Similar presentations:
Изменения в законодательство Российской Федерации, регламентирующее обработку персональных данных
1.
Изменения в законодательствоРоссийской Федерации,
регламентирующее обработку
персональных данных
Докладчик: Редько Александр Петрович
2.
Цель занятияРассмотреть и обсудить изменения в
законодательство Российской Федерации,
регламентирующее обработку персональных
данных, и внесение изменений в локальные
документы
органов
администрации
и
подведомственных учреждений по обработке
персональных данных.
3.
Вопросы рассматриваемые на семинаре1. Документы, регламентирующие обработку персональных данных.
2. Последние изменения в Федеральный закон от 27.07.2006 № 152
«О персональных данных» и в постановление администрации
муниципального образования город Краснодар от 25.09.2020
№ 4144 «Об обработке и защите персональных данных,
обрабатываемых в администрации муниципального образования
город Краснодар».
3.Приказ Министерства цифрового развития, связи и массовых
коммуникаций Российской Федерации от 27.10.2022 № 178 «Об
утверждении требований к оценке вреда, который может быть
причинён субъектам персональных данных в случае нарушения
Федерального закона «О персональных данных».
4.
1. Документы,регламентирующие обработку
персональных данных.
5.
6.
Федеральный закон РФ от 27.07.2008 №152-ФЗ «О персональных данных»Статья 1. Сфера действия настоящего Федерального закона
1. Настоящим Федеральным законом регулируются отношения, связанные с
обработкой персональных данных, осуществляемой федеральными органами
государственной власти, органами государственной власти субъектов Российской
Федерации, иными государственными органами (далее - государственные органы),
органами местного самоуправления, иными муниципальными органами (далее муниципальные органы), юридическими лицами и физическими лицами с
использованием средств автоматизации, в том числе в информационнотелекоммуникационных сетях, или без использования таких средств, если
обработка персональных данных без использования таких средств соответствует
характеру действий (операций), совершаемых с персональными данными с
использованием средств автоматизации, то есть позволяет осуществлять в
соответствии с заданным алгоритмом поиск персональных данных,
зафиксированных на материальном носителе и содержащихся в картотеках или
иных систематизированных собраниях персональных данных, и (или) доступ к
таким персональным данным.
7.
Цель настоящего Федерального закона:Целью настоящего Федерального закона является
обеспечение защиты прав и свобод человека и
гражданина при обработке его персональных данных, в
том числе защиты прав на неприкосновенность частной
жизни, личную и семейную тайну.
8.
Обязанности оператораСтатья 18.1. Меры, направленные на обеспечение выполнения оператором
обязанностей, предусмотренных настоящим Федеральным законом
Оператор обязан принимать меры, необходимые и достаточные для
обеспечения выполнения обязанностей, предусмотренных настоящим
Федеральным законом и принятыми в соответствии с ним
нормативными правовыми актами. Оператор самостоятельно
определяет состав и перечень мер, необходимых и достаточных для
обеспечения выполнения обязанностей, предусмотренных настоящим
Федеральным законом и принятыми в соответствии с ним
нормативными правовыми актами, если иное не предусмотрено
настоящим Федеральным законом или другими федеральными
законами. К таким мерам могут, в частности, относиться:
9.
Меры, направленные на обеспечение выполнения операторомобязанностей
1) назначение оператором, являющимся юридическим лицом, ответственного за
организацию обработки персональных данных;
2) издание оператором, являющимся юридическим лицом, документов, определяющих
политику оператора в отношении обработки персональных данных, локальных актов по
вопросам обработки персональных данных, а также локальных актов,
устанавливающих процедуры, направленные на предотвращение и выявление
нарушений законодательства Российской Федерации, устранение последствий таких
нарушений;
3) применение правовых, организационных и технических мер по обеспечению
безопасности персональных данных в соответствии со статьей 19 настоящего
Федерального закона;
4) осуществление внутреннего контроля и (или) аудита соответствия обработки
персональных данных настоящему Федеральному закону и принятым в соответствии с
ним нормативным правовым актам, требованиям к защите персональных данных,
политике оператора в отношении обработки персональных данных, локальным актам
оператора;
10.
Меры, направленные на обеспечение выполнения операторомобязанностей
5) оценка вреда, который может быть причинен субъектам персональных данных в
случае нарушения настоящего Федерального закона, соотношение указанного вреда и
принимаемых оператором мер, направленных на обеспечение выполнения
обязанностей, предусмотренных настоящим Федеральным законом;
6) ознакомление работников оператора, непосредственно осуществляющих обработку
персональных данных, с положениями законодательства Российской Федерации о
персональных данных, в том числе требованиями к защите персональных данных,
документами, определяющими политику оператора в отношении обработки
персональных данных, локальными актами по вопросам обработки персональных
данных, и (или) обучение указанных работников.
11.
Статья 19. Меры по обеспечению безопасности персональных данныхпри их обработке
Оператор при обработке персональных данных обязан принимать необходимые
правовые, организационные и технические меры или обеспечивать их принятие для
защиты персональных данных от неправомерного или случайного доступа к ним,
уничтожения,
изменения,
блокирования,
копирования,
предоставления,
распространения персональных данных, а также от иных неправомерных действий в
отношении персональных данных.
Обеспечение безопасности персональных данных достигается:
1) определением угроз безопасности персональных
информационных системах персональных данных;
данных
при
их
обработке
в
2) применением организационных и технических мер по обеспечению безопасности
персональных данных при их обработке в информационных системах персональных данных,
необходимых для выполнения требований к защите персональных данных, исполнение
которых обеспечивает установленные Правительством Российской Федерации уровни
защищенности персональных данных;
12.
Обеспечение безопасности персональных данных достигается:3) применением прошедших в установленном порядке процедуру оценки соответствия
средств защиты информации;
4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных
данных до ввода в эксплуатацию информационной системы персональных данных;
5) учетом машинных носителей персональных данных;
6) обнаружением фактов несанкционированного доступа к персональным данным и
принятием мер;
7) восстановлением персональных данных, модифицированных
вследствие несанкционированного доступа к ним;
или
уничтоженных
8) установлением правил доступа к персональным данным, обрабатываемым в
информационной системе персональных данных, а также обеспечением регистрации и учета
всех действий, совершаемых с персональными данными в информационной системе
персональных данных;
9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных
и уровня защищенности информационных систем персональных данных.
13.
Постановление Правительства РоссийскойФедерации от 21 марта 2012 г. N211 «Об
утверждении перечня мер, направленных на
обеспечение выполнения обязанностей,
предусмотренных Федеральным законом "О
персональных данных»
ПЕРЕЧЕНЬ МЕР, НАПРАВЛЕННЫХ НА ОБЕСПЕЧЕНИЕ
ВЫПОЛНЕНИЯ
ОБЯЗАННОСТЕЙ,
ПРЕДУСМОТРЕННЫХ
ФЕДЕРАЛЬНЫМ ЗАКОНОМ "О ПЕРСОНАЛЬНЫХ ДАННЫХ" И
ПРИНЯТЫМИ В СООТВЕТСТВИИ С НИМ НОРМАТИВНЫМИ
ПРАВОВЫМИ АКТАМИ, ОПЕРАТОРАМИ, ЯВЛЯЮЩИМИСЯ
ГОСУДАРСТВЕННЫМИ ИЛИ МУНИЦИПАЛЬНЫМИ ОРГАНАМИ
14.
Постановление Правительства РФ от 15.09.2008№ 687 «Об утверждения положения об
особенностях обработки персональных данных,
осуществляемой без использования средств
автоматизации»
Меры по обеспечению
Особенности
организации обработки безопасности
персональных
данных
персональных данных
при
их
обработке,
без
использования
осуществляемой
без
средств автоматизации.
использования средств
автоматизации.
15.
ПРИКАЗ ФЕДЕРАЛЬНОЙ СЛУЖБЫ ПО НАДЗОРУ В СФЕРЕ СВЯЗИ,ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И МАССОВЫХ КОММУНИКАЦИЙ
от 27 октября 2022 г. N 178
ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ
К ОЦЕНКЕ ВРЕДА, КОТОРЫЙ МОЖЕТ БЫТЬ ПРИЧИНЕН СУБЪЕКТАМ
ПЕРСОНАЛЬНЫХ ДАННЫХ В СЛУЧАЕ НАРУШЕНИЯ ФЕДЕРАЛЬНОГО
ЗАКОНА "О ПЕРСОНАЛЬНЫХ ДАННЫХ"
Утверждены требования к оценке вреда, который
может быть причинен субъектам персональных
данных в случае нарушения Федерального
закона "О персональных данных"
.
16.
Постановление Правительства РФ от 01.11.2012 № 1119 «Обутверждении требований к защите персональных данных при их
обработке в информационных системах персональных данных»
Настоящий документ устанавливает требования к защите персональных данных при
их обработке в информационных системах персональных данных (далее информационные системы) и уровни защищенности таких данных.
Безопасность персональных данных при их обработке в информационной системе
обеспечивается
с
помощью системы
защиты персональных
данных,
нейтрализующей актуальные угрозы, определенные в соответствии с частью 5
статьи 19 Федерального закона "О персональных данных".
Система защиты персональных данных включает в себя организационные и (или)
технические меры, определенные с учетом актуальных угроз безопасности
персональных данных и информационных технологий, используемых в
информационных системах.
17.
Выбор средств защиты информации для системы защитыперсональных данных
Выбор средств защиты информации для системы защиты персональных данных
осуществляется оператором в соответствии с нормативными правовыми актами,
принятыми Федеральной службой безопасности Российской Федерации и
Федеральной службой по техническому и экспортному контролю во исполнение
части 4 статьи 19 Федерального закона "О персональных данных".
Безопасность персональных данных при их обработке в информационной системе
обеспечивает оператор этой системы, который обрабатывает персональные данные
(далее - оператор), или лицо, осуществляющее обработку персональных данных по
поручению оператора на основании заключаемого с этим лицом договора (далее уполномоченное лицо). Договор между оператором и уполномоченным лицом
должен предусматривать обязанность уполномоченного лица обеспечить
безопасность персональных данных при их обработке в информационной системе.
18.
Информационные системы персональных данныхИнформационная система,
персональных данных;
обрабатывающая
специальные
категории
Информационная система, обрабатывающая биометрические персональные
данные;
Информационная система, обрабатывающая общедоступные персональные
данные;
Информационная система,
сотрудников оператора;
обрабатывающая
персональные
данные
Информационная система, обрабатывающая персональные данные
субъектов персональных данных, не являющихся сотрудниками оператора;
Информационная система, обрабатывающая иные категории персональных
данных, если в ней не обрабатываются персональные данные, указанные в
абзацах первом - третьем.
19.
Угрозы безопасности персональных данныхПод актуальными угрозами безопасности персональных данных понимается совокупность условий
и факторов, создающих актуальную опасность несанкционированного, в том числе случайного,
доступа к персональным данным при их обработке в информационной системе, результатом
которого могут стать уничтожение, изменение, блокирование, копирование, предоставление,
распространение персональных данных, а также иные неправомерные действия.
Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны
угрозы, связанные с наличием недокументированных (недекларированных) возможностей в
системном программном обеспечении, используемом в информационной системе.
Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны
угрозы, связанные с наличием недокументированных (недекларированных) возможностей в
прикладном программном обеспечении, используемом в информационной системе.
Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не
связанные с наличием недокументированных (недекларированных) возможностей в системном и
прикладном программном обеспечении, используемом в информационной системе.
20.
Уровни защищенности персональных данных.При обработке персональных данных в информационных системах
устанавливаются 4 уровня защищенности персональных данных: 1-й
уровень защищенности персональных данных, 2-й уровень
защищенности персональных данных, 3-й уровень защищенности
персональных данных, 4-й уровень защищенности персональных
данных
Необходимость обеспечения определённого уровня защищенности
персональных данных при их обработке в информационной системе
устанавливается при наличии хотя бы одного из определённых
Постановлением условий.
21.
Требования для обеспечения защищенности персональныхданных при их обработке в информационных системах
Для обеспечения 4-го уровня защищенности персональных данных при их обработке в
информационных системах необходимо выполнение следующих требований:
а) организация режима обеспечения безопасности помещений, в которых размещена
информационная система, препятствующего возможности неконтролируемого проникновения
или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
б) обеспечение сохранности носителей персональных данных;
в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ
которых к персональным данным, обрабатываемым в информационной системе, необходим для
выполнения ими служебных (трудовых) обязанностей;
г) использование средств защиты информации, прошедших процедуру оценки соответствия
требованиям законодательства Российской Федерации в области обеспечения безопасности
информации, в случае, когда применение таких средств необходимо для нейтрализации
актуальных угроз.
22.
Требования для обеспечения защищенности персональныхданных при их обработке в информационных системах
Для обеспечения 3-го уровня защищенности персональных данных при их обработке в информационных
системах помимо выполнения требований, предусмотренных для 4-го уровня, необходимо, чтобы было
назначено должностное лицо (работник), ответственный за обеспечение безопасности персональных
данных в информационной системе.
Для обеспечения 2-го уровня защищенности персональных данных при их обработке в информационных
системах помимо выполнения требований, предусмотренных для 3-го уровня, необходимо, чтобы доступ к
содержанию электронного журнала сообщений был возможен исключительно для должностных лиц
(работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном
журнале, необходимы для выполнения служебных (трудовых) обязанностей.
Для обеспечения 1-го уровня защищенности персональных данных при их обработке в информационных
системах помимо требований, предусмотренных для 2-го уровня, необходимо выполнение следующих
требований:
а) автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника
оператора по доступу к персональным данным, содержащимся в информационной системе;
б) создание структурного подразделения, ответственного за обеспечение безопасности персональных
данных в информационной системе, либо возложение на одно из структурных подразделений функций по
обеспечению такой безопасности.
23.
Приказ Федеральной службы по техническому и экспортному контролю от18 февраля 2013 г. N 21 "Об утверждении Состава и содержания
организационных и технических мер по обеспечению безопасности
персональных данных при их обработке в информационных системах
персональных данных"
Настоящий документ разработан в соответствии с частью 4 статьи 19
Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" и
устанавливает состав и содержание организационных и технических мер по
обеспечению безопасности персональных данных при их обработке в
информационных системах персональных данных (далее - меры по
обеспечению безопасности персональных данных) для каждого из уровней
защищенности персональных данных, установленных в Требованиях к защите
персональных данных при их обработке в информационных системах
персональных данных, утвержденных постановлением Правительства
Российской Федерации от 1 ноября 2012 г. N 1119
24.
Приказ Федеральной службы по техническому и экспортному контролю от11.02.2013 № 17 «Об утверждении Требований о защите информации, не
составляющей государственную тайну, содержащейся в государственных
информационных системах»
В документе устанавливаются требования к обеспечению защиты информации ограниченного
доступа, не содержащей сведения, составляющие государственную тайну (далее информация), от утечки по техническим каналам, несанкционированного доступа,
специальных воздействий на такую информацию (носители информации) в целях ее
добывания, уничтожения, искажения или блокирования доступа к ней (далее - защита
информации) при обработке указанной информации в государственных информационных
системах.
Настоящие Требования являются обязательными при обработке информации в
государственных информационных системах, функционирующих на территории Российской
Федерации, а также в муниципальных информационных системах, если иное не установлено
законодательством Российской Федерации о местном самоуправлении.
При обработке в государственной информационной системе информации, содержащей
персональные данные, настоящие Требования применяются наряду с требованиями к защите
персональных данных при их обработке в информационных системах персональных данных,
утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г.
N 1119
25.
Приказ ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержанияорганизационных и технических мер по обеспечению безопасности персональных
данных при их обработке в информационных системах персональных данных с
использованием средств криптографической защиты информации, необходимых для
выполнения установленных Правительством Российской Федерации требований к
защите персональных данных для каждого из уровней защищённости»
Настоящий документ определяет состав и содержание организационных и технических мер по
обеспечению безопасности персональных данных при их обработке в информационных системах
персональных данных с использованием средств криптографической защиты информации (далее
- СКЗИ), необходимых для выполнения установленных Правительством Российской Федерации
требований к защите персональных данных для каждого из уровней защищенности.
Настоящий документ предназначен для операторов, использующих СКЗИ для обеспечения
безопасности персональных данных при их обработке в информационных системах.
Применение организационных и технических мер, определенных в настоящем документе,
обеспечивает оператор с учетом требований эксплуатационных документов на СКЗИ,
используемые для обеспечения безопасности персональных данных при их обработке в
информационных системах.
Эксплуатация СКЗИ должна осуществляться в соответствии с документацией на СКЗИ и
требованиями, установленными в настоящем документе, а также в соответствии с иными
нормативными правовыми актами, регулирующими отношения в соответствующей области.
26.
Для обеспечения 4 уровня защищенности персональныхданных при их обработке в информационных системах
а) организация режима обеспечения безопасности помещений, в которых размещена
информационная система, препятствующего возможности неконтролируемого
проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в
эти помещения;
б) обеспечение сохранности носителей персональных данных;
в) утверждение руководителем оператора документа, определяющего перечень лиц,
доступ которых к персональным данным, обрабатываемым в информационной
системе, необходим для выполнения ими служебных (трудовых) обязанностей;
г) использование средств защиты информации, прошедших процедуру оценки
соответствия требованиям законодательства Российской Федерации в области
обеспечения безопасности информации, в случае, когда применение таких средств
необходимо для нейтрализации актуальных угроз.
27.
Для выполнения требования, указанного в подпункте"а"
необходимо
обеспечение
режима,
препятствующего
возможности
неконтролируемого проникновения или пребывания в помещениях, где размещены
используемые СКЗИ, хранятся СКЗИ и (или) носители ключевой,
аутентифицирующей и парольной информации СКЗИ (далее - Помещения), лиц, не
имеющих права доступа в Помещения, которое достигается путем:
а) оснащения Помещений входными дверьми с замками, обеспечения постоянного
закрытия дверей Помещений на замок и их открытия только для
санкционированного прохода, а также опечатывания Помещений по окончании
рабочего дня или оборудование Помещений соответствующими техническими
устройствами, сигнализирующими о несанкционированном вскрытии Помещений;
б) утверждения правил доступа в Помещения в рабочее и нерабочее время, а также в
нештатных ситуациях;
в) утверждения перечня лиц, имеющих право доступа в Помещения.
28.
Для выполнения требования, указанного в подпункте "б"а) осуществлять хранение съемных машинных носителей персональных
данных в сейфах (металлических шкафах), оборудованных внутренними
замками с двумя или более дубликатами ключей и приспособлениями для
опечатывания замочных скважин или кодовыми замками. В случае если на
съемном машинном носителе персональных данных хранятся только
персональные данные в зашифрованном с использованием СКЗИ виде,
допускается хранение таких носителей вне сейфов (металлических шкафов);
б) осуществлять поэкземплярный учет машинных носителей персональных
данных, который достигается путем ведения журнала учета носителей
персональных данных с использованием регистрационных (заводских)
номеров.
29.
Для выполнения требования, указанного в подпункте "в"а) разработать и утвердить документ, определяющий перечень лиц,
доступ которых к персональным данным, обрабатываемым в
информационной системе, необходим для выполнения ими служебных
(трудовых) обязанностей;
б) поддерживать в актуальном состоянии документ, определяющий
перечень лиц, доступ которых к персональным данным,
обрабатываемым в информационной системе, необходим для
выполнения ими служебных (трудовых) обязанностей.
30.
Для выполнения требования, указанного в подпункте "г"необходимо для каждого из уровней защищенности персональных данных
применение СКЗИ соответствующего класса, позволяющих обеспечивать
безопасность персональных данных при реализации целенаправленных действий с
использованием аппаратных и (или) программных средств с целью нарушения
безопасности защищаемых СКЗИ персональных данных или создания условий для
этого (далее - атака), которое достигается путем:
а) получения исходных данных для формирования совокупности предположений о
возможностях, которые могут использоваться при создании способов, подготовке и
проведении атак;
б) формирования и утверждения руководителем оператора совокупности
предположений о возможностях, которые могут использоваться при создании
способов, подготовке и проведении атак, и определение на этой основе и с учетом
типа актуальных угроз требуемого класса СКЗИ;
в) использования для обеспечения требуемого уровня защищенности персональных
данных при их обработке в информационной системе СКЗИ класса КС1 и выше
31.
Приказ Федеральной службы по техническому иэкспортному контролю от 29.04.2021 № 77 «Порядок
организации и проведения работ по аттестации объектов
информатизации на соответствие требованиям о защите
информации ограниченного доступа, не составляющей
государственную тайну»
Организация работ по
аттестации объектов
информатизации
Проведение работ по
аттестации объектов
информатизации
32.
Постановления администрации муниципальногообразования город Краснодар
От 25.09.2020 № 4144 «Об обработке и защите персональных
данных, обрабатываемых в администрации муниципального
образования город Краснодар» (с учётом изменений - № 1888
от 03.05.2023).
От 17.05.2017 № 1987 «Об организационно-технических
мероприятиях по обработке и обеспечению безопасности
информации,
обрабатываемой
в
администрации
муниципального образования город Краснодар» (с учётом
изменений и дополнений - № 4120 от 19.09.2019 и № 323 от
26.01.2023).
33.
2. Последние изменения в Федеральныйзакон от 27.07.2006 № 152 «О персональных
данных» и в постановление администрации
муниципального
образования
город
Краснодар от 25.09.2020 № 4144 «Об
обработке и защите персональных данных,
обрабатываемых
в
администрации
муниципального
образования
город
Краснодар».
34.
Федеральный закон от 14.07.2022 № 266 «Овнесении изменений в Федеральный закон «О
персональных данных», отдельные законодательные
акты Российской Федерации и признании
утратившей силу четырнадцатой части 30
Федерального закона «О банках и банковской
деятельности»
35.
36.
37.
Постановление администрации муниципальногообразования город Краснодар от 03.05.2023 № 1888
«О внесении изменений в
постановление
администрации муниципального образования город
Краснодар от 25.09.2020 № 4144 «Об обработке и
защите персональных данных, обрабатываемых в
администрации муниципального образования город
Краснодар»
38.
39.
1.9. Подпункт 35.5 пункта 35 раздела IV приложения№ 1 после слов «субъектам персональных данных»
дополнить словами «в соответствии с
приказом
Министерства цифрового развития, связи и массовых
коммуникаций Российской Федерации от 27.10.2022
№ 178 «Об утверждении Требований к оценке вреда,
который
может
быть
причинён
субъектам
персональных
данных
в
случае
нарушения
Федерального закона «О персональных данных».».
40.
1.20. Пункт 61 раздела VIII приложения № 1 дополнитьабзацем вторым следующего содержания:
«В случае установления факта неправомерной или
случайной
передачи
(предоставления,
распространения, доступа) персональных данных,
повлекшей нарушение прав субъектов персональных
данных, лица, указанные в пунктах 56, 57 настоящего
Положения,
должны
обеспечить
выполнение
требований части 3.1 статьи 21 Федерального закона
«О персональных данных».».
41.
3. Приказ Министерства цифрового развития, связи имассовых коммуникаций Российской Федерации от 27.10.2022
№ 178 «Об утверждении Требований к оценке вреда, который
может быть причинён субъектам персональных данных в
случае нарушения Федерального закона «О персональных
данных»
Оценка вреда, который может быть причинен субъектам персональных
данных в случае нарушения Федерального закона от 27 июля 2006 г.
N 152-ФЗ "О персональных данных" осуществляется:
ответственным за организацию
обработки персональных данных
комиссией, образуемой оператором
42.
43.
Результаты оценки вреда оформляются актом оценки вреда.Акт оценки вреда должен содержать:
а) наименование или фамилию, имя, отчество (при наличии) и
адрес оператора;
б) дату издания акта оценки вреда;
в) дату проведения оценки вреда;
г) фамилию, имя, отчество (при наличии), должность лиц (лица)
(при наличии), проводивших оценку вреда, а также их (его)
подпись;
д) степень вреда, которая может быть причинена субъекту
персональных данных, в соответствии с подпунктами 2.1 - 2.3
пункта 2 настоящих Требований.