Решение № 2А-670/2019 2А-671/2019 2А-671/2019~М-584/2019 М-584/2019 от 1 декабря 2019 г. по делу № 2А-670/2019Пономаревский районный суд (Оренбургская область) - Гражданские и административные Дело № 2а-670/2019 ИМЕНЕМ РОССИЙСКОЙ ФЕДЕРАЦИИ с. Пономаревка 02 декабря 2019 года Пономаревский районный суд Оренбургской области в составе председательствующего судьи Щепиной О.В. при секретаре Шишкиной Е.В. с участием: административного истца – старшего помощника прокурора Пономаревского района Дмитриевой Е.М. рассмотрев в открытом судебном заседании административное дело по административному иску прокурора Пономаревского района Оренбургской области к администрации муниципального образования Софиевский сельсовет Пономаревского района Оренбургской области, к администрации муниципального образования Деминский сельсовет Пономаревского района Оренбургской области о возложении обязанности организовать работу по исполнению требований федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» Прокурор обратился в суд к администрации МО Софиевский сельсовет Пономаревского района, к администрации МО Деминский сельсовет Пономаревского района, с вышеуказанным иском. В обосновании иска указал, что прокуратурой Пономаревского района проведена проверка соблюдения исполнительными органами поселений района требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» при организации работы с персональными данными граждан, полученными в ходе осуществления своей непосредственной деятельности, в ходе которой выявлены нарушения указанного законодательства. В силу положений Федерального закона от 27.07.2010 N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг" оказывает гражданам муниципальные услуги в соответствии с разработанными административными регламентами, при предоставлении которых от граждан истребуются персональные данные. Таким образом, администрации занимается обработкой персональных данных обратившихся к ним за предоставлением данных услуг лиц. В нарушение ст. 18.41 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», постановления Правительства Российской Федерации от 21.03.2012 N 211 (ред. от 15.04.2019) «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", администрациями сельсовет не разработаны и не утверждены: -правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а так же определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки обработки и хранения, порядок уничтожения при достижении целей обработки или наступлении иных законных оснований. - правила рассмотрения запросов субъектов персональных данных или их представителей; -правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами оператора; - правила работы с обезличенными данными в случае обезличивания персональных данных; - перечень информационных систем персональных данных; - перечни персональных данных, обрабатываемых в муниципальном органе в связи с реализацией служебных или трудовых отношений, а также в связи с оказанием муниципальных услуг и осуществлением муниципальных функций; - перечень должностей служащих муниципального органа, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, в случае обезличивания персональных данных; - перечень должностей служащих муниципального органа, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным; - должностной регламент (должностные обязанности) или должностная инструкция ответственного за организацию обработки персональных данных в муниципальном органе; -типовое обязательство служащего муниципального органа, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта (контракта) или трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей; -типовая форма согласия на обработку персональных данных служащих муниципального органа, иных субъектов персональных данных, а так же типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные; - порядок доступа служащих муниципального органа в помещения, в которых ведется обработка персональных данных. Просит суд: обязать административных ответчиков в течение 2 месяцев со дня вступления решения суда в законную силу разработать и утвердить следующие документы: -правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а так же определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки обработки и хранения, порядок уничтожения при достижении целей обработки или наступлении иных законных оснований. - правила рассмотрения запросов субъектов персональных данных или их представителей; -правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и локальными актами оператора; - правила работы с обезличенными данными в случае обезличивания персональных данных; - перечень информационных систем персональных данных; - перечни персональных данных, обрабатываемых в муниципальном органе в связи с реализацией служебных или трудовых отношений, а также в связи с оказанием муниципальных услуг и осуществлением муниципальных функций; - перечень должностей служащих муниципального органа, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, в случае обезличивания персональных данных; - перечень должностей служащих муниципального органа, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным; - должностной регламент (должностные обязанности) или должностная инструкция ответственного за организацию обработки персональных данных в муниципальном органе; -типовое обязательство служащего муниципального органа, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта (контракта) или трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей; -типовая форма согласия на обработку персональных данных служащих муниципального органа, иных субъектов персональных данных, а так же типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные; - порядок доступа служащих муниципального органа в помещения, в которых ведется обработка персональных данных; -опубликовать документы, определяющие политику в отношении обработки персональных данных, на официальном сайте администрации в сети «Интернет», в сроки, установленные постановлением Правительства РФ от 21.03.2012 № 211 (ред. от 15.04.2019) «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами». Определением Пономаревского районного суда от 12 ноября 2019 года административные дела объединены в одно производство. В судебном заседании старший помощник прокурора Пономаревского района Дмитриева Е.М. административные иски поддержала, по изложенным в иске основаниям. В судебное заседание представители административных ответчиков не явились, извещены надлежащим образом. Суд, выслушав стороны, исследовав материалы дела, приходит к следующему. В силу положений Федерального закона от 27.07.2010 № 210-ФЗ "Об организации предоставления государственных и муниципальных услуг" оказывает гражданам муниципальные услуги в соответствии с разработанными административными регламентами, при предоставлении которых от граждан истребуются персональные данные. Таким образом, административные ответчики занимаются обработкой персональных данных обратившихся к ним за предоставлением данных услуг лиц. Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных" регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее - государственные органы), органами местного самоуправления, иными муниципальными органами (далее - муниципальные органы), юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным. В соответствии с положениями ст. 2 Федерального закона «О персональных данных» оператором по обработке персональных данных является также муниципальный орган, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Обработкой персональных данных является любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Согласно ст. 5 Федерального закона «О персональных данных» обработка персональных данных должна осуществляться на законной и справедливой основе. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. По смыслу положений ст. 6 Федерального закона «О персональных данных» обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается, в том числе, для исполнения полномочий органов местного самоуправления, участвующих в предоставлении муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг. Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом (ст. 7 Федерального закона "О персональных данных"). В силу положений ст. 9 Федерального закона «О персональных данных», оператор персональных данных разрабатывает согласие на обработку персональных данных. Согласно положений ст. 18.1 Федерального закона «О персональных данных» оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам относятся: 1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных; 2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений; 3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона; 4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора; 5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом; 6) ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Для операторов, являющихся муниципальными органами перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами установлен постановлением Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами». Так, операторы, являющиеся муниципальными органами, принимают следующие меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами: а) назначают ответственного за организацию обработки персональных данных в муниципальном органе из числа муниципальных служащих и (или) работников указанного органа, замещающих должности, не являющиеся должностями муниципальной службы, на основании трудового договора (далее - служащие); б) утверждают актом руководителя муниципального органа следующие документы: -правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований; - правила рассмотрения запросов субъектов персональных данных или их представителей; -правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами оператора; - правила работы с обезличенными данными в случае обезличивания персональных данных; - перечень информационных систем персональных данных; - перечни персональных данных, обрабатываемых в муниципальном органе в связи с реализацией служебных или трудовых отношений, а также в связи с оказанием муниципальных услуг и осуществлением муниципальных функций; - перечень должностей служащих муниципального органа, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, в случае обезличивания персональных данных; - перечень должностей служащих муниципального органа, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным; - должностной регламент (должностные обязанности) или должностная инструкция ответственного за организацию обработки персональных данных в муниципальном органе; - типовое обязательство служащего муниципального органа, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта (контракта) или трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей; - типовая форма согласия на обработку персональных данных служащих муниципального органа, иных субъектов персональных данных, а также типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные; - порядок доступа служащих муниципального органа в помещения, в которых ведется обработка персональных данных; в) при эксплуатации информационных систем персональных данных в случае, если муниципальный орган является оператором таких информационных систем, принимают правовые, организационные и технические меры по обеспечению безопасности персональных данных при их обработке, предусмотренные соответствующими нормативными правовыми актами, для выполнения установленных Правительством Российской Федерации требований к защите персональных данных при их обработке, исполнение которых обеспечивает установленные уровни защищенности персональных данных; г) при обработке персональных данных, осуществляемой без использования средств автоматизации, выполняют требования, установленные постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»; д) в целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям организуют проведение периодических проверок условий обработки персональных данных в муниципальном органе. Проверки осуществляются ответственным за организацию обработки персональных данных в муниципальном органе либо комиссией, образуемой руководителем муниципального органа. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, руководителю муниципального органа докладывает ответственный за организацию обработки персональных данных в муниципальном органе либо председатель комиссии; е) осуществляют ознакомление служащих муниципального органа, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), локальными актами по вопросам обработки персональных данных и (или) организуют обучение указанных служащих; ж) уведомляют уполномоченный орган по защите прав субъектов персональных данных об обработке (намерении осуществлять обработку) персональных данных, за исключением случаев, установленных Федеральным законом "О персональных данных"; з) в случаях, установленных нормативными правовыми актами Российской Федерации, в соответствии с требованиями и методами, установленными уполномоченным органом по защите прав субъектов персональных данных, осуществляют обезличивание персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ. Документы, определяющие политику в отношении обработки персональных данных, подлежат опубликованию на официальном сайте муниципального органа в течение 10 дней после их утверждения. В нарушение ст. 18.41 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», постановления Правительства Российской Федерации от 21.03.2012 № 211 (ред. от 15.04.2019) «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", администрациями сельсоветов не разработаны и не утверждены: - правила рассмотрения запросов субъектов персональных данных или их представителей; -правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами оператора; - правила работы с обезличенными данными в случае обезличивания персональных данных; - перечень информационных систем персональных данных; - перечни персональных данных, обрабатываемых в муниципальном органе в связи с реализацией служебных или трудовых отношений, а также в связи с оказанием муниципальных услуг и осуществлением муниципальных функций; - перечень должностей служащих муниципального органа, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, в случае обезличивания персональных данных; -перечень должностей служащих муниципального органа, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным; -должностной регламент (должностные обязанности) или должностная инструкция ответственного за организацию обработки персональных данных в муниципальном органе; -типовое обязательство служащего муниципального органа, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта (контракта) или трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей; -порядок доступа служащих муниципального органа в помещения, в которых ведется обработка персональных данных. Не осуществление мероприятий в сфере обеспечения работы с персональными данными создает риск их неправомерного использования, нарушения конфиденциальности и причинения вреда субъектам персональных данных. В силу ч.1 ст.39 КАС РФ прокурор вправе обратиться в суд с административным исковым заявлением в защиту прав, свобод и законных интересов граждан, неопределенного круга лиц или интересов Российской Федерации, субъектов Российской Федерации, муниципальных образований, а также в других случаях, предусмотренных федеральными законами. При таких обстоятельствах, исковые требования прокурора являются законными обоснованными и подлежащими удовлетворению. Руководствуясь статьями 175-180 КАС РФ суд Исковые требования прокурора Пономаревского района Оренбургской области удовлетворить. Обязать администрацию муниципального образования Софиевский сельсовет Пономаревского района, администрацию муниципального образования Деминский сельсовет Пономаревского района, в течение 2 месяцев со дня вступления решения суда в законную силу разработать и утвердить следующие документы: -правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а так же определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки обработки и хранения, порядок уничтожения при достижении целей обработки или наступлении иных законных оснований. - правила рассмотрения запросов субъектов персональных данных или их представителей; -правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и локальными актами оператора; - правила работы с обезличенными данными в случае обезличивания персональных данных; - перечень информационных систем персональных данных; - перечни персональных данных, обрабатываемых в муниципальном органе в связи с реализацией служебных или трудовых отношений, а также в связи с оказанием муниципальных услуг и осуществлением муниципальных функций; - перечень должностей служащих муниципального органа, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, в случае обезличивания персональных данных; - перечень должностей служащих муниципального органа, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным; - должностной регламент (должностные обязанности) или должностная инструкция ответственного за организацию обработки персональных данных в муниципальном органе; -типовое обязательство служащего муниципального органа, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта (контракта) или трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей; -типовая форма согласия на обработку персональных данных служащих муниципального органа, иных субъектов персональных данных, а так же типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные; - порядок доступа служащих муниципального органа в помещения, в которых ведется обработка персональных данных; -опубликовать документы, определяющие политику в отношении обработки персональных данных, на официальном сайте администрации в сети «Интернет», в сроки, установленные постановлением Правительства РФ от 21.03.2012 № 211 (ред. от 15.04.2019) «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами». Решение может быть обжаловано в апелляционном порядке в Оренбургский областной суд через Пономаревский районный суд Оренбургской области в течение месяца со дня изготовления решения в окончательной форме. Судья О.В. Щепина В окончательной форме решение изготовлено 02 декабря 2019 года. Судья О.В. Щепина Суд:Пономаревский районный суд (Оренбургская область) (подробнее)Судьи дела:Щепина О.В. (судья) (подробнее) |
