карелия согласно приложению N 4 к настоящему приказу;

1.5. Порядок доступа работников Министерства здравоохранения Республики Карелия в помещения, в которых ведется обработка персональных данных, согласно приложению N 5 к настоящему приказу.

1.6. Методику оценки вреда, который может быть причинен субъектам персональных данных согласно приложению N 6 к настоящему приказу.

(п. 1.6 введен Приказом Минздрава Республики Карелия от 22.11.2022 N 2072)

2. Отделу ресурсного обеспечения, технического развития и информационной безопасности (М.Н. Игнатику) ознакомить государственных гражданских служащих и работников, обеспечивающих деятельность Министерства с настоящим приказом.

(п. 2 в ред. Приказа Минздрава Республики Карелия от 22.11.2022 N 2072)

3. Признать утратившим силу приказ Министерства здравоохранения Республики Карелия N 2309 от 28 декабря 2016 года "Об утверждении документов, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных".

4. Контроль за исполнением настоящего приказа возложить на заместителя Министра здравоохранения Республики Карелия И.А. Кижнермана.

(п. 4 в ред. Приказа Минздрава Республики Карелия от 22.11.2022 N 2072)

И.о. Министра здравоохранения
Республики Карелия
О.В.РУОТЦЕЛАЙНЕН

Приложение N 1
к приказу
Министерства здравоохранения
Республики Карелия
от 8 сентября 2020 года N 1363

ПРАВИЛА РАБОТЫ С ОБЕЗЛИЧЕННЫМИ ПЕРСОНАЛЬНЫМИ ДАННЫМИ В МИНИСТЕРСТВЕ ЗДРАВООХРАНЕНИЯ РЕСПУБЛИКИ КАРЕЛИЯ

1. Настоящие правила работы с обезличенными персональными данными в Министерстве здравоохранения Республики Карелия (далее - Правила) разработаны в соответствии с Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных", приказом Роскомнадзора от 5 сентября 2013 года N 996 "Об утверждении требований и методов по обезличиванию персональных данных" и определяют порядок работы с обезличенными персональными данными в Министерстве здравоохранения Республики Карелия (далее - Министерство).

2. В Министерстве могут применяться следующие методы обезличивания персональных данных:

- метод введения идентификаторов;

- метод изменения состава или семантики;

- метод декомпозиции;

- метод перемешивания.

2.1. Метод введения идентификаторов реализуется путем замены части персональных данных, позволяющих идентифицировать субъекта, их идентификаторами с созданием таблицы соответствия идентификаторов исходным данным.

Метод обеспечивает следующие свойства обезличенных данных:

- полнота;

- структурированность;

- семантическая целостность;

- применимость.

Оценка свойств метода:

- обратимость: метод позволяет провести процедуру деобезличивания;

- вариативность: метод позволяет перейти от одной таблицы соответствия к другой без проведения процедуры деобезличивания;

- изменяемость: метод не позволяет вносить изменения в массив обезличенных данных без предварительного деобезличивания;

- стойкость: метод не устойчив к атакам, подразумевающим наличие у лица, осуществляющего несанкционированный доступ, частичного или полного доступа к справочнику идентификаторов, стойкость метода не повышается с увеличением объема обезличиваемых персональных данных;

- возможность косвенного деобезличивания: метод не исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов;

- совместимость: метод позволяет интегрировать записи, соответствующие отдельным атрибутам;

- параметрический объем: объем таблицы (таблиц) соответствия определяется числом записей о субъектах персональных данных, подлежащих обезличиванию;

- возможность оценки качества данных: метод позволяет проводить анализ качества обезличенных данных.

Для реализации метода требуется установить атрибуты персональных данных, записи которых подлежат замене идентификаторами, разработать систему идентификации, обеспечить ведение и хранение таблиц соответствия.

2.2. Метод изменения состава или семантики реализуется путем обобщения, изменения или удаления части сведений, позволяющих идентифицировать субъекта.

Метод обеспечивает следующие свойства обезличенных данных:

- структурированность;

- релевантность;

- применимость;

- анонимность.

Оценка свойств метода:

- обратимость: метод не позволяет провести процедуру деобезличивания в полном объеме и применяется при статистической обработке персональных данных;

- вариативность: метод не позволяет изменять параметры метода без проведения предварительного деобезличивания;

- изменяемость: метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания;

- стойкость: стойкость метода к атакам на идентификацию определяется набором правил реализации, стойкость метода не повышается с увеличением объема обезличиваемых персональных данных;

- возможность косвенного деобезличивания: метод исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов;

- совместимость: метод не обеспечивает интеграции с данными, обезличенными другими методами;

- параметрический объем: параметры метода определяются набором правил изменения состава или семантики персональных данных;

- возможность оценки качества данных: метод не позволяет проводить анализ, использующий конкретные значения персональных данных.

Для реализации метода требуется выделить атрибуты персональных данных, записи которых подвергаются изменению, определить набор правил внесения изменений и иметь возможность независимого внесения изменений для данных каждого субъекта.

При этом возможны использование статистической обработки отдельных записей данных и замена конкретных значений записей результатами статистической обработки (например - средние значения).

2.3. Метод декомпозиции реализуется путем разбиения множества записей персональных данных на несколько подмножеств и создание таблиц, устанавливающих связи между подмножествами, с последующим раздельным хранением записей, соответствующих этим подмножествам.

Метод обеспечивает следующие свойства обезличенных данных:

- полнота;

- структурированность;

- релевантность;

- семантическая целостность;

- применимость.

Оценка свойств метода:

- обратимость: метод позволяет провести процедуру деобезличивания;

- вариативность: метод позволяет изменить параметры декомпозиции без предварительного деобезличивания;

- изменяемость: метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания;

- стойкость: метод не устойчив к атакам, подразумевающим наличие у злоумышленника информации о множестве субъектов или доступа к нескольким частям раздельно хранимых сведений;

- возможность косвенного деобезличивания: метод не исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов;

- совместимость: метод обеспечивает интеграцию с данными, обезличенными другими методами;

- параметрический объем: определяется числом подмножеств и числом субъектов персональных данных, массив которых обезличивается, а также правилами разделения персональных данных на части и объемом таблиц связывания записей, находящихся в различных хранилищах;

- возможность оценки качества данных: метод позволяет проводить анализ качества обезличенных данных.

Для реализации метода требуется предварительно разработать правила декомпозиции, правила установления соответствия между записями в различных хранилищах, правила внесения изменений и дополнений в записи и хранилища.

2.4. Метод перемешивания реализуется путем перестановки отдельных записей, а также групп записей между собой.

Метод обеспечивает следующие свойства обезличенных данных:

- полнота;

- структурированность;

- релевантность;

- семантическая целостность;

- применимость;

- анонимность.

Оценка свойств метода:

- обратимость: метод позволяет провести процедуру деобезличивания;

- вариативность: метод позволяет изменять параметры перемешивания без проведения процедуры деобезличивания;

- изменяемость: метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания;

- стойкость: длина перестановки и их совокупности определяет стойкость метода к атакам на идентификацию;

- возможность косвенного деобезличивания: метод исключает возможность проведения деобезличивания с использованием персональных данных, имеющихся у других операторов;

- совместимость: метод позволяет проводить интеграцию с данными, обезличенными другими методами;

- параметрический объем: зависит от заданных методов и правил перемешивания и требуемой стойкости к атакам на идентификацию;

- возможность оценки качества данных: метод позволяет проводить анализ качества обезличенных данных.

Для реализации метода требуется разработать правила перемешивания и их алгоритмы, правила и алгоритмы деобезличивания и внесения изменений в записи.

Метод может использоваться совместно с методами введения идентификаторов и декомпозиции.

3. Обезличенные персональные данные могут обрабатываться с использованием средств автоматизации и без использования таковых.

4. При обработке обезличенных персональных данных с использованием средств автоматизации необходимо соблюдение:

- парольной политики;

- антивирусной политики;

- правил резервного копирования;

- правил доступа в помещения, где расположены элементы информационных систем.

5. При обработке обезличенных персональных данных без использования средств автоматизации необходимо соблюдение:

- правил хранения бумажных носителей;

- правил доступа к бумажным носителям и в помещения, где они хранятся.

Приложение N 2
к приказу
Министерства здравоохранения
Республики Карелия
от 8 сентября 2020 года N 1363

ПЕРЕЧЕНЬ ДОЛЖНОСТЕЙ ГОСУДАРСТВЕННЫХ ГРАЖДАНСКИХ СЛУЖАЩИХ МИНИСТЕРСТВА ЗДРАВООХРАНЕНИЯ РЕСПУБЛИКИ КАРЕЛИЯ, ОТВЕТСТВЕННЫХ ЗА ПРОВЕДЕНИЕ МЕРОПРИЯТИЙ ПО ОБЕЗЛИЧИВАНИЮ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Министр здравоохранения Республики Карелия;

2. Первый заместитель Министра здравоохранения Республики Карелия;

3. Заместители Министра здравоохранения Республики Карелия;

4. Начальник управления правового, кадрового обеспечения и организации работы;

5. Начальник управления организации медицинский помощи и лекарственного обеспечения;

6. Начальник финансово-экономического управления;

7. Начальник правовой и организационной работы;

8. Начальник отдела государственной службы и кадров;

9. Начальник отдела лицензирования, государственного и ведомственного контроля;

10. Начальник отдела ресурсного обеспечения, технического развития и информационной безопасности;

11. Заместитель начальника отдела ресурсного обеспечения, технического развития и информационной безопасности;

12. Начальник отдела организации медицинской помощи и лекарственного обеспечения;

13. Начальник отдела реализации территориальной программы государственных гарантий бесплатной медицинской помощи.

Приложение N 3
к приказу
Министерства здравоохранения
Республики Карелия
от 8 сентября 2020 года N 1363

ПРАВИЛА РАССМОТРЕНИЯ ЗАПРОСОВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ ИЛИ ИХ ЗАКОННЫХ ПРЕДСТАВИТЕЛЕЙ В МИНИСТЕРСТВЕ ЗДРАВООХРАНЕНИЯ РЕСПУБЛИКИ КАРЕЛИЯ

(в ред. Приказа Минздрава Республики Карелия от 01.09.2022 N 1477)

1. Рассмотрение запросов субъектов персональных данных или их законных представителей в Министерстве здравоохранения Республики Карелия (далее - Министерство, оператор) осуществляется в соответствии с требованиями статьи 14 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных").

2. Субъект персональных данных (далее - Субъект ПДн) или его законный представитель имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных Субъекта ПДн Министерством;

2) правовые основания и цели обработки персональных данных Субъекта ПДн;

3) цели и применяемые оператором способы обработки персональных данных Субъекта ПДн;

4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным Субъекта ПДн или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

5) обрабатываемые персональные данные, относящиеся к соответствующему Субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) сроки обработки персональных данных Субъекта ПДн, в том числе сроки их хранения;

7) порядок осуществления Субъектом ПДн прав, предусмотренных законодательством Российской Федерации;

8) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных Субъекта ПДн по поручению оператора, если обработка поручена или будет поручена такому лицу;

9) информацию о способах исполнения Министерством обязанностей, установленных ст. 18.1 Федерального закона "О персональных данных";

10) иные сведения, предусмотренные законодательством Российской Федерации.

3. Право Субъекта ПДн на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если доступ Субъекта ПДн к его персональным данным нарушает права и законные интересы третьих лиц.

4. Сведения предоставляются Субъекту ПДн или его представителю Министерством в течение десяти рабочих дней с момента обращения либо получения Министерством запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. Запрос должен содержать номер основного документа, удостоверяющего личность Субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие Субъекта ПДн в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным способом подтверждающие факт обработки персональных данных оператором, подпись Субъекта ПДн или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. Министерство предоставляет сведения Субъекту Пдн или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.

5. В случае если сведения, а также обрабатываемые персональные данные были предоставлены для ознакомления Субъекту ПДн по его запросу, Субъект ПДн вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является Субъект ПДн.

6. Субъект ПДн вправе обратиться повторно к оператору или направить ему повторный вопрос в целях получения сведений, а также в целях ознакомления с обрабатываемыми персональными данными до истечения тридцатидневного срока в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос должен содержать обоснование направления повторного запроса.

7. Министерство вправе отказать Субъекту ПДн в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 5 и 6 настоящих Правил. Такой отказ должен быть мотивирован.

8. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем Субъекте ПДн или персональных данных Субъекту ПДн или его представителю при их обращении либо при получении запроса Субъекта Пдн или его представителя Министерство обязано дать в письменной форме мотивированный ответ, содержащий ссылку на положение ч. 8 ст. 14 Федерального закона "О персональных данных" или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий десяти рабочих дней со дня обращения Субъекта Пдн или его представителя либо с даты получения запроса Субъекта Пдн или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Министерством в адрес Субъекта Пдн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

9. Министерство обязано предоставить безвозмездно Субъекту Пдн или его представителю возможность ознакомления с персональными данными, относящимися к этому Субъекту Пдн. В срок, не превышающий семи рабочих дней со дня предоставления Субъектом Пдн или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Министерство обязано внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления Субъектом Пдн или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Министерство обязано уничтожить такие персональные данные. Министерство обязано уведомить Субъекта Пдн или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

Приложение N 4
к приказу
Министерства здравоохранения
Республики Карелия
от 8 сентября 2020 года N 1363

ПРАВИЛА ОСУЩЕСТВЛЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ СООТВЕТСТВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В МИНИСТЕРСТВЕ ЗДРАВООХРАНЕНИЯ РЕСПУБЛИКИ КАРЕЛИЯ

1. В целях осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Министерстве здравоохранения Республики Карелия (далее - Министерство) проводятся периодические проверки условий обработки персональных данных.

2. Проверки обработки персональных данных проводятся комиссией по проведению проверки условий обработки персональных данных (далее - Комиссия), состав которой утверждается приказом Министерства.

3. Проверки условий обработки персональных данных проводятся на основании утвержденного Министром здравоохранения Республики Карелия ежегодного плана мероприятий по организации защиты информации в Министерстве здравоохранения Республики Карелия (плановая проверка) или на основании поступившей в Министерство информации о нарушениях правил обработки персональных данных (внеплановые проверки).

Проведение внеплановой проверки организуется в течение трех рабочих дней со дня поступления информации о нарушениях правил обработки персональных данных.

4. В проведении проверки условий обработки персональных данных не могут участвовать государственные гражданские служащие Министерства, прямо или косвенно заинтересованные в ее результатах.

5. Проверки условий обработки персональных данных осуществляются непосредственно на месте обработки персональных данных путем опроса либо, при необходимости, путем осмотра служебных мест государственных гражданских служащих Министерства, участвующих в процессе обработки персональных данных.

6. При проведении проверки условий обработки персональных данных должны быть полностью, объективно и всесторонне установлены:

- порядок и условия применения организационных и технических мер, необходимых для выполнения требований по защите персональных данных;

- порядок и условия применения средств защиты информации;

- эффективность принимаемых мер по обеспечению безопасности персональных данных до их ввода в информационные системы персональных данных;

- состояние учета носителей персональных данных;

- соблюдение правил доступа к персональным данным;

- соблюдение порядка доступа в помещения, в которых ведется обработка персональных данных;

- наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;

- мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

7. Комиссия имеет право:

- запрашивать у государственных гражданских служащих Министерства информацию, необходимую для реализации полномочий Комиссии;

- требовать от государственных гражданских служащих Министерства, осуществляющих обработку персональных данных, уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;

- вносить Министру здравоохранения Республики Карелия предложения о:

- совершенствовании правового, технического и организационного обеспечения безопасности персональных данных при их обработке;

- приостановлении или прекращении обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;

- привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации о персональных данных.

8. Члены Комиссии должны обеспечивать конфиденциальность ставших им известными в ходе проведения мероприятий внутреннего контроля персональных данных.

9. Проверка условий обработки персональных данных должна быть завершена не позднее чем через 30 календарных дней со дня принятия решения о ее проведении.

10. По результатам проведенной проверки условий обработки персональных данных председателем Комиссии представляется Министру здравоохранения Республики Карелия письменное заключение с указанием мер, необходимых для устранения выявленных нарушений.

Приложение N 5
к приказу
Министерства здравоохранения
Республики Карелия
от 8 сентября 2020 года N 1363

ПОРЯДОК ДОСТУПА РАБОТНИКОВ МИНИСТЕРСТВА ЗДРАВООХРАНЕНИЯ РЕСПУБЛИКИ КАРЕЛИЯ В ПОМЕЩЕНИЯ, В КОТОРЫХ ВЕДЕТСЯ ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Настоящий Порядок доступа работников Министерства здравоохранения Республики Карелия в помещения, в которых ведется обработка персональных данных (далее - Порядок), устанавливает единые требования к доступу работников Министерства здравоохранения Республики Карелия (далее - Министерство) в служебные помещения, в которых ведется обработка персональных данных в целях предотвращения нарушения прав субъектов персональных данных, обрабатываемых в Министерстве, и обеспечения соблюдения требований законодательства Российской Федерации о персональных данных.

2. Настоящий Порядок обязателен для применения и исполнения всеми работниками Министерства.

3. В помещениях, в которых ведется обработка персональных данных, имеют право самостоятельно находиться только работники Министерства, включенные в "Перечень лиц, допущенных к самостоятельному нахождению в защищаемом помещении Министерства здравоохранения Республики Карелия", утвержденный Министром здравоохранения Республики Карелия (далее - Перечень).

4. Нахождение в помещениях, в которых ведется обработка персональных данных, лиц, не включенных в Перечень, возможно только в присутствии лиц, включенных в Перечень, и на время, ограниченное необходимостью решения вопросов, связанных с предоставлением персональных данных, предоставлением государственных услуг, осуществлением государственных функций.

5. В целях обеспечения соблюдения требований к ограничению доступа в служебные помещения, в которых ведется обработка персональных данных Министерства, обеспечиваются:

- использование служебных помещений строго по назначению;

- наличие на входах в служебные помещения дверей, оборудованных запорными устройствами;

- содержание дверей служебных помещений в нерабочее время в закрытом на запорное устройство состоянии;

- остекление окон в здании Министерства, содержание их в нерабочее время в закрытом состоянии.

6. Для служебных помещений, в которых обрабатываются персональные данные, организуется режим обеспечения безопасности, при котором обеспечивается сохранность носителей персональных данных и средств защиты информации, а также исключается возможность неконтролируемого проникновения и пребывания в этих помещениях посторонних лиц.

При хранении материальных носителей персональных данных должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним.

7. Ответственность за соблюдение порядка доступа в служебные помещения, в которых ведется обработка персональных данных, возлагается на начальников структурных подразделений, осуществляющих обработку персональных данных.

Приложение N 6
к приказу
Министерства здравоохранения
и Республики Карелия
от 08.09.2020 N 1363

МЕТОДИКА ОЦЕНКИ ВРЕДА, КОТОРЫЙ МОЖЕТ БЫТЬ ПРИЧИНЕН СУБЪЕКТАМ ПЕРСОНАЛЬНЫХ ДАННЫХ

(в ред. Приказа Минздрава Республики Карелия от 22.11.2022 N 2072)

1. Настоящая Методика определяет порядок оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон), и отражает соотношение указанного возможного вреда и принимаемых Министерством здравоохранения Республики Карелия (далее - Оператор) мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом. Возможный вред субъектам персональных данных оценивается в соответствии с настоящей методикой, на основании экспертных значений и осуществляется в рамках проведения Оператором внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.

2. Вред субъекту персональных данных возникает в результате неправомерного или случайного доступа к персональным данным, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

3. Перечисленные в пункте 2 настоящей Методики неправомерные действия определяются как следующие нарушения безопасности информации:

1) неправомерное предоставление, распространение и копирование персональных данных являются нарушением конфиденциальности персональных данных;

2) неправомерное уничтожение и блокирование персональных данных являются нарушением доступности персональных данных;

3) неправомерное изменение персональных данных является нарушением целостности персональных данных;

4) нарушение права субъекта персональных данных требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения является нарушением целостности информации;

5) нарушение права субъекта персональных данных на получение информации, касающейся обработки его персональных данных, является нарушением доступности персональных данных;

6) обработка персональных данных, выходящая за рамки установленных и законных целей обработки, в объеме больше необходимого для достижения установленных и законных целей и дольше установленных сроков является нарушением конфиденциальности персональных данных;

7) неправомерное получение персональных данных от лица, не являющегося субъектом персональных данных, является нарушением конфиденциальности персональных данных;

8) принятие решения, порождающего юридические последствия в отношении субъекта персональных данных или иным образом затрагивающего его права и законные интересы, на основании исключительно автоматизированной обработки его персональных данных без согласия на то в письменной форме субъекта персональных данных или не предусмотренное федеральными законами, является нарушением конфиденциальности персональных данных.

4. Субъекту персональных данных может быть причинен вред в форме:

1) убытков - расходов, которые лицо, чье право нарушено, понесло или должно будет понести для восстановления нарушенного права, утраты или повреждения его имущества (реальный ущерб), а также неполученных доходов, которые это лицо получило бы при обычных условиях гражданского оборота, если бы его право не было нарушено;

2) морального вреда - физических или нравственных страданий, причиняемых действиями, нарушающими личные неимущественные права гражданина либо посягающими на принадлежащие гражданину другие нематериальные блага, а также в других случаях, предусмотренных законом.

5. В оценке возможного вреда Оператор исходит из следующего способа учета последствий допущенного нарушения принципов обработки персональных данных:

1) низкий уровень возможного вреда - последствия нарушения принципов обработки персональных данных включают только нарушение целостности персональных данных либо только нарушение доступности персональных данных;

2) средний уровень возможного вреда - последствия нарушения принципов обработки персональных данных включают только нарушение целостности персональных данных, повлекшее убытки и моральный вред, либо только нарушение доступности персональных данных, повлекшее убытки и моральный вред, либо только нарушение конфиденциальности персональных данных;

3) высокий уровень возможного вреда - во всех остальных случаях.

6. Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона, и соотношение указанного возможного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом, приведены в таблице.

Оценка

вреда, который может быть причинен

субъектам персональных данных, и соотношение возможного

вреда и принимаемых Оператором мер