СудАкт: Судебные и нормативные акты РФСудебные и нормативные акты РФ
 
СудАкт в соцсетях
 
 

Решение № 2-294/2024 2-294/2024~М-197/2024 М-197/2024 от 4 сентября 2024 г. по делу № 2-294/2024

Вачский районный суд (Нижегородская область) - Гражданское


Дело № 2 -294/ 2024

УИД 52RS0025-01-2024-000326-19

ЗАОЧНОЕ
РЕШЕНИЕ


ИМЕНЕМ РОССИЙСКОЙ ФЕДЕРАЦИИ

Решение в окончательной форме принято 5 сентября 2024 года

р.п. Вача 29 августа 2024 года

Вачский районный суд Нижегородской области в составе председательствующего судьи Бариновой Н.С.,

при секретаре Сентябревой Я.А.,

с участием представителя процессуального истца зам. прокурора Вачского района Нижегородской области Владимировой С.С.,

рассмотрев в открытом судебном заседании гражданское дело по исковому заявлению Прокурора Вачского района Нижегородской области, действующего в интересах неопределенного круга лиц к ГБУЗ Нижегородской области «Вачская ЦРБ» об обязании в течение одного месяца со дня вступления решения суда в законную силу принять меры, направленные на соблюдение законодательства в сфере защиты информации и в сфере защиты персональных данных,

УСТАНОВИЛ:


Прокурор Вачского района Нижегородской области обратился в суд с иском в интересах неопределенного круга лиц к ГБУЗ Нижегородской области «Вачская ЦРБ» об обязании в течение одного месяца со дня вступления решения суда в законную силу принять меры, направленные на соблюдение законодательства в сфере защиты информации и в сфере защиты персональных данных, указывая на то, что прокуратурой Вачского района по поручению прокуратуры области проведена проверка исполнения законодательства в сфере защиты информации и персональных данных, а также в сфере реализации национального проекта «Здравоохранение».

Пути реализации в России мероприятий по становлению и развитию цифровой экономики определены в Указе Президента РФ от 9 мая 2017 года № 203 «О Стратегии развития информационного общества в Российской Федерации на 2017-2030 годы» и в Паспорте национальной программы «Цифровая экономика Российской Федерации», утверждённом президиумом Совета при Президенте РФ по стратегическому развитию и национальным проектам 24 декабря 2018 года.

Целями реализации Федерального проекта «Цифровое государственное управление» национальной программы «Цифровая экономика в Российской Федерации» являются предоставление гражданам и организациям доступа к приоритетным государственным, муниципальным услугам и сервисам в цифровом виде, создание национальной системы управления данными, развитие инфраструктуры электронного правительства, внедрение сквозных платформенных решений в государственное управление, создание безопасной информационно-телекоммуникационной инфраструктуры высокоскоростной передачи, обработки и хранения больших объемов данных, доступной для всех организаций.

Реализация Федерального проекта «Цифровое государственное управление» национальной программы «Цифровая экономика в Российской Федерации» неизбежно затрагивает вопросы деятельности учреждений, оказывающих муниципальные услуги гражданам, организациям и требует прежде всего приведения нормативных правовых актов в соответствие с существующим нормативным регулированием в сфере цифровой экономики.

В рамках реализации национального проекта предусмотрено направление «Информационная безопасность». В результате реализации мер, предусмотренных данным направлением, должны быть обеспечены устойчивость и безопасность информационной инфраструктуры.

Целью Стратегии развития здравоохранения в Российской Федерации на период до 2025 года, утвержденной Указом Президента Российской Федерации от 06.06.2019 № 254, в числе иных является создание единого цифрового контура в здравоохранении на основе единой государственной информационной системы здравоохранения (ЕГИСЗ).

В соответствии с паспортом по реализации национального проекта «Здравоохранение», утвержденного президиумом Совета при Президенте РФ по стратегическому развитию и национальным проектам, протокол от 24.12.2018 № 16, в структуру национального проекта входит федеральный проект «Создание единого цифрового контура в здравоохранении на основе единой государственной информационной системы здравоохранения (ЕГИСЗ)».

Информация, содержащаяся в информационных системах участников взаимодействия с ЕГИСЗ, подлежит защите в соответствии с законодательством Российской Федерации об информации, информационных технологиях и о защите информации, законодательством Российской Федерации в области охраны здоровья граждан и законодательством Российской Федерации в области персональных данных.

В ч. 1 ст. 91.1 Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» определено, что в целях обеспечения доступа граждан к услугам в сфере здравоохранения в электронной форме, а также взаимодействия информационных систем в сфере здравоохранения уполномоченным федеральным органом исполнительной власти создается, развивается и эксплуатируется единая государственная информационная система в сфере здравоохранения.

Приказом ФСТЭК России от 11.02.2013 № 17 утверждены Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах (далее – Требования).

В соответствии с п. 18.1 Требований, в ходе планирования мероприятий по защите информации в информационной системе осуществляются разработка, утверждение и актуализация плана мероприятий по защите информации в информационной системе; определение порядка контроля выполнения мероприятий по обеспечению защиты информации в информационной системе, предусмотренных утвержденным планом.

Действующими локальными нормативными актами в ГБУЗ НО «Вачская ЦРБ» не утвержден План мероприятий по обеспечению защиты информации, сведения о его исполнении, актуализации и контроле исполнения отсутствуют.

В силу п. 18.6 Требований в ходе информирования и обучения персонала информационной системы осуществляются:

информирование персонала информационной системы о появлении актуальных угрозах безопасности информации, о правилах безопасной эксплуатации информационной системы;

доведение до персонала информационной системы требований по защите информации, а также положений организационно-распорядительных документов по защите информации с учетом внесенных в них изменений;

обучение персонала информационной системы правилам эксплуатации отдельных средств защиты информации;

проведение практических занятий и тренировок с персоналом информационной системы по блокированию угроз безопасности информации и реагированию на инциденты;

контроль осведомленности персонала информационной системы об угрозах безопасности информации и уровня знаний персонала по вопросам обеспечения защиты информации.

Периодичность проведения практических занятий и тренировок с персоналом, мероприятий по обучению персонала и контролю осведомленности персонала устанавливается оператором в организационно-распорядительных документах по защите информации с учетом особенностей функционирования информационной системы, но не реже 1 раза в два года.

Указанные мероприятия по обучению персонала информационных систем в ГБУЗ НО «Вачская ЦРБ» не проводятся, учет указанных мероприятий не ведется.

Согласно ст. 3 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» (далее – Федеральный закон №152-ФЗ оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными; оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

В соответствии с п. 5 ч. 2 ст. 19 Федерального закона №152-ФЗ, обеспечение безопасности персональных данных достигается, в частности, учетом машинных носителей персональных данных.

Кроме того, пп. 5 п. 6.2.3.2 Политики в отношении обработки персональных данных в ГБУЗ НО «Вачская ЦРБ», утвержденной главным врачом 29 декабря 2023 г. (далее – Политика), предусмотрен учет машинных носителей персональных данных.

Однако, указанный учет в учреждении не осуществляется.

Согласно ч. 1 ст. 18.1 Федерального закона №152-ФЗ, оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. К таким мерам, в частности, относятся:

4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных требованиям к защите персональных данных, Политике, локальным актам учреждения;

5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных», соотношение указанного вреда и принимаемых мер;

6) ознакомление сотрудников учреждения, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, Политикой, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных сотрудников.

Аналогичные положения отражены в п. 6.2.2.1 Политики, при этом, указанные меры фактически в ГБУЗ НО «Вачская ЦРБ» не реализуются: отсутствуют журналы осуществления внутреннего контроля и аудита; отсутствуют сведения о проводимой оценке вреда; учет ознакомления сотрудников с положениями законодательства о персональных данных не ведется.

Прокуратурой Вачского района в адрес главного врача ГБУЗ НО «Вачская ЦРБ» вносилось представление с целью устранения выявленных нарушений законодательства в сфере защиты информации и персональных данных, которое в части указанных выше нарушений не было исполнено.

Несоблюдение ГБУЗ НО «Вачская ЦРБ» требований по защите информации и персональных данных нарушает права граждан; круг лиц, права которых нарушаются, является неопределенным.

В данном судебном заседании представитель процессуального истца зам. прокурора Вачского района Владимирова С.С., исковые требования поддержала в полном объеме, ссылаясь на доводы, изложенные в иске. Просила: Обязать государственное бюджетное учреждение здравоохранения Нижегородской области «Вачская центральная районная больница» в течение 1 месяца со дня вступления решения суда в законную силу:

1) принять меры, направленные на соблюдение законодательства в сфере защиты информации, а именно:

разработать и утвердить план по защите информации в информационных системах, определить порядок контроля выполнения мероприятий по обеспечению защиты информации в информационной системе, предусмотренных утвержденным планом;

организовать информирование персонала информационной системы о правилах безопасной эксплуатации информационных систем;

довести до персонала информационной системы требования по защите информации, а также положений организационно-распорядительных документов по защите информации с учетом внесенных в них изменений;

организовать обучение персонала информационной системы правилам эксплуатации отдельных средств защиты информации;

организовать проведение практических занятий и тренировок с персоналом информационной системы по блокированию угроз безопасности информации и реагированию на инциденты;

организовать контроль осведомленности персонала информационной системы об угрозах безопасности информации и уровня знаний персонала по вопросам обеспечения защиты информации.

2) принять меры, направленные на соблюдение законодательства в сфере защиты персональных данных, а именно:

организовать внутренний контроль и аудит соответствия обработки персональных данных требованиям к защите персональных данных, Политике, локальным актам учреждения;

организовать оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных», соотношение указанного вреда и принимаемых мер;

ознакомить сотрудников учреждения, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, Политикой, локальными актами по вопросам обработки персональных данных, и организовать обучение указанных сотрудников;

организовать учет машинных носителей персональных данных.

Ответчик о времени и месте рассмотрения дела извещенный надлежащим образом, в судебное заседание не вился.

Согласно ч. 1 ст. 233 ГПК РФ, в случае неявки в судебное заседание ответчика, извещенного о времени и месте судебного заседания, не сообщившего об уважительных причинах неявки и не просившего о рассмотрении дела в его отсутствие, дело может быть рассмотрено в порядке заочного производства. О рассмотрении дела в таком порядке суд выносит определение.

Выслушав пояснения процессуального истца, установив юридически значимые для разрешения спора обстоятельства, исследовав и оценив в совокупности доказательства по своему внутреннему убеждению, основанному на всестороннем, полном, объективном и непосредственном исследовании имеющихся по делу доказательств в соответствии со ст. ст. 67,71 ГПК РФ, суд приходит к следующим выводам.

Пути реализации в России мероприятий по становлению и развитию цифровой экономики определены в Указе Президента РФ от 9 мая 2017 года № 203 «О Стратегии развития информационного общества в Российской Федерации на 2017-2030 годы» и в Паспорте национальной программы «Цифровая экономика Российской Федерации», утверждённом президиумом Совета при Президенте РФ по стратегическому развитию и национальным проектам 24 декабря 2018 года.

Целями реализации Федерального проекта «Цифровое государственное управление» национальной программы «Цифровая экономика в Российской Федерации» являются предоставление гражданам и организациям доступа к приоритетным государственным, муниципальным услугам и сервисам в цифровом виде, создание национальной системы управления данными, развитие инфраструктуры электронного правительства, внедрение сквозных платформенных решений в государственное управление, создание безопасной информационно-телекоммуникационной инфраструктуры высокоскоростной передачи, обработки и хранения больших объемов данных, доступной для всех организаций.

Реализация Федерального проекта «Цифровое государственное управление» национальной программы «Цифровая экономика в Российской Федерации» неизбежно затрагивает вопросы деятельности учреждений, оказывающих муниципальные услуги гражданам, организациям и требует прежде всего приведения нормативных правовых актов в соответствие с существующим нормативным регулированием в сфере цифровой экономики.

В рамках реализации национального проекта предусмотрено направление «Информационная безопасность». В результате реализации мер, предусмотренных данным направлением, должны быть обеспечены устойчивость и безопасность информационной инфраструктуры.

Целью Стратегии развития здравоохранения в Российской Федерации на период до 2025 года, утвержденной Указом Президента Российской Федерации от 06.06.2019 № 254, в числе иных является создание единого цифрового контура в здравоохранении на основе единой государственной информационной системы здравоохранения (ЕГИСЗ).

В соответствии с паспортом по реализации национального проекта «Здравоохранение», утвержденного президиумом Совета при Президенте РФ по стратегическому развитию и национальным проектам, протокол от 24.12.2018 № 16, в структуру национального проекта входит федеральный проект «Создание единого цифрового контура в здравоохранении на основе единой государственной информационной системы здравоохранения (ЕГИСЗ)».

Информация, содержащаяся в информационных системах участников взаимодействия с ЕГИСЗ, подлежит защите в соответствии с законодательством Российской Федерации об информации, информационных технологиях и о защите информации, законодательством Российской Федерации в области охраны здоровья граждан и законодательством Российской Федерации в области персональных данных.

В ч. 1 ст. 91.1 Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» определено, что в целях обеспечения доступа граждан к услугам в сфере здравоохранения в электронной форме, а также взаимодействия информационных систем в сфере здравоохранения уполномоченным федеральным органом исполнительной власти создается, развивается и эксплуатируется единая государственная информационная система в сфере здравоохранения.

Приказом ФСТЭК России от 11.02.2013 № 17 утверждены Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах (далее – Требования).

В соответствии с п. 18.1 Требований, в ходе планирования мероприятий по защите информации в информационной системе осуществляются разработка, утверждение и актуализация плана мероприятий по защите информации в информационной системе; определение порядка контроля выполнения мероприятий по обеспечению защиты информации в информационной системе, предусмотренных утвержденным планом.

Судом установлено, что действующими локальными нормативными актами в ГБУЗ НО «Вачская ЦРБ» не утвержден План мероприятий по обеспечению защиты информации, сведения о его исполнении, актуализации и контроле исполнения, отсутствуют.

В силу п. 18.6 Требований в ходе информирования и обучения персонала информационной системы осуществляются:

информирование персонала информационной системы о появлении актуальных угрозах безопасности информации, о правилах безопасной эксплуатации информационной системы;

доведение до персонала информационной системы требований по защите информации, а также положений организационно-распорядительных документов по защите информации с учетом внесенных в них изменений;

обучение персонала информационной системы правилам эксплуатации отдельных средств защиты информации;

проведение практических занятий и тренировок с персоналом информационной системы по блокированию угроз безопасности информации и реагированию на инциденты;

контроль осведомленности персонала информационной системы об угрозах безопасности информации и уровня знаний персонала по вопросам обеспечения защиты информации.

Периодичность проведения практических занятий и тренировок с персоналом, мероприятий по обучению персонала и контролю осведомленности персонала устанавливается оператором в организационно-распорядительных документах по защите информации с учетом особенностей функционирования информационной системы, но не реже 1 раза в два года.

Указанные мероприятия по обучению персонала информационных систем в ГБУЗ НО «Вачская ЦРБ» не проводятся, учет указанных мероприятий не ведется.

Согласно ст. 3 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» (далее – Федеральный закон №152-ФЗ оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными; оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

В соответствии с п. 5 ч. 2 ст. 19 Федерального закона №152-ФЗ, обеспечение безопасности персональных данных достигается, в частности, учетом машинных носителей персональных данных.

Кроме того, пп. 5 п. 6.2.3.2 Политики в отношении обработки персональных данных в ГБУЗ НО «Вачская ЦРБ», утвержденной главным врачом 29 декабря 2023 г. (далее – Политика), предусмотрен учет машинных носителей персональных данных.

Однако, как установлено судом, указанный учет в учреждении не осуществляется.

Согласно ч. 1 ст. 18.1 Федерального закона №152-ФЗ, оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. К таким мерам, в частности, относятся:

4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных требованиям к защите персональных данных, Политике, локальным актам учреждения;

5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных», соотношение указанного вреда и принимаемых мер;

6) ознакомление сотрудников учреждения, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, Политикой, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных сотрудников.

Аналогичные положения отражены в п. 6.2.2.1 Политики, при этом, указанные меры фактически в ГБУЗ НО «Вачская ЦРБ» не реализуются: отсутствуют журналы осуществления внутреннего контроля и аудита; отсутствуют сведения о проводимой оценке вреда; учет ознакомления сотрудников с положениями законодательства о персональных данных не ведется.

Доказательств обратного материалы дела не содержат и ответчиком таковых не представлено.

Прокуратурой Вачского района в адрес главного врача ГБУЗ НО «Вачская ЦРБ» вносилось представление с целью устранения выявленных нарушений законодательства в сфере защиты информации и персональных данных, которое в части указанных выше нарушений не было исполнено.

Исходя из установленных по делу обстоятельств и приведенных норм права, суд приходит к выводу, что заявленные требования прокурора являются обоснованными и подлежащими удовлетворению.

На основании изложенного, и, руководствуясь ст. ст. 194-199 ГПК РФ, суд

р е ш и л :


Исковые требования Прокурора Вачского района Нижегородской области, действующего в интересах неопределенного круга лиц к ГБУЗ Нижегородской области «Вачская ЦРБ» об обязании в течение одного месяца со дня вступления решения суда в законную силу принять меры, направленные на соблюдение законодательства в сфере защиты информации и в сфере защиты персональных данных, удовлетворить.

Обязать государственное бюджетное учреждение здравоохранения Нижегородской области «Вачская центральная районная больница» в течение 1 месяца со дня вступления решения суда в законную силу:

1) принять меры, направленные на соблюдение законодательства в сфере защиты информации, а именно:

разработать и утвердить план по защите информации в информационных системах, определить порядок контроля выполнения мероприятий по обеспечению защиты информации в информационной системе, предусмотренных утвержденным планом;

организовать информирование персонала информационной системы о правилах безопасной эксплуатации информационных систем;

довести до персонала информационной системы требования по защите информации, а также положений организационно-распорядительных документов по защите информации с учетом внесенных в них изменений;

организовать обучение персонала информационной системы правилам эксплуатации отдельных средств защиты информации;

организовать проведение практических занятий и тренировок с персоналом информационной системы по блокированию угроз безопасности информации и реагированию на инциденты;

организовать контроль осведомленности персонала информационной системы об угрозах безопасности информации и уровня знаний персонала по вопросам обеспечения защиты информации.

2) принять меры, направленные на соблюдение законодательства в сфере защиты персональных данных, а именно:

организовать внутренний контроль и аудит соответствия обработки персональных данных требованиям к защите персональных данных, Политике, локальным актам учреждения;

организовать оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных», соотношение указанного вреда и принимаемых мер;

ознакомить сотрудников учреждения, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, Политикой, локальными актами по вопросам обработки персональных данных, и организовать обучение указанных сотрудников;

организовать учет машинных носителей персональных данных.

Ответчик вправе подать в суд, принявший заочное решение, заявление об отмене этого решения суда в течение семи дней со дня вручения ему копии этого решения.

Срок обжалования заочного решения в апелляционном порядке в Нижегородский областной суд через Вачский районный суд - Ответчиком в течение одного месяца со дня вынесения определения суда об отказе в удовлетворении заявления об отмене этого решения суда. Иными лицами, участвующими в деле, а также лицами, которые не были привлечены к участию в деле и вопрос о правах и об обязанностях которых был разрешен судом, заочное решение суда может быть обжаловано в апелляционном порядке в течение одного месяца по истечении срока подачи ответчиком заявления об отмене этого решения суда, а в случае, если такое заявление подано, - в течение одного месяца со дня вынесения определения суда об отказе в удовлетворении этого заявления.

Судья Н. С. Баринова



Суд:

Вачский районный суд (Нижегородская область) (подробнее)

Судьи дела:

Баринова Наталья Сергеевна (судья) (подробнее)

Последние документы по делу:

Решение от 22 октября 2024 г. по делу № 2-294/2024
Решение от 5 сентября 2024 г. по делу № 2-294/2024
Решение от 4 сентября 2024 г. по делу № 2-294/2024
Решение от 18 июля 2024 г. по делу № 2-294/2024
Решение от 19 мая 2024 г. по делу № 2-294/2024
Решение от 21 февраля 2024 г. по делу № 2-294/2024
Показать все документы по этому делу


 
 
 
 
наверх
Все права защищены © 2012-2026
«Судебные и нормативные акты РФ»
Email для связи
О проекте | Политика в отношении обработки ПД