Защита информационных систем обработки персональных данных

1380889_26562260_eОбеспечение безопасности персональных данных при их автоматизированной обработке включает в себя выполнение комплекса организационных и технических мероприятий (применения технических средств), в рамках системы (подсистемы) защиты персональных данных, развертываемой в ИСПДн (информационная система обработки персональных данных) в процессе ее создания или модернизации. Обоснование комплекса мероприятий и требований по обеспечению безопасности проводится с учетом результатов оценки опасности угроз и определения уровня защищенности ПДн и в соответствии с нормативными и методическими документами уполномоченных федеральных органов исполнительной власти. Как правило, данные работы успешно выполняют лицензиаты ФСТЭК России и ФСБ России.

Типовое содержание работ на стадиях проектирования и создания систем защиты персональных данных ИСПДн и требования изложены в документах:

  • ГОСТ 51583-2000. «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения»;
  • Приказ ФСТЭК России от 18.02.2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
  • Постановление Правительства РФ «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 1 ноября 2012 г. № 1119.
  • Специальные требования и рекомендации по технической защите конфиденциальной информации (Утверждены приказом Гостехкомиссии России от 30 августа 2002 г. № 282);
  • Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (Утверждены руководством 8 Центра ФСБ России 21 февраля 2008 года № 149/6/6-622) и в других руководящих и нормативных документах;
  • Приказ ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».

На рисунке № 1 представлен вариант регламента по созданию системы защиты персональных данных ИСПДн. Работы, приведённые в регламенте, можно разделить на две основные категории, а именно: организационное обеспечение информационной безопасности и внедрение технических мер защиты. Очевидно, что основой в обеспечении информационной безопасности персональных данных является организационное обеспечение.

В соответствии с приведённым регламентом работа по созданию системы защиты персональных данных или приведению уже существующей системы в соответствие с требованиями действующего законодательства предлагаем проводить в три этапа:

  1. Анализ защищаемых активов (технические средства обработки и обрабатываемые персональные данные) и оценка угроз безопасности персональных данных (ПДн).
  2. Проектирование и создание системы защиты персональных данных (СЗПДн).
  3. Оценка соответствия ИСПДн требованиям безопасности информации.

Первый этап является очень важным, так как он во многом определяет силы и средства, привлекаемые для реализации этапа проектирования и создания СЗПДн, и необходимость проведения оценки соответствия ИСПДн требованиям безопасности информации.

С целью систематизации проводимых работ для сложных ИСПДн (распределенных; имеющих большое количество рабочих станций; с разветвленной топологией) первый этап предлагается разделить на три подэтапа или выделить в три самостоятельных этапа:

  1. Предпроектное обследование.
  2. Установления уровня защищённости ПДн.
  3. Разработка технического задания (ТЗ).

ЭТАП 1. Приказом по организации назначить подразделение или лицо ответственное за обеспечение безопасности ПДн при обработки их в ИСПДн и образовать комиссию с целью сбора и оценки сведений об ИСПДн. В соответствии со статьей 22.1 Федерального закона от 27 июля 2006 г. 152-ФЗ «О персональных данных» назначить лицо, ответственное за организацию обработки персональных данных в организации.

Председателем комиссии целесообразно назначить кого – либо из первых заместителей руководителя организации, начальника службы безопасности организации или руководителя кадровой службы организации. В состав комиссии рекомендуется включить главного бухгалтера, руководителей подразделений, обрабатывающих персональные данные, представителей кадровой службы, специалистов (инженеров) по компьютерным технологиям, а также сотрудников, отвечающих за безопасность персональных данных при их обработке в ИСПДн. В состав комиссии на договорной основе можно включить сотрудников со специальным образованием в области защиты информации организаций, имеющих лицензию на деятельность по технической защите конфиденциальной информации. Целью работы комиссии является определение защищаемых активов, а именно: технических средств обработки информации; перечня ПДн; применяемых средств защиты информации; используемых телекоммуникаций; систем обеспечения электропитания и заземления; персонала, имеющего доступ к защищаемым активам.

pd1

Рисунок 1

Результатом работы данной комиссии должна быть разработка проектов документов и сбор материалов для описания ИСПДн:

  1. Перечень ПДн, обрабатываемых в ИСПДн, и степень их конфиденциальности;
  2. Технический паспорт, в котором указано:
    • расположение ИСПДн относительно границ контролируемой зоны;
    • конфигурация и топология ИСПДн в целом и ее отдель­ных компонент;
    • физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назна­чения;
    • технические средства и системы, предполагаемые к ис­пользованию в разрабатываемой ИСПДн, условия их расположения, обще­системные и прикладные программные средства, имеющиеся и предлагаемые к разработке;
    • режимы обработки ПДн в ИСПДн в целом и в отдельных компонентах.
  3. Степень участия персонала в обработке ПДн, характер их взаимодействия между собой (матрица доступа).

ЭТАП 2. Этап, на котором устанавливается уровень защищённости ПДн, может быть совмещен с этапом проведения предпроектного обследования. Однако мы рекомендуем классификацию провести после анализа и изучения материалов 1 этапа. Это обусловлено тем, что присвоенный уровень защищенности ПДн ИСПДн является основой для выработки требований к создаваемой системе защиты персональных данных и в дальнейшем существенно определяет материальные затраты, необходимые для реализации этих требований.

Результаты проведения классификации оформляются актом. Форма акта нормативно-методическими документами не установлена. Акт классификации составляется по форме, принятой в организации. В нем отражаются следующие параметры об ИСПДн:

  • Категория, обрабатываемых персональных данных
  • Тип информационной системы
  • Значение объема обрабатываемых персональных данных в ИСПДн
  • Тип актуальных угроз ИСПДн
  • Структура ИСПДн (количество автоматизированных рабочих мест, серверов, входящих в состав ИСПДн)

Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится Оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона «О персональных данных», и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона «О персональных данных». Модель угроз формируется исходя из конкретных условий функционирования ИСПДн. Методическими документами для разработки являются:

  • «Базовая модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных», утверждена заместителем директора ФСТЭК России 15 февраля 2008 г.
  • «Методика определения актуальных угроз безопасности персональных данных при их обработке в ИСПДн», утверждена заместителем директора ФСТЭК России 14 февраля 2008 г.
  • Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утвержденные руководством 8 Центра ФСБ России от 21 февраля 2008 г. № 149/54-144.

Модель угроз позволяет выявить актуальные угрозы безопасности и сориентировать на них систему защиты. Неактуальные угрозы в дальнейшем могут не рассматриваются.

Оценка актуальности той или иной угрозы определяется в зависимости от значения показателя опасности угрозы и от возможности ее реализации. Квалифицированное составление модели угроз имеет большое значение для организации. Именно от этого зависит выбор необходимых и достаточных способов защиты информационной системы, подбор средств защиты информации, а, следовательно, конечная стоимость всех работ по обеспечению безопасности персональных данных.

По результатам анализа вышеприведенных данных информационной системе в соответствии с требованиями Постановления Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» присваивается один из уровней защищенности ПДн: первый, второй, третий, четвертый. При присвоении уровня защищенности ИСПДн рекомендуется указывать режимы обработки персональных данных и разграничения прав доступа, наличие подключений ИСПДн к сетям общего пользования.

Условия установления уровня защищённости приведены в таблице № 1.

Таблица 1. Определение уровня защищенности ИСПДн

Уровень защищенности ПДн Тип актуальных угроз Категория ПДн Принадлежность ПДн Объем
1 1 – угрозы наличия недекларированных возможностей в системном ПО Специальные
Биометрические
Иные
2 – угрозы наличия недекларированных возможностей в прикладном ПО Специальные субъекты, не являющиеся сотрудниками оператора >100 000
2 1 – угрозы наличия недекларированных возможностей в системном ПО Общедоступные
2 – угрозы наличия недекларированных возможностей в прикладном ПО Специальные субъекты, являющиеся сотрудниками оператора
Специальные субъекты, не являющиеся сотрудниками оператора <100 000
Биометрические
Общедоступные субъекты, не являющиеся сотрудниками оператора >100 000
Иные субъекты, не являющиеся сотрудниками оператора > 100 000
3 – угрозы, не связанные с наличием недекларированных возможностей в прикладном и системном ПО Специальные субъекты, не являющиеся сотрудниками оператора > 100 000
3 2 – угрозы наличия недекларированных возможностей в прикладном ПО Общедоступные субъекты, являющиеся сотрудниками оператора
Общедоступные субъекты, не являющиеся сотрудниками оператора < 100 000
Иные субъекты, являющиеся сотрудниками оператора
Иные субъекты, не являющиеся сотрудниками оператора < 100 000
3 – угрозы, не связанные с наличием недекларированных возможностей в прикладном и системном ПО Специальные субъекты, являющиеся сотрудниками оператора
Специальные субъекты, не являющиеся сотрудниками оператора < 100 000
Биометрические
Иные субъекты, не являющиеся сотрудниками оператора > 100 000
4 3 – угрозы, не связанные с наличием недекларированных возможностей в прикладном и системном ПО Общедоступные
Иные субъекты, являющиеся сотрудниками оператора
Иные субъекты, не являющиеся сотрудниками оператора < 100 000

ЭТАП 3. На третьем этапе разрабатываются требования по обеспечению безопасности ПДн при обработке в ИСПДн. Рекомендуется привлекать специализированные организации, имеющие лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации. Мероприятия (требования) по техническому обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются в соответствии с уровнем защищённости ПДн. Данные мероприятия определены в методических документах ФСТЭК России и ФСБ России.

Результатами данного этапа является выработка требований к системе защиты персональных данных. Эти требования могут быть изложены в виде технического задания на разработку системы защиты персональных данных.

ЭТАП 4. На этапе проектирования и создания системы защиты ПДн проводятся мероприятия по разработке технического проекта на ИСПДн в части защиты информации, установка и настройка в соответствии с проектом сертифицированных технических, программных и про­граммно-технических средств защиты информации, разработка и реализация разрешительной системы доступа пользовате­лей к обрабатываемой на ИСПДн информации, определение подразделений и назначение лиц, ответственных за экс­плуатацию средств защиты информации с их обучением по направлению обеспечения безопасности ПДн, разработка эксплуатационной документации на ИСПДн, а также организационно-распорядительной документа­ции системы менеджмента информационной безопасностью (приказов, инструкций и других документов).

В ходе выполнения работ формируется вся необходимая техническая и организационно — распорядительная документация. Минимальный комплект такой документации должен в себя включать: технический паспорт на ИСПДн, матрицу доступа, «Положение об организации и проведении работ по обеспечению безопасности ПДн при их обработке в ИСПДн», должностные инструкции персоналу ИСПДн в части обеспечения безопасности ПДн при их обработке в ИСПДн, рекомендации по использованию программных и аппаратных средств защиты информации (политика настройки средств защиты информации, установленных в ИСПДн).

При разработке Положения об организации и проведении работ по обеспечению безопасности ПДн при их обработке в ИСПДн рекомендуется учитывать положения и требования стандарта ГОСТ ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Система менеджмента информационной безопасности. Требования». В соответствии со стандартом требуется осуществлять обеспечение информационной безопасности на всех стадиях жизненного цикла самой информационной системы. То есть, это означает создание таких процессов, которыми необходимо постоянно управлять. При этом процессы управления обеспечением информационной безопасности должны являться неотъемлемой составной частью процессов функционирования ИСПДн.

ЭТАП 5. Оценка соответствия требованиям безопасности информации обязательно должна проводиться для ИСПДн, принадлежащих государственным органам, организациям и предприятиям.

При проведении оценки соответствия проводятся следующие испытания:

  • Оценка правильности классификации ИСПДн. Определение опасных факторов и угроз, снижающих уровень защиты.
  • Проверка достаточности представленных документов и соответствия их содержания требованиям по безопасности информации.
  • Проверка соответствия состава и структуры программно-технических средств ИСПДн представленной документации.
  • Оценка соответствия описания технологического процесса обработки и хранения ПДн реальной практике на ИСПДн.
  • Проверка уровня подготовки кадров и распределения ответственности персонала за обеспечение выполнения требований по безопасности информации.
  • Инструментальные испытания эффективности применяемых методов и средств защиты информации от утечки по техническим каналам.
  • Испытание ИСПДн на соответствие требованиям по защите от несанкционированного доступа к информации.

Схематично программа проведения аттестационных испытаний приведена на рисунке 2.

pd2

Рисунок 2

Накопленный опыт по созданию и внедрению систем защиты персональных данных и систем менеджмента информационной безопасностью выявил следующие проблемы:

  • Отсутствие методик оценки ущерба, возникающего вследствие реализации угроз безопасности ПДн, что позволило бы решить вопросы, связанные с компенсацией финансовых потерь от различного рода инцидентов информационной безопасности. Также важное значение приобретает вопрос возмещения ущерба населению при неправомочном использовании персональных данных. Указанные вопросы до настоящего времени не решены и должны решаться с использованием страховых механизмов на основе внедрение управления рисками и страхования ответственности операторов ИСПДн.
  • Отсутствие обязательных требований в нормативных и методических документах уполномоченных федеральных органов исполнительной власти к системам менеджмента информационной безопасностью (например, ISO/IEC 27001:2005).
  • Низкая квалификация персонала, отвечающего за обеспечение информационной безопасности ИСПДн.

В завершение подчеркнем, что обеспечение безопасности персональных данных является не правом организации, а ее обязанностью, установленной Законом «О персональных данных» и регламентированной рядом подзаконных актов. Данный блок нормативных правовых актов призван реализовать конституционные права граждан на неприкосновенность их частной жизни, личную и семейную тайну, закрепленные в ст. 23 Конституции РФ.

Таким образом, несоблюдение организацией требований по обеспечению безопасности персональных данных может повлечь не только ущерб для самой организации, но, в первую очередь, привести к нарушению конституционных прав граждан, повлечь за собой череду гражданско-правовых исков со стороны физических лиц, чьи права могут оказаться нарушенными, и, даже привлечение к административной или уголовной ответственности.

Авторы статьи: А. О. Куприянов, генеральный директор

В.А. Антонова, начальник отдела информационной безопасности
ООО «Научно-технический центр «ВЕЛЕС»

действуетРедакция от 25.07.2011Подробная информация

Наименование документ ФЕДЕРАЛЬНЫЙ ЗАКОН от 27.07.2006 N 152-ФЗ (ред. от 25.07.2011) «О ПЕРСОНАЛЬНЫХ ДАННЫХ»
Вид документа закон
Принявший орган президент рф, гд рф, сф рф
Номер документа 152-ФЗ
Дата принятия 26.01.2007
Дата редакции 25.07.2011
Дата регистрации в Минюсте 01.01.1970
Статус действует
Публикация
  • В данном виде документ опубликован не был
  • Документ в электронном виде ФАПСИ, НТЦ «Система»
  • (в ред. от 27.07.2006 — «Российская газета», N 165, 29.07.2006
  • «Собрание законодательства РФ», 31.07.2006, N 31 (1 ч.), ст. 3451
  • «Парламентская газета», N 126-127, 03.08.2006)
Навигатор Примечания

ФЕДЕРАЛЬНЫЙ ЗАКОН от 27.07.2006 N 152-ФЗ (ред. от 25.07.2011) «О ПЕРСОНАЛЬНЫХ ДАННЫХ»

Статья 6 Условия обработки персональных данных

(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:

1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

3) обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее — исполнение судебного акта);

4) обработка персональных данных необходима для предоставления государственной или муниципальной услуги в соответствии с Федеральным законом от 27 июля 2010 года N 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», для обеспечения предоставления такой услуги, для регистрации субъекта персональных данных на едином портале государственных и муниципальных услуг;

5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

6) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

7) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

8) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;

9) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;

10) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее — персональные данные, сделанные общедоступными субъектом персональных данных);

11) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

2. Особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются соответственно статьями 10 и 11 настоящего Федерального закона.

3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее — поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.

4. Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.

5. В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.

Постановление Верховного Суда РФ от 16.12.2016 N 78-АД16-38Требование: Об отмене постановления о привлечении к ответственности по ст. 17.7 КоАП РФ за невыполнение законных требований должностного лица, осуществляющего производство по делу об административном правонарушении.Решение: Требование удовлетворено в части, поскольку требование о рассмотрении вопроса о привлечении к дисциплинарной ответственности виновных должностных лиц, допустивших нарушения требований федерального законодательства, является правом, а не обязанностью работодателя, производится в законодательно установленном порядке. Содержащееся в представлении заместителя прокурора императивное требование о рассмотрении вопроса о привлечении виновных должностных лиц к дисциплинарной ответственности противоречит нормам действующего законодательства.

В силу статьи 7 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (далее — Закон о персональных данных) операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Определение Верховного Суда РФ от 24.11.2016 N 305-КГ16-16632 по делу N А41-80929/2015Требование: О пересмотре в кассационном порядке судебных актов по делу о признании незаконными действий.Решение: В передаче дела в Судебную коллегию по экономическим спорам ВС РФ отказано, поскольку дело не подлежало рассмотрению в арбитражном суде, в связи с чем суд округа прекратил производство по делу.

Суды первой и апелляционной инстанций, руководствуясь статьями 11, 198, 201 Арбитражного процессуального кодекса Российской Федерации, статьей 7 Федерального закона от 27.06.2006 N 152-ФЗ «О персональных данных», статьями 5, 15 Федерального закона от 22.12.2008 N 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации» отказали в удовлетворении заявленных требований. Суды исходили из того, что ходатайство о проведении закрытого судебного заседания в связи с необходимостью сохранения охраняемой законом тайны в ходе рассмотрения дела предпринимателем не заявлялось, условия отнесения информации о его недвижимом имуществе к охраняемой законом тайне не обосновывалось; действующим законодательством не предусмотрено удаление копий судебных актов, размещенных в электронном виде, а также внесение в них каких-либо исправлений.

Апелляционное определение Верховного Суда РФ от 18.10.2016 N АПЛ16-409Об оставлении без изменения решения Верховного Суда РФ от 18.07.2016 N АКПИ16-421, которым было отказано в удовлетворении заявления о признании частично недействующим приказа Минфина Российской Федерации от 23.09.2015 N 148н «О внесении изменений в приказ Министерства финансов Российской Федерации от 12.11.2013 N 107н».

Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом (статья 7).

Апелляционное определение Верховного Суда РФ от 21.09.2016 N 50-АПГ16-9Об оставлении без изменения решения Омского областного суда от 12.05.2016, которым было отказано в удовлетворении заявления о признании недействующими пункта 2 статьи 5 и статьи 7 Закона Омской области от 27.11.2015 N 1824-ОЗ «Об организации регулярных перевозок пассажиров и багажа автомобильным транспортом и городским наземным электрическим транспортом в муниципальном и межмуниципальном сообщении, водным транспортом в пригородном и межмуниципальном сообщении и железнодорожным транспортом в пригородном сообщении на территории Омской области».

Союз — Некоммерческое партнерство содействия развитию качества и безопасности перевозок «Саморегулируемая организация» «Омские перевозчики» (далее — СНП «СРО «Омские перевозчики») обратилось в суд с заявлением о признании недействующими пункта 2 статьи 5 и статьи 7 Закона Омской области от 27 ноября 2015 года N 1824-ОЗ «Об организации регулярных перевозок пассажиров и багажа автомобильным транспортом и городским наземным электрическим транспортом в муниципальном и межмуниципальном сообщении, водным транспортом в пригородном и межмуниципальном сообщении и железнодорожным транспортом в пригородном сообщении на территории Омской области», ссылаясь на противоречие данных норм пункту 1 статьи 4 Федерального закона от 14 февраля 2009 года N 22-ФЗ «О навигационной деятельности», статье 37 Федерального закона от 13 июля 2015 года N 220-ФЗ «Об организации регулярных перевозок пассажиров и багажа автомобильным транспортом и городским наземным электрическим транспортом в Российской Федерации», статье 7 Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных» и статье 88 Трудового кодекса Российской Федерации, в нарушение требований которых, по мнению административного истца, на перевозчика возложена дополнительная обязанность, не предусмотренная федеральным законодательством по установке на транспортные средства навигационного оборудования и предоставления информации.

Определение Верховного Суда РФ от 11.10.2016 N 307-ЭС16-10608 по делу N А56-63610/2015Требование: О пересмотре в кассационном порядке судебных актов по делу о признании незаконным отказа предоставить формы на граждан, проживающих в корпусах жилого дома.Решение: В передаче кассационной жалобы для рассмотрения в судебном заседании Судебной коллегии по экономическим спорам Верховного Суда РФ отказано, поскольку не доказаны конкурсным управляющим права и наличие оснований для получения истребуемой информации, а также обязанности директора ответчика по удовлетворению такого требования в любом случае.

Отказывая в удовлетворении требований, суды руководствовались статьями 20.3, 126, 129 Федерального закона от 26.10.2002 N 127-ФЗ «О несостоятельности (банкротстве)», статьями 137, 155, 162 Жилищного кодекса Российской Федерации, статьями 2, 3, 6, 7, 9 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» и исходили из недоказанности конкурсным управляющим права и наличия оснований для получения истребуемой информации, а также обязанности директора ответчика по удовлетворению такого требования в любом случае.

Определение Конституционного Суда РФ от 07.07.2016 N 1423-О»Об отказе в принятии к рассмотрению жалобы религиозной организации «Церковь евангельских христиан «Назарет» на нарушение конституционных прав и свобод подпунктом 2 пункта 4 статьи 181.2 Гражданского кодекса Российской Федерации»

Названный Федеральный закон предусматривает, что обработка персональных данных допускается, когда она, в частности, необходима для исполнения полномочий федеральных органов исполнительной власти, участвующих в предоставлении государственных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», и должна осуществляться с соблюдением определенных принципов и правил (часть 1 статьи 6): так, обработке подлежат только персональные данные, которые отвечают целям их обработки; обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки (части 4 — 5 статьи 5); обработка персональных данных специальных категорий, в том числе касающихся религиозных убеждений, не допускается, за исключением ряда случаев, к каковым данный Федеральный закон относит необходимость обработки персональных данных для установления или осуществления прав субъекта таких данных или третьих лиц, а равно в связи с осуществлением правосудия (часть 1 и пункт 6 части 2 статьи 10); операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом (статья 7).

Определение Конституционного Суда РФ от 26.05.2016 N 1158-О»Об отказе в принятии к рассмотрению жалобы гражданки Сазоновой Елены Александровны на нарушение ее конституционных прав статьей 7 Федерального закона «О персональных данных»

1. В своей жалобе в Конституционный Суд Российской Федерации гражданка Е.А. Сазонова оспаривает конституционность статьи 7 Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных», согласно которой операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Постановление Верховного Суда РФ от 04.03.2016 N 307-АД15-18844 по делу N А56-14802/2015Требование: Об отмене постановления о привлечении к ответственности по ч. 6 ст. 19.8 КоАП РФ за непредставление в федеральный антимонопольный орган документов, предусмотренных законодательством о рекламе.Решение: Требование удовлетворено, поскольку отказ оператора связи в предоставлении информации, содержащей персональные данные физического лица, в отсутствие согласия абонента на их обработку и передачу, является правомерным, ответчик не относится к органам, уполномоченным осуществлять оперативно-розыскную деятельность.

Оценив представленные доказательства в их совокупности и взаимной связи, принимая во внимание характер запрошенных антимонопольным органом у общества сведений, отнесенных статьей 53 Закона о связи к категории информации ограниченного доступа, соблюдение конфиденциальности которых является обязательным в соответствии со статьей 9 Федерального закона от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации», а также статьей 7 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», суды пришли к выводу о том, что отказ общества (оператора связи) в предоставлении антимонопольному органу информации, содержащей персональные данные физического лица, в отсутствие согласия абонента на их обработку и передачу, является правомерным.

Определение Конституционного Суда РФ от 28.01.2016 N 100-О»Об отказе в принятии к рассмотрению жалобы гражданина Шалбина Дмитрия Алексеевича на нарушение его конституционных прав статьей 7 Федерального закона «О персональных данных»

1. В своей жалобе в Конституционный Суд Российской Федерации гражданин Д.А. Шалбин оспаривает конституционность статьи 7 Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных», в соответствии с которой операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Определение Конституционного Суда РФ от 22.12.2015 N 2906-О»По жалобе некоммерческой организации «Ассоциация сельских муниципальных образований и городских поселений» на нарушение конституционных прав и свобод частью 2 статьи 6 Федерального закона «О порядке рассмотрения обращений граждан Российской Федерации»

Решением суда общей юрисдикции заявителю было отказано в удовлетворении требований о признании отказа в предоставлении всех материалов, послуживших основанием для проведения проверки, незаконным в полном объеме и об обязании устранить допущенное нарушение. При этом суд руководствовался частью 2 статьи 6 Федерального закона «О порядке рассмотрения обращений граждан Российской Федерации», статьей 7 Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных», а также пунктом 10 постановления Пленума Верховного Суда Российской Федерации от 24 февраля 2005 года N 3 «О судебной практике по делам о защите чести и достоинства граждан, а также деловой репутации граждан и юридических лиц», в соответствии с которым обращение гражданина в государственные органы не может рассматриваться как распространение не соответствующих действительности сведений и основание для возложения на него гражданско-правовой ответственности за распространение порочащих честь, достоинство или деловую репутацию сведений. Суд также принял во внимание, что процедура проведения внеплановой проверки и ее результаты заявителем не оспаривались.

Добавить комментарий