Решение по делу № 2-755/2023 от 11.05.2023 - об обязании выполнить требования по соблюдению законодательства о защите персональных данных.

УИД: 61RS0033-01-2023-000554-28

дело № 2-755/2023

РЕШЕНИЕ

Именем Российской Федерации

(мотивированное)

ст. Кагальницкая 11 мая 2023 года

Зерноградский районный суд Ростовской области в составе: председательствующего судьи Васильевой Т.А., при секретаре судебного заседания Чайковской Е.И.,

с участием помощника прокурора Кагальницкого района Яценко Д.В.,

рассмотрев в открытом судебном заседании гражданское дело по иску Прокурора Кагальницкого района Ростовской области к ГБУ РО «ЦРБ» Кагальницкого района Ростовской области об обязании выполнить требования по соблюдению законодательства о защите персональных данных,

УСТАНОВИЛ:

Прокурор Кагальницкого района Ростовской области обратился с иском к ГБУ РО «ЦРБ» Кагальницкого района Ростовской области об обязании выполнить требования по соблюдению законодательства о защите персональных данных. В обоснование исковых требований указал, что Прокуратурой Кагальницкого района проведена проверка соблюдения требований законодательства при обработке персональных данных, в ходе которой в деятельности МБУЗ «ЦРБ» Кагальницкого района Ростовской области выявлены нарушения в указанной сфере. Проверкой установлено, что информационная система ГБУ РО «ЦРБ» Кагальницкого района относится ко 2 уровню защищенности, с применением в ней сертифицированных средств защиты информации. Вместе с тем, аттестат соответствия требованиям по безопасности информации автоматизированной информационной системы персональных данных ГБУ РО «ЦРБ» Кагальницкого района, выданный 07.03.2019 действителен до 07.03.2022, однако, до настоящего времени руководством ГБУ РО «ЦРБ» Кагальницкого района мер по актуализации аттестата соответствия не принято. Указанные нарушения закона создают угрозу утечки персональных данных, нарушению прав граждан и свидетельствует о ненадлежащем исполнении должностных обязанностей со стороны ответственных работников ГБУ РО «ЦРБ» Кагальницкого района Ростовской области. Ранее прокуратурой района 28.01.2023 главному врачу ГБУ РО «ЦРБ» в Кагальницком районе по данному факту внесено представление об устранении выявленных нарушений. По результатам рассмотрения, несмотря на формальное удовлетворение акта прокурорского реагирования, нарушения не устранены. Отсутствие или недостаточность бюджетного финансирования мероприятий по обеспечению защищенности персональных данных не освобождает от решения указанного вопроса и не должно нарушать права и законные интересы граждан на обеспечение защиты их персональных данных.

Просил: обязать ГБУ РО «ЦРБ» в Кагальницком районе в течение шести месяцев со дня вступления решения суда в законную силу обеспечить безопасность информации автоматизированной информационной системы персональных данных путем актуализации аттестата соответствия.

В судебном заседании помощник прокурора Кагальницкого района Яценко Д.В. исковые требования поддержал, просил удовлетворить в полном объеме.

Представитель Ответчика ГБУ РО «ЦРБ» Кагальницкого района о слушании дела извещен надлежащим образом, в судебное заседание не прибыл. Представил заявление о признании иска, в котором просил рассмотреть дело в отсутствие представителя ГБУ РО «ЦРБ» Кагальницкого района.

Дело рассмотрено в порядке ст. 167 ГПК РФ в отсутствие не явившегося представителя ответчика.

Суд, изучив материалы дела, находит заявленный иск подлежащим удовлетворению по следующим основаниям.

В соответствии со ст. 19 Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - ФЗ № 152) оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Так согласно ч. 2 ст. 19 ФЗ № 152 обеспечение безопасности персональных данных достигается, в частности:

1)определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2)применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

3)применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

учетом машинных носителей персональных данных;

обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;

7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

Пунктом 6 постановления Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее - Постановление) под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.

Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.

Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.

Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.

Согласно пункта 10 Постановления необходимость обеспечения 2-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:

б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.

В соответствии с пунктом 12 Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» технические меры защиты персональных данных реализуются посредством применения средств защиты информации, в том числе программных (программно-аппаратных) средств, в которых они реализованы, имеющих необходимые функции безопасности.

В информационных системах 2 уровня защищенности персональных данных применяются средства защиты информации не ниже 5 класса и 5 уровня доверия, а также средства вычислительной техники не ниже 5 класса.

В соответствии с Федеральным законом от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности» постановлением Правительства РФ от 03.02.2012 N 79 «О лицензировании деятельности по технической защите конфиденциальной информации» утверждено «Положение о лицензировании деятельности по технической защите конфиденциальной информации» (далее - Положение).

Согласно пункта 4 Положения при осуществлении лицензируемого вида деятельности лицензированию подлежат услуги по контролю защищенности конфиденциальной информации от утечки по техническим каналам в средствах и системах информатизации; услуги по контролю защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации; работы и услуги по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации средств и систем информатизации.

В судебном заседании установлено следующее. Прокуратурой Кагальницкого района Ростовской области в соответствии с полномочиями, предоставленными ст.ст.21,22 Федерального закона №2202-1 от 17.01.1992 «О прокуратуре Российской Федерации», проведена проверка соблюдения требований законодательства при обработке персональных данных в ГБУ РО «ЦРБ» Кагальницкого района. По результатам проведенной проверки, Прокуратурой района 28.01.2023 главному врачу ГБУ РО «ЦРБ» в Кагальницком районе по данному факту 28.01.2023 г. внесено Представление об устранении выявленных нарушений № (л.д.21-24).

Согласно Письма Главного врача ГБУ РО «ЦРБ» в Кагальницком районе № от 03.03.2023 г. в адрес Прокурора Кагальницкого района, рассмотрение Представления предлагается провести 06.03.2023 г. в 16.00 час. (л.д.25)

Согласно Приказа Главного врача ГБУ РО «ЦРБ» в Кагальницком районе №-к от 03.03.2023 г., по результатам рассмотрения Представления прокурора Кагальницкого района, к лицу, ответственному за защиту информационных данных – технику по защите информации ФИО1 за неисполнение возложенных на него трудовых обязанностей, применено дисциплинарное взыскание в виде выговора (л.д.28-29).

Согласно Письма за подписью Главного врача ГБУ РО «ЦРБ» в Кагальницком районе ФИО2 в адрес Прокурора Кагальницкого района № от 07.03.2023 г., устранение выявленных нарушений в Представлении № от 25.01.2023 г. будет исполнено в срок до 31.12.2023 г. (л.д. 26-27).

Доказательств, которые опровергали бы выводы прокуратуры, полученные по результатам проведения соответствующей проверки, в материалы дела не представлено.

Ответчиком представлено заявление о признании исковых требований, в котором он просил удовлетворить исковые требования истца в полном объеме.

Суд принимает признание иска ответчиком, поскольку оно выражает свободное волеизъявление ответчика, не противоречит закону, не нарушает права и охраняемые интересы иных лиц.

В силу части 2 ст. 68 ГПК РФ признание стороной обстоятельств, на которых другая сторона основывает свои требования или возражения, освобождает последнюю от необходимости дальнейшего доказывания этих обстоятельств.

Статьей 39 ГПК РФ предусмотрено, что истец вправе изменить основание или предмет иска, увеличить или уменьшить размер исковых требований либо отказаться от иска, ответчик вправе признать иск, стороны могут окончить дело мировым соглашением. Суд не принимает отказ истца от иска, признание иска ответчиком и не утверждает мировое соглашение сторон, если это противоречит закону или нарушает права и законные интересы других лиц.

Согласно абзацу 2 ч. 4 ст. 198 ГПК РФ в случае признания иска ответчиком в мотивировочной части решения суда может быть указано только на признание иска и принятие его судом.

Пунктом 3 ст. 173 ГПК РФ предусмотрено, что при признании ответчиком иска и принятии его судом принимается решение об удовлетворении заявленных истцом требований.

Суд, изучив материалы дела, а также поступившее признание исковых требований ответчиками, считает, что признание ответчиком исковых требований основано на свободном волеизъявлении ответчика, не противоречит закону, не нарушает права и законные интересы других лиц, в связи с чем, суд принимает признание иска ответчиком, что является основанием для удовлетворения исковых требований.

Суд приходит к выводу, что заявленные истцом требования основаны на законе и подлежат удовлетворению.

Истец в порядке ст.333.36 Налогового Кодекса РФ, освобожден от уплаты государственной пошлины по делу. В связи с удовлетворением иска, в порядке ст.103 ГПК РФ с ответчика ГБУ РО «ЦРБ» в Кагальницком районе подлежит взысканию государственная пошлина по делу.

Руководствуясь ст. ст. 194-199 ГПК РФ, суд

РЕШИЛ:

Исковые требования Прокурора Кагальницкого района Ростовской области к ГБУ РО «ЦРБ» Кагальницкого района Ростовской области об обязании выполнить требования по соблюдению законодательства о защите персональных данных - удовлетворить.

Обязать ГБУ РО «ЦРБ» в Кагальницком районе в течение шести месяцев со дня вступления решения суда в законную силу обеспечить безопасность информации автоматизированной информационной системы персональных данных путем актуализации аттестата соответствия.

Решение может быть обжаловано в апелляционном порядке в Ростовский областной суд через Зерноградский районный суд Ростовской области в течение месяца со дня принятия решения суда в окончательной форме.

Судья Т.А. Васильева

Мотивированный текст решения изготовлен 18.05.2023 года.