Решение по делу № 2-267/2023 от 05.10.2023 - о возложении обязанности произвести оценку вреда, который может быть причинен субъектам персональных данных.

Дело №2-267/2023 УИД 65RS0018-01-2023-000361-41

РЕШЕНИЕ

И М Е Н Е М Р О С С И Й С К О Й Ф Е Д Е Р А Ц И И

05 октября 2023 года пгт.Южно-Курильск

Южно-Курильский районный суд Сахалинской области в составе:

председательствующего судьи Юхно Н.В.,

при секретаре Теряговой В.В.

с участием помощника прокурора Южно-Курильского района Брандта Н.Г.,

рассмотрев в открытом судебном заседании в помещении суда гражданское дело по исковому заявлению прокурора <адрес> в интересах неопределенного круга лиц к муниципальному унитарному предприятию «Шикотанское жилищное управление» о возложении обязанности произвести оценку вреда, который может быть причинен субъектам персональных данных,

установил:

прокурор <адрес> в интересах неопределенного круга лиц обратился в суд с иском к муниципальному унитарному предприятию «Шикотанское жилищное управление» (далее МУП «Шикотанское жилищное управление») о возложении обязанности произвести оценку вреда, который может быть причинен субъектам персональных данных. В обоснование заявленных требований указал, что прокуратурой района проведена проверка соблюдения законодательства в сфере информационной безопасности и защиты персональных данных. В результате проведенной проверки установлено, что в соответствии с уставом и действующим законодательством ответчик осуществляет полномочия в сфере управления многоквартирными домами, ведет учет и аккумулирует сведения о жильцах многоквартирных домов, их персональных данных, осуществляет их обработку в установленной компетенции, в том числе инициирования судебного понуждения исполнять взятые на себя обязательства по уплате коммунальных услуг, то есть ведет обработку сведений, отнесенных у персональным данным. При этом, в нарушение пункта 2 статьи 3 Федерального закона от ДД.ММ.ГГГГ №152-ФЗ «О персональных данных», пунктов 1 – 2 Требований к оценке вреда, который может быть причинен субъектам персональных данных, оценка соответствующего вреда не проведена, соответствующий акт не составлен. В связи с чем заявлено требование о возложении на МУП «Шикотанское жилищное управление» обязанности в срок не позднее 3-х месяцев со дня вступления решения суда в законную силу провести оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных».

В судебном заседании помощник прокурора <адрес> ФИО3 заявленные требования поддержал.

Ответчик МУП «Шикотанское жилищное управление», будучи надлежащим образом извещенным о времени и месте рассмотрения дела, в судебное заседание явку своего представителя не обеспечил.

Суд в соответствии со статьей 167 Гражданского процессуального кодекса Российской Федерации полагает возможным рассмотреть дело в отсутствии неявившихся участвующих в деле лиц.

Выслушав помощника прокурора <адрес> ФИО3, исследовав материалы дела, суд приходит к следующему.

Федеральным законом от ДД.ММ.ГГГГ №152-ФЗ «О персональных данных» регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее - государственные органы), органами местного самоуправления, иными муниципальными органами (далее - муниципальные органы), юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.

Пунктами 1, 2, 3 статьи 3 Федерального закона от ДД.ММ.ГГГГ №152-ФЗ «О персональных данных» определено, что персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными; обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Согласно статье 6 Федерального закона от ДД.ММ.ГГГГ №152-ФЗ «О персональных данных» обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом.

Частью 1 статьи 18.1 Федерального закона от ДД.ММ.ГГГГ №152-ФЗ «О персональных данных» установлено, что оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами.

К таким мерам, в частности, относится: оценка вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом.

Приказом Роскомнадзора от ДД.ММ.ГГГГ № утверждены Требования к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных».

Пунктами 2, 3, 4 данных Требований установлено, что оператор для целей оценки вреда определяет одну из степеней вреда, который может быть причинен субъекту персональных данных в случае нарушения Закона о персональных данных. Результаты оценки вреда оформляются актом оценки вреда. Акт оценки вреда должен содержать: наименование или фамилию, имя, отчество (при наличии) и адрес оператора; дату издания акта оценки вреда; дату проведения оценки вреда; фамилию, имя, отчество (при наличии), должность лиц (лица) (при наличии), проводивших оценку вреда, а также их (его) подпись; степень вреда, которая может быть причинена субъекту персональных данных, в соответствии с подпунктами 2.1 - 2.3 пункта 2 настоящих Требований.

Из материалов дела следует, что ответчиком в нарушение приведенных выше норм действующего законодательства мероприятия в сфере обеспечения работы с персональными данными не проведены, что подтверждается актом проверки от ДД.ММ.ГГГГ.

Указанные обстоятельства создают риск неправомерного использования персональными данными, нарушения конфиденциальности и причинения вреда субъектам персональных данных.

Таким образом, оценив представленные доказательства, суд приходит к выводу о том, что заявленные требования подлежат удовлетворению.

В соответствии с частью 2 статьи 206 Гражданского процессуального кодекса РФ при принятии решения, обязывающего ответчика совершить определенные действия, суд должен установить срок, в течение которого указанные действия подлежат совершению.

Прокурором <адрес> заявлено требование об устранении выявленных нарушений не позднее 3-х месяцев со дня вступления решения суда в законную силу.

Данный срок, с учетом объема работ, необходимых процедур, которые необходимо выполнить ответчику, по мнению суда, является разумным и достаточным для выполнения указанного требования.

На основании изложенного, руководствуясь статьями 194-199 Гражданского процессуального кодекса РФ, суд

решил :

исковые требования прокурора <адрес> в интересах неопределенного круга лиц к муниципальному унитарному предприятию «Шикотанское жилищное управление» о возложении обязанности произвести оценку вреда, который может быть причинен субъектам персональных данных – удовлетворить.

Возложить на муниципальное унитарное предприятие «Шикотанское жилищное управление» обязанность в срок не позднее 3-х месяцев со дня вступления решения суда в законную силу провести оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных».

Решение может быть обжаловано в Сахалинский областной суд через Южно-Курильский районный суд в течение одного месяца со дня вынесения решения судом в окончательной форме.

В окончательной форме решение составлено ДД.ММ.ГГГГ

Судья Н.В.Юхно