Дело № 2-476/2014

РЕШЕНИЕ

Именем Российской Федерации

22 августа 2014 года                                                       с. Корткерос

Корткеросский районный суд Республики Коми в составе председательствующего судьи Буян Э.Ф., при секретаре ФИО2, с участием прокурора ФИО1,

рассмотрев в открытом судебном заседании гражданское дело по иску

прокурора Корткеросского района к администрации СП «Название» об исполнении законодательства в сфере обработки, использования и защиты персональных данных,

УСТАНОВИЛ:

Прокурор Корткеросского района обратился в суд с иском о признании бездействия администрации муниципального образования сельского поселения «Название» в части непринятия мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами незаконным. С учетом уточненных требований просит суд обязать администрацию принять меры, предусмотренные ст. 18.1 Федерального закона «О персональных данных» и постановлением Правительства РФ от 21.03.2012 № 211, необходимые для обеспечения выполнения обязанностей, касающихся обработки персональных данных:

- назначить ответственных за организацию обработки персональных данных в администрации из числа муниципальных служащих;

- утвердить правила обработки персональных данных, устанав-ливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персо-нальных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обра-батываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований;

- утвердить правила рассмотрения запросов субъектов персональных данных или их представителей;

- утвердить правила осуществления внутреннего контроля соответ-ствия обработки персональных данных требованиям к защите персональных данных, установленным Законом, принятыми в соответствии с ним нормативными правовыми актами и локальными актами оператора;

- утвердить правила работы с обезличенными данными;

- утвердить перечень информационных систем персональных данных; утвердить перечни персональных данных, обрабатываемых администрацией в связи с оказанием муниципальных услуг и осуществлением муниципальных функций;

- утвердить перечень должностей служащих администрации, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных;

- утвердить перечень должностей служащих администрации, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;

- утвердить должностной регламент (должностные обязанности) или должностная инструкция ответственного за организацию обработки персональных данных в администрации;

- разработать типовое обязательство служащего администрации, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта (контракта) или трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей;

- разработать типовую форму согласия на обработку персональных данных субъектов персональных данных, а также типовую форму разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные;

- утвердить порядок доступа служащих администрации в помещения, в которых ведется обработка персональных данных;

- утвердить порядок осуществления внутреннего контроля соответ-ствия обработки персональных данных установленным требованиям.

В судебном заседании прокурор ФИО иск поддержала.

Администрация СП «Название» о рассмотрении дела надлежащим образом уведомлена, представителя в суд не направила. С учетом положений ст. 167 ГПК РФ суд считает возможным рассмотреть дело в отсутствие представителя ответчика..

Заслушав прокурора, рассмотрев представленные материалы, суд приходит к следующему.

Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Закон) регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее - государственные органы), органами местного самоуправления, иными муниципальными органами (далее - муниципальные органы), юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.

 Как указано в ст. 2 Закона, целью регламентации деятельности государственных и муниципальных органов власти, иных операторов обработки персональных данных является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

 Согласно ст. 3 Закона к персональным данным относится любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); под оператором признается государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными; под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

 Ч.1 ст. 13 Закона закреплено право государственных органов, муниципальных органов создавать в пределах своих полномочий, установленных в соответствии с федеральными законами, государственные или муниципальные информационные системы персональных данных.

  Ч. 1 ст.18.1 Закона на оператора возложена обязанность принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом или другими федеральными законами.

В целях реализации полномочий, предусмотренных ч. 3 ст. 18.1 Закона постановлением Правительства РФ от 21.03.2012 №211 утвержден перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» (далее - Перечень).

Так, в соответствии с п.1 Перечня операторы, являющиеся государственными или муниципальными органами, принимают следующие меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом и принятыми в соответствии с ним нормативными правовыми актами:

а) назначают ответственного за организацию обработки персональных данных в государственном или муниципальном органе из числа государственных или муниципальных служащих (далее - служащие) данного органа;

б) утверждают актом руководителя государственного или муниципального органа следующие документы:

правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований;

правила рассмотрения запросов субъектов персональных данных или их представителей;

правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Законом, принятыми в соответствии с ним нормативными правовыми актами и локальными актами оператора;

правила работы с обезличенными данными;перечень информационных систем персональных данных;

перечни персональных данных, обрабатываемых в государственном или муниципальном органе в связи с реализацией служебных или трудовых отношений, а также в связи с оказанием государственных или муниципальных услуг и осуществлением государственных или муниципальных функций;

перечень должностей служащих государственного или муниципального органа, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных;

перечень должностей служащих государственного или муниципального органа, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;

должностной регламент (должностные обязанности) или должностная инструкция ответственного за организацию обработки персональных данных в государственном или муниципальном органе;

типовое обязательство служащего государственного или муниципального органа, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта (контракта) или трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей;

типовая форма согласия на обработку персональных данных служащих государственного или муниципального органа, иных субъектов персональных данных, а также типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные;

порядок доступа служащих государственного или муниципального органа в помещения, в которых ведется обработка персональных данных;

в) при эксплуатации информационных систем персональных данных в случае, если государственный или муниципальный орган является оператором таких информационных систем, принимают правовые, организационные и технические меры по обеспечению безопасности персональных данных при их обработке, предусмотренные соответствующими нормативными правовыми

актами, для выполнения установленных Правительством Российской Федерации требований к защите персональных данных при их обработке, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

г) при обработке персональных данных, осуществляемой без использования средств автоматизации, выполняют требования, установленные постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

д) в целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям организуют проведение периодических проверок условий обработки персональных данных в государственном или муниципальном органе. Проверки осуществляются ответственным за организацию обработки персональных данных в государственном или муниципальном органе либо комиссией, образуемой руководителем государственного или муниципального органа. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, руководителю государственного или муниципального органа докладывает ответственный за организацию обработки персональных данных в государственном или муниципальном органе либо председатель комиссии;

е) осуществляют ознакомление служащих государственного или муниципального органа, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), локальными актами по вопросам обработки персональных данных и (или) организуют обучение указанных служащих;

ж) уведомляют уполномоченный орган по защите прав субъектов персональных данных об обработке (намерении осуществлять обработку) персональных данных, за исключением случаев, установленных Федеральным законом "О персональных данных";

з) согласно требованиям и методам, установленным уполномоченным органом по защите прав субъектов персональных данных, осуществляют обезличивание персональных данных, обрабатываемых в информационных системах персональных данных.

Из материалов дела следует, что при проведении проверки прокуратурой Корткеросского района установлено, что в администрации муниципального образования сельского поселения «Название» отсутствуют правовые акты в сфере обработки, использования и защиты персональных данных. Иные документы, предусмотренные п.1 Перечня, и необходимые для обеспечения выполнения обязанностей, касающихся обработки персональных данных, не приняты.

 Администрация муниципального образования сельского поселения «Название» является органом местного самоуправления, осуществляющим предоставление множества муниципальных услуг в рамках осуществления вопросов местного значения, а также осуществляет мероприятия в рамках переданных ей государственных полномочий. При осуществлении указанных мероприятий и полномочий администрация непосредственно осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных граждан (субъектов персональных данных).

Непринятие администрацией мер, предусмотренных законодательством для защиты персональных данных граждан при обработке этих данных, нарушает права граждан на защиту гарантированных Конституцией Российской Федерации прав на неприкосновенность частной жизни, личную и семейную тайну, способствует возможности незаконного распространения и использования этих данных против интересов граждан.

Руководствуясь ст. 173, ч.4 ст.198 ГПК РФ

РЕШИЛ:

иск удовлетворить.

Признать бездействие администрации муниципального образования сельского поселения «Название» в части непринятия мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами незаконным.

Обязать администрацию принять меры, предусмотренные ст. 18.1 Федерального закона «О персональных данных» и постановлением Правительства РФ от 21.03.2012 № 211, необходимые для обеспечения выполнения обязанностей, касающихся обработки персональных данных:

- назначить ответственных за организацию обработки персональных данных в администрации из числа муниципальных служащих;

- утвердить правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований;

- утвердить правила рассмотрения запросов субъектов персональных данных или их представителей;

- утвердить правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Законом, принятыми в соответствии с ним нормативными правовыми актами и локальными актами оператора;

- утвердить правила работы с обезличенными данными;

- утвердить перечень информационных систем персональных данных; утвердить перечни персональных данных, обрабатываемых администрацией в связи с оказанием муниципальных услуг и осуществлением муниципальных функций;

- утвердить перечень должностей служащих администрации, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных;

- утвердить перечень должностей служащих администрации, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;

- утвердить должностной регламент (должностные обязанности) или должностная инструкция ответственного за организацию обработки персональных данных в администрации;

- разработать типовое обязательство служащего администрации, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта (контракта) или трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей;

- разработать типовую форму согласия на обработку персональных данных субъектов персональных данных, а также типовую форму разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные;

- утвердить порядок доступа служащих администрации в помещения, в которых ведется обработка персональных данных;

- утвердить порядок осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям.

Решение может быть обжаловано в Верховный суд РК в течение месяца через Корткеросский районный суд.

Судья                                                                         Э.Ф. Буян

В окончательной форме решение изготовлено 27.08.2014.

Источник: https://kortsud--komi.sudrf.ru/modules.php?name=sud_delo&srv_num=1&name_op=case&case_id=123943879&case_uid=63a699dc-3cef-496e-8aa2-e7df8a74afbe&delo_id=1540005