Дело №2а-230/2025

УИД № 65RS0016-01-2025-000326-90

РЕШЕНИЕ

Именем Российской Федерации

03 июля 2025 года гор. Углегорск

Углегорский городской суд Сахалинской области в составе:

председательствующего судьи – Калашниковой Ю.С.,

при секретаре – Ивановой А.С.,

с участием прокурора Шилина С.В., представителя административного ответчика ФИО1, действующего на основании доверенности от 09.01.2025,

рассмотрев в открытом судебном заседании в помещении Углегорского городского суда административное дело по административному исковому заявлению Углегорского городского прокурора, действующего в интересах неопределённого круга лиц, к администрации Углегорского муниципального округа Сахалинской области, о признании незаконным бездействия, возложении обязанности,

установил:

28.02.2025 Углегорский городской прокурор, действуя в интересах неопределенного круга лиц, обратился в Углегорский городской суд с административным исковым заявлением к администрации Углегорского муниципального округа о признании незаконным бездействия в связи с непринятием мер по обеспечению безопасности персональных данных, необходимых для обеспечения защиты персональных данных, предусмотренных Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных приказом ФСТЭК России от 18.02.2013 №21; возложении обязанности в течение трех месяцев со дня вступления решения суда в законную силу принять меры по обеспечению безопасности персональных данных путем: определения лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты персональных данных, определения событий безопасности, подлежащих регистрации и сроков их хранения; определения состава и содержания информации о событиях безопасности; осуществления сбора, записи и хранения информации о событиях безопасности в течение установленного времени хранения, их защите, в вышеуказанном порядке.

В обоснование заявленных требований указано, что Углегорской городской прокуратурой проведена проверка в сфере исполнения организациями, осуществляющими деятельность в сфере информационной безопасности, в ходе которой установлено, что отдел кадров администрации Углегорского муниципального округа использует программные комплексы 1-С, Свод-Смарт и Смета-Смарт, расположенные на серверах администрации Углегорского муниципального округа, в том числе в целях обработки персональных данных. Несмотря на то, что в администрации Углегорского муниципального округа определен 3 уровень защищенности персональных данных, мероприятия согласно требованиям пункта 8 приказа ФСТЭК России от 18.02.2013 №21, в том числе: по определению событий безопасности, подлежащих регистрации и сроков их хранения; состава и содержания информации о событиях безопасности; сбору, записи и хранению информации о событиях безопасности в течение установленного времени хранения; защите информации о событиях безопасности, не проведены; не реализуются мероприятия по определению лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты персональных данных. Указанные обстоятельства влекут нарушение требований федерального законодательства в указанной сфере, создают угрозу возможного неправомерного использования сведений, в том числе в неправомерных целях. На основании выявленных нарушений главе Углегорского муниципального округа 26.09.2024 внесено представление, однако, по настоящее время вышеуказанные мероприятия не реализовываются. В нарушение части 1 статьи 24 Федерального закона «О прокуратуре Российской Федерации» требования прокурора не исполнены. Принимая во внимание, что обработка персональных данных осуществляется в отношении неопределенного круга лиц, у прокурора имеются полномочия по инициированию их судебной защиты.

Протокольным определением Углегорского городского суда от 26.03.2025 к участию в деле в качестве заинтересованного лица привлечено МКУ «Централизованная бухгалтерия» Углегорского муниципального округа.

Протокольным определением Углегорского городского суда от 21.04.2025 к участию в деле в качестве заинтересованного лица привлечено МКУ «Эксплуатационное техническое управление» Углегорского муниципального округа.

До судебного заседания от заинтересованных лиц МКУ «Централизованная бухгалтерия» Углегорского муниципального округа, МКУ «Эксплуатационное техническое управление» Углегорского муниципального округа поступили отзывы на административное исковое заявление, в которых указано, что с требованиями Углегорского городского прокурора согласны. Ходатайствовали о рассмотрении дела в отсутствие своих представителей.

21.05.2025 прокурор уточнил требования, представив заявление, просит суд возложить на администрацию Углегорского муниципального округа обязанность в течение 12 месяцев со дня вступления решения суда в законную силу принять меры по обеспечению безопасности персональных данных путём определения уровня защищённости персональных данных. В остальной части прокурором заявлено об отказе от заявленных требований.

Определением Углегорского городского суда от 21.05.2025 прекращено производство в части заявленных требований прокурора о возложении обязанностей на администрацию Углегорского муниципального округа Сахалинской области в течение трех месяцев со дня вступления решения суда в законную силу принять меры по обеспечению безопасности персональных данных путём: определения лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты персональных данных, определения событий безопасности, подлежащих регистрации и сроков их хранения; определения состава и содержания информации о событиях безопасности; осуществления сбора, записи и хранения информации о событиях безопасности в течение установленного времени хранения, их защите, в порядке, установленном Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных приказом ФСТЭК России от 18.02.2013 №21.

20.06.2025 прокурор уточнил требования, предоставив заявление, просит суд признать незаконным бездействие администрации Углегорского муниципального округа в связи с непринятием мер по обеспечению безопасности персональных данных путём определения уровня защищённости персональных данных.

В судебном заседании прокурор Шилин С.В. административное исковое заявление с учётом заявлений об изменении предмета иска, поддержал, привёл доводы, аналогичные доводам заявления.

Представитель административного ответчика ФИО1, действующий на основании доверенности, административные исковые требования признал и пояснил, что официально не установлен уровень защищенности ввиду необходимости оформления ряда документов, проведения мероприятий, требующих финансирования.

В судебное заседание вызывались и не явились заинтересованные лица МКУ «Эксплуатационное техническое управление» Углегорского муниципального округа, МКУ «Централизованная бухгалтерия» Углегорского муниципального округа, о времени и месте судебного разбирательства извещены надлежащим образом.

Суд, с учётом мнения лиц, участвующих в деле, руководствуясь частью 6 статьи 226 Кодекса административного судопроизводства Российской Федерации (далее – КАС РФ), учитывая, что судом явка участников процесса не признавалась обязательной, полагает возможным рассмотреть дело в отсутствие не явившихся участников процесса.

Выслушав стороны, рассмотрев административное дело по принципу законности и справедливости, исследовав представленные доказательства с точки зрения их относимости и допустимости, суд пришёл к следующему.

В соответствии со статьёй 46 (частями 1 и 2) Конституции Российской Федерации решения и действия (или бездействие) органов государственной власти, органов местного самоуправления, общественных объединений и должностных лиц могут быть обжалованы в суд.

Реализуя указанные конституционные предписания, статья 218 КАС РФ, предоставляет гражданину, организации, иным лицам право обратиться в суд с требованиями об оспаривании решений, действий (бездействия) органа государственной власти, органа местного самоуправления, иного органа, организации, наделенных отдельными государственными или иными публичными полномочиями (включая решения, действия (бездействие) квалификационной коллегии судей, экзаменационной комиссии), должностного лица, государственного или муниципального служащего (далее - орган, организация, лицо, наделенные государственными или иными публичными полномочиями), если полагают, что нарушены или оспорены их права, свободы и законные интересы, созданы препятствия к осуществлению их прав, свобод и реализации законных интересов или на них незаконно возложены какие-либо обязанности. Гражданин, организация, иные лица могут обратиться непосредственно в суд или оспорить решения, действия (бездействие) органа, организации, лица, наделенных государственными или иными публичными полномочиями, в вышестоящие в порядке подчиненности орган, организацию, у вышестоящего в порядке подчиненности лица либо использовать иные внесудебные процедуры урегулирования споров.

Исходя из содержания пункта 1 части 2 статьи 227 КАС РФ решение, действия (бездействие) могут быть признаны незаконными при наличии одновременно двух условий: несоответствие решения, действий (бездействия) закону и нарушения таким решением, действиями (бездействием) прав и законных интересов заявителя.

Часть 1 статьи 39 КАС РФ предусматривает, что прокурор вправе обратиться в суд с административным исковым заявлением в защиту прав, свобод и законных интересов граждан, неопределённого круга лиц или интересов Российской Федерации, субъектов Российской Федерации, муниципальных образований, а также в других случаях, предусмотренных федеральными законами.

Согласно требованиям статьи 62 КАС РФ лица, участвующие в деле, обязаны доказывать обстоятельства, на которые они ссылаются как на основаниях своих требований или возражений.

Судом установлено, что Углегорской городской прокуратурой проведена проверка исполнения законодательства в сфере информационных технологий и защиты информации в администрации Углегорского муниципального округа, в ходе которой установлено использование программных комплексов 1-С, Свод-Смарт и Смета-Смарт для управления финансово-экономической деятельность, материально-техническим обеспечением, требования к защите персональных данных при обработке в указанных программах недостаточны, не обеспечивают в полной мере защиты неопределенного круга лиц при обработке их персональных данных, поскольку установленные законодательством мероприятия не выполняются, ввиду неопределения уровня защищенности персональных данных.

В соответствии со ст.1 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее Федеральный закон 149-ФЗ) настоящий закон регулирует отношения, возникающие при осуществлении права на поиск, получение, передачу, производство и распространение информации; применении информационных технологий; обеспечении защиты информации.

В силу ст.2 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее Федеральный закон 152-ФЗ) целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Положения п.2 ст.3 вышеуказанного закона предусматривают, что оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Статья 16 Федерального закона № 149-ФЗ предусматривает, что защита информации представляет собой принятие правовых, организационных и технических мер, направленных на обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации; соблюдение конфиденциальности информации ограниченного доступа; реализацию права на доступ к информации.

Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить: предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации; своевременное обнаружение фактов несанкционированного доступа к информации; предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации; недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование; возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней; постоянный контроль за обеспечением уровня защищенности информации; нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации.

Часть 1 статьи 19 Федерального закона № 152-ФЗ предусматривает, что оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает: 1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных; 2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных; 3) требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных (часть 3).

Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий (часть 4).

Приказом ФСТЭК России от 18.02.2013 № 21 утверждены состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

Указанным приказом состав и содержание таких мер обозначен в зависимости от уровня защищенности персональных данных.

Безопасность персональных данных при их обработке в информационной системе персональных данных обеспечивает оператор или лицо, осуществляющее обработку персональных данных по поручению оператора в соответствии с законодательством Российской Федерации.

Для выполнения работ по обеспечению безопасности персональных данных при их обработке в информационной системе в соответствии с законодательством Российской Федерации могут привлекаться на договорной основе юридическое лицо или индивидуальный предприниматель, имеющие лицензию на деятельность по технической защите конфиденциальной информации (ч.2).

Постановлением Правительства РФ от 01.11.2012 N 1119 утверждены Требования к защите персональных данных при их обработке в информационных системах.

В соответствии с п. 6 указанных Требований под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.

Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона "О персональных данных", и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона "О персональных данных" (п. 7 Требований).

Кроме того, при обработке персональных данных в информационных системах устанавливаются 4 уровня защищенности персональных данных (п. 8 Требований).

В ходе судебного заседания представитель административного ответчика не отрицал, что уровень защищенности персональных данных в процессе использования программных продуктов и исполнения требования Федерального закона «О персональных данных» до настоящего времени не определен. Доказательств иного в материалы дела не представлено.

По данному факту 26.09.2024 мэру Углегорского городского округа внесено представление прокурора об устранении нарушений федерального законодательства.

Из информации администрации Углегорского городского округа от 12.11.2024 следует, что выполнение мероприятий планируется на 2025 года в случае выделения на это бюджетных средств, заявка на выделение средств местного бюджета направлена в финансовое управление Углегорского городского округа.

Таким образом, должностными лицами администрации Углегорского муниципального округа ненадлежащим образом выполняются требования Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", чем нарушаются права работников на защиту персональных данных.

Руководствуясь пунктом 1 части 3 статьи 227 КАС РФ, суд, возлагая на административного ответчика обязанность совершить действия по устранению выявленного нарушения, принимает во внимание объем предполагаемой работы, и полагает необходимым установить срок для исполнения возложенной на ответчика обязанности в течение 12 месяцев со дня вступления решения суда в законную силу.

На основании изложенного, руководствуясь статьями 175-180 Кодекса административного судопроизводства Российской Федерации, суд

РЕШИЛ:

Административное исковое заявление Углегорского городского прокурора, действующего в интересах неопределенного круга лиц, к администрации Углегорского муниципального округа Сахалинской области, о признании незаконным бездействия, возложении обязанности, - удовлетворить.

Признать незаконным бездействие администрации Углегорского муниципального округа Сахалинской области в связи с непринятием мер по обеспечению безопасности персональных данных путем определения уровня защищенности персональных данных.

Возложить на администрацию Углегорского муниципального округа обязанность в течение 12 месяцев со дня вступления решения суда в законную силу принять меры по обеспечению безопасности персональных данных путем определения уровня защищенности персональных данных.

На решение может быть подана апелляционная жалоба в Сахалинский областной суд через Углегорский городской суд в течение месяца со дня принятия решения суда в окончательной форме.

Мотивированное решение изготовлено 17 июля 2025 года.

Председательствующий судья Ю.С. Калашникова