Решение Арбитражного суда Свердловской области
от 26 декабря 2011 г. N А60-41475/2011
См. также Постановление Федерального арбитражного суда Уральского округа от 26 июня 2012 г. N Ф09-4994/12 по делу N А60-41475/2011
См. также Постановление Семнадцатого арбитражного апелляционного суда от 14 марта 2012 г. N 17АП-1205/12
Резолютивная часть решения объявлена 26 декабря 2011 года
Полный текст решения изготовлен 26 декабря 2011 года
Арбитражный суд Свердловской области в составе судьи, при ведении протокола судебного заседания секретарем судебного заседания, рассмотрел в судебном заседании дело по заявлению Территориального Фонда обязательного медицинского страхования Свердловской области (ТФОМС, Фонд)
к Управлению Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Свердловской области (ИНН 6659107821)(Управление Роскомнадзора)
о признании незаконными действий, предписаний
при участии в судебном заседании:
от заявителя - Смирнова А.И., представитель по доверенности N 69 от 22.12.2010, Башканкова А.Р., представитель по доверенности N 131 от 23.11.2011, Саматов К.М., представитель по доверенности N 132 от 23.11.2011.
от заинтересованного лица - Солодкин В.В., представитель по доверенности N 4 от 17.01.2011, Болт Г.А., представитель по доверенности N 36-Д от 07.07.2011.
Лица, участвующие в деле, о времени и месте рассмотрения заявления извещены надлежащим образом, в том числе публично, путем размещения информации о времени и месте судебного заседания на сайте суда.
Отводов суду не заявлено.
Территориальный фонд обязательного медицинского страхования Свердловской области обратился в арбитражный суд с заявлением о признании незаконными действий Управления Роскомнадзора, выразившихся в проведении внеплановой документарной проверки на основании приказа от 12.08.2011г. N 0995, а также о признании недействительными предписания N П-66-0234/06 от 26.09.2011, N П-66-0235/06 от 26.09.2011, N П-66-0236/06 от 26.09.2011, N П-66-0237/06 от 26.09.2011.
Заявитель ссылается на то, что при проведении проверки были нарушены ч.2 ст. 10, п.5 ч.2 ст. 14 Федерального закона "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля", в также на то, что Управление Роскомнадзора не уполномочено осуществлять контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных.
Заинтересованное лицо возражает против удовлетворения требований заявителя, по основаниям, изложенным в отзыве.
Рассмотрев материалы дела, заслушав представителей участвующих в деле лиц, суд
УСТАНОВИЛ:
Управлением Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Свердловской области с 01.09.2011г. по 26.09.11 на основании приказа от 12.08.2011г. N 0995 проведена внеплановая проверка Территориального Фонда обязательного медицинского страхования Свердловской области , в ходе которой установлено нарушение требований п.7 ст.22 Федерального закона от 27.07.2006г. N 152-ФЗ "О персональных данных", в том числе непредставление в уполномоченный орган сведений об изменении информации, содержащейся в уведомлении об обработке персональных данных, в определенный законодательством срок, нарушение ч.1 ст.19 Федерального закона от 27.07.2006г. N 152-ФЗ "О персональных данных", в том числе непринятие оператором необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения данных, а также иных неправомерных действий, нарушение требований п.7 Положения, утв. Постановлением Правительства от 15 сентября 2008г.N 687 "Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", в том числе несоответствие типовых форм документов, характер информатизации в которых предполагает или допускает включение в них персональных данных, требованиям законодательства Российской Федерации, нарушение требований п.13 Положения, утв. Постановлением Правительства от 15 сентября 2008г.N 687 "Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", в том числе отсутствие у оператора перечня лиц, осуществляющих обработку персональных данных без использования средств автоматизации либо имеющим к ним доступ.
По результатам проверки Управлением Роскомнадзора вынесены предписания N П-66-0234 от 26сентября 2011г., N П-66-0235 от 26сентября 2011г., N П-66-0236 от 26сентября 2011г., N П-66-0237 от 26сентября 2011г. об устранении выявленных нарушений.
Полагая, что действия заинтересованного лица по проведению внепланой проверки, а также принятые по результатам проверки предписания являются незаконными, Территориальный Фонд обязательного медицинского страхования Свердловской области обратился с заявлением в арбитражный суд.
При рассмотрении настоящего спора суд исходит из следующего.
В силу ч. 1 ст. 4 Арбитражного процессуального кодекса Российской Федерации (далее - АПК РФ) в арбитражный суд за защитой своих нарушенных или осприваемых прав и законных интересов в порядке, установленном настоящим Кодексом, вправе обратиться заинтересованное лицо, то есть лицо, чьи права и интересы нарушены.
Согласно ч. 2 ст. 201 АПК РФ основанием для признания оспариваемых действий (бездействия) органов, осуществляющих публичные полномочия, а также принятых ими решений незаконными являются в совокупности два обстоятельства - несоответствие этих действий (бездействия), принятых решений законам и иным нормативным правовым актам и нарушение оспариваемыми действиями (бездействием), принятыми решениями прав и законных интересов заявителя в сфере предпринимательской и иной экономической деятельности.
Отношения в области организации и осуществления государственного контроля (надзора), муниципального контроля и защиты прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора), муниципального контроля регулируются Законом N 294-ФЗ.
В соответствии с подп. "а" п. 2 ч. 2 ст. 10 Федерального закона от 26.12.2008 N 294-ФЗ "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля" основанием для проведения внеплановой проверки является поступление в органы государственного контроля (надзора), органы муниципального контроля обращений и заявлений граждан, юридических лиц, индивидуальных предпринимателей, информации от органов государственной власти, органов местного самоуправления, из средств массовой информации о следующих фактах: а) возникновение угрозы причинения вреда жизни, здоровью граждан, вреда животным, растениям, окружающей среде, объектам культурного наследия (памятникам истории и культуры) народов Российской Федерации, безопасности государства, а также угрозы чрезвычайных ситуаций природного и техногенного характера.
В силу ст. 13 Федерального закона от 29.11.2010г. N 326-ФЗ "Об обязательном медицинском страховании в Российской Федерации" (далее - Закон об ОМС), Положения о Фонде, утвержденном Постановлением Правительства Свердловской области от 19.04.2011г. N 431-ПП, Территориальный фонд обязательного медицинского страхования Свердловской области, является некоммерческой организацией, созданной Свердловской областью для реализации государственной политики в сфере обязательного медицинского страхования (ОМС) на территории Свердловской области.
Одним из полномочий ТФОМС в силу указанных актов является сбор и обработка данных персонифицированного учета сведений о застрахованных лицах.
В мае 2011 года сотрудниками ТФОМС был обнаружен факт проникновения со стороны страховой медицинской организации ООО СМК "Астрамед-МС" в Центральную базу данных Фонда, в результате которого из ЦБД была выгружена информация о лицах, застрахованных иными компаниями.
На основании данного факта в адрес Управления Роскомнадзора по Свердловской области Фондом направлено обращение по факту нелегального проникновения в центральную базу данных Территориального фонда обязательного медицинского страхования Свердловской области.
С целью подтверждения (не подтверждения) полученной информации о проникновении ООО СМК "Астрамед-МС" в Центральный банк данных ТФОМС, руководителем Управления Роскомнадзора по Свердловской области принято решение о проведении внеплановой документарной проверки Территориального фонда обязательного медицинского страхования Свердловской области.
Согласно Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных", Положения об Управлении Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Свердловской области, утвержденного Приказом руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 22 мая 2009г. N 153 на Управление Роскомнадзора по Свердловской области возложены полномочия по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.
Приказом Роскомнадзора от 1 декабря 2009 г. N 630 утвержден Административный регламент проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, официально зарегистрированный в Минюсте РФ 28 января 2010 г. N 16095, и опубликованный в "Бюллетене нормативных актов федеральных органов исполнительной власти" N 11, 15.03.2010.
Основания проведения внеплановых проверок установлены пунктом 27 указанного регламента, в том числе одним из оснований для внеплановой проверки, подп. 27.4 Административного регламента, является нарушение прав и законных интересов граждан действиями (бездействием) операторов при обработке их персональных данных.
Отношения в области организации и осуществления государственного контроля (надзора), муниципального контроля и защиты прав юридических лиц и индивидуальных предпринимателей регулируются Федеральным законом от 26.12.2008 г. N 294-ФЗ "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля".
К полномочиям федеральных органов исполнительной власти, осуществляющих федеральный государственный контроль (надзор) согласно п.3 ч.2 ст.4 294-ФЗ, в том числе, относятся разработка административных регламентов осуществления федерального государственного контроля (надзора) или проведения проверок в соответствующих сферах деятельности.
Ссылка заявителя на несоответствие приказа 294-ФЗ, судом не принимается по следующим основаниям:
Согласно ст. 14 Федерального закона от 26.12.2008 N 294-ФЗ "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля" проверка проводится на основании распоряжения или приказа руководителя, заместителя руководителя органа государственного контроля (надзора) в котором, в частности, указываются: цели, задачи, предмет проверки и срок ее проведения; правовые основания проведения проверки, в том числе подлежащие проверке обязательные требования и требования, установленные муниципальными правовыми актами.
Форма приказа утверждена Приказом Минэкономразвития РФ от 30.04.2009 N 141 "О реализации положений Федерального закона "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля" (с изм. от 24 мая 2010 г. N 199).
Приказом Роскомнадзора от 06.04.2010 N 215 (с изм. от 03.05.2011) утверждены формы документов, в том числе форма приказа, дублирующая форму приказа, которая утверждена приказом Минэкономразвития РФ.
В п.7 приказа должны указываться правовые основания проведения проверки, а также перечень нормативных правовых актов, устанавливающих обязательные требования, которые являются предметом проверки.
Приказ о проведении внеплановой документарной проверки ТФОМС соответствует вышеуказанным требованиям. Цель проверки подтверждение ( не подтверждение) информации, поступившей от ТФОМС о проникновении ООО СМК "Астрамед-МС" в Центральный банк данных ТФОМС СО, предмет проверки соблюдение обязательных требований законодательства Российской Федерации в области персональных данных, соответствие сведений, содержащихся в уведомлении об обработке персональных данных, поступившем от оператора персональных данных, фактической деятельности оператора.
При таких обстоятельствах действия по проведению проверки Управлением Роскомнадзора являются правомерными. Нарушений 294-ФЗ при проведении внеплановой проверки судом не установлено. Кроме того нарушений прав заявителя суд также не усматривает, поскольку проверка проводилась на основании информации ( сообщения) ТФОМС
Ссылка заявителя на то, что предмет проверки не соответствует поставленным целям, судом не принимается, поскольку согласно п. 4 ст. 1 Федерального закона от 26.12.2008 N 294-ФЗ "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля" особенности организации и проведения проверок при осуществлении контроля и государственного надзора в области связи в части, касающейся вида, предмета, оснований проверок, сроков и периодичности их проведения, уведомления о проведении внеплановой выездной проверки, могут устанавливаться другими федеральными законами.
В пункте 1 части 1 статьи 17 Федерального закона N 294-ФЗ установлено, что в случае выявления при проведении проверки нарушений юридическим лицом, индивидуальным предпринимателем обязательных требований или требований, установленных муниципальными правовыми актами, должностные лица органа государственного контроля (надзора), органа муниципального контроля, проводившие проверку, в пределах полномочий, предусмотренных законодательством Российской Федерации, обязаны выдать предписание юридическому лицу, индивидуальному предпринимателю об устранении выявленных нарушений с указанием сроков их устранения.
По результатам проведенной проверки Управлением Роскомнадзора были приняты предписания об устранении выявленных нарушений.
Предписанием N П-66-0234 выявлено нарушение требований п.7 ст.22 Федерального закона от 27.07.2006г. N 152-ФЗ "О персональных данных", в том числе непредставление в уполномоченный орган сведений об изменении информации, содержащейся в уведомлении об обработке персональных данных, в определенный законодательством срок.
В соответствии с ч. 1, 2, 3 ст.22 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
1) обрабатываемых в соответствии с трудовым законодательством;
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
4) сделанных субъектом персональных данных общедоступными;
5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;
6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;
9) обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения
устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
Уведомление направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. Уведомление должно содержать следующие сведения:
1) наименование (фамилия, имя, отчество), адрес оператора;
2) цель обработки персональных данных;
3) категории персональных данных;
4) категории субъектов, персональные данные которых обрабатываются;
5) правовое основание обработки персональных данных;
6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
7) описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
7.1) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
8) дата начала обработки персональных данных;
9) срок или условие прекращения обработки персональных данных;
10) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
11) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.
Заявитель добровольно подавал в уполномоченный орган уведомление о намерении осуществлять обработку персональных данных (от 03.12.07 N 27-02/287, последние изменения были внесены на основании письма от 29.08.2011 N 27-603/331).
В приказе о проведении проверки указано, что предметом будет являться, в том числе, соответствие сведений, содержащихся в уведомлении об обработке персональных данных, поступившем от оператора персональных данных, фактической деятельности оператора.
При проведения проверки было выявлено несоответствие целей, категорий обрабатываемых персональных данных, категорий субъектов, заявленных в уведомлении оператора персональных данных.
В целях реализации частей 1, 3 статьи 22, также части 4 статьи 25 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" Министерством связи и массовых коммуникаций Российской Федерации и Федеральной Службой по надзору в сфере связи, информационных технологий и массовых коммуникаций издан Приказ Роскомнадзора от 19.08.2011 N 706 "Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных", которым утверждены образец уведомления и рекомендации по его заполнение.
Согласно указанным рекомендациям в поле "цель обработки персональных данных" указываются цели обработки персональных данных (а также их соответствие полномочиям оператора), под "целью обработки персональных данных" понимаются как цели, указанные в учредительных документах оператора, так и цели фактически осуществляемой оператором деятельности по обработке персональных данных.
В поле "категории персональных данных" указываются все категории персональных данных, подлежащих обработке.
В поле "категории субъектов, персональные данные которых обрабатываются" указываются категории субъектов (физических лиц) и виды отношений с субъектами (физическими лицами), персональные данные которых обрабатываются (например: работники (субъекты), состоящие в трудовых отношениях с юридическим лицом (оператором), физические лица (абонент, пассажир, заемщик, вкладчик, страхователь, заказчик и др.) (субъекты), состоящие в договорных и иных гражданско-правовых отношениях с юридическим лицом (оператором) и др.).
Определив себя оператором персональных данных, ТФОМС, в соответствии с ч.3 ст.22 Федерального закона N 152-ФЗ, при направлении уведомления об обработке персональных данных, должен был заполнить уведомление в соответствии с утвержденными рекомендациями по заполнению уведомления.
В соответствии с ч.7 ст.22 Федерального закона N 152-ФЗ в случае изменения сведений, указанных части 3 настоящей статьи, оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений.
Предписанием N П-66-0235 от 26.09.2011г. выявлено нарушение ч.1 ст.19 Федерального закона от 27.07.2006г. N 152-ФЗ "О персональных данных", в том числе непринятие оператором необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения данных, а также иных неправомерных действий
В силу ч.1 ст.19 Федерального закона N 152-ФЗ оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Согласно ч.8 ст.19 вышеуказанного Закона контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при обработке персональных данных в государственных информационных системах персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности (ФСБ РФ), и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации (ФСТЭК РФ), в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.
Информационная система Территориального Фонда обязательного медицинского страхования Свердловской области не относится к государственным информационным системам персональных данных, указанных в ч.4 ст.8 Закона.
В соответствии с ч.1 ст.23 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" Роскомнадзор осуществляет контроль и надзор за соответствием обработки персональных данных требованиям настоящего Федерального закона, следовательно в рамках указанных полномочий и в соответствии с частью 3 вышеуказанной статьи уполномоченный орган имеет право принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона, направлять в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, применительно к сфере их деятельности, сведения, указанные в пункте 7 части 3 статьи 22 настоящего Закона.
Согласно п.9.1. Положения об Управлении Роскомнадзора по Свердловской области, утвержденного приказом Роскомнадзора от 22.05.2009 N 153, Управление с целью реализации полномочий имеет право запрашивать и получать у федеральных органов исполнительной власти и их территориальных органов сведения и материалы, необходимые для выполнения полномочий.
Ссылка заявителя на то, что проверку проводили специалисты ФСТЭК по Уральскому федеральному округу, которые не значатся в приказе о проведении проверки, судом не принимается, поскольку Роскомнадзор в силу 294-ФЗ вправе привлекать специалистов, взаимодействовать с иными органами, получать консультации. Согласно акту проверки специалисты ФСТЭК по Уральскому федеральному округу провели анализ ряда документов, регламентирующих порядок обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных ТФОМС Свердловской области.
Предписаниями от 26.09.2011 N П-66-0236, N П-66-0237 установлены нарушения требований п.7 Положения, утв. Постановлением Правительства от 15 сентября 2008 г. N 687 "Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", в том числе несоответствие типовых форм документов, характер информатизации в которых предполагает или допускает включение в них персональных данных, требованиям законодательства Российской Федерации, и нарушение требований п.13 Положения. утв. Постановлением Правительства от 15 сентября 2008г.N 687 "Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", в том числе отсутствие у оператора перечня лиц, осуществляющих обработку персональных данных без использования средств автоматизации либо имеющим к ним доступ
Пунктом 7 Положения, утв. Постановлением Правительства РФ от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" установлено, что при использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), должны соблюдаться условия, в том числе, типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных.
В соответствии с п.1 ст.3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Согласно п.3 ст.3 вышеуказанного Закона обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
В ходе проверки Управлением Роскомнадзора по Свердловской области выявлено, что типовая форма анкеты не соответствует требованиям, предъявляемым п.7 Положения, утв. Постановлением Правительства РФ от 15.09.2008 N 687, в связи с чем Управление правомерно выдало ТФОМС СО предписание N П-66-0236/06 об устранении нарушения п.7 Положения.
Распоряжение Правительства РФ от 26.05.2005 N 667-р "Об утверждении формы анкеты, представляемой гражданином Российской Федерации, поступающим на государственную гражданскую службу Российской Федерации или на муниципальную службу в Российской Федерации" утверждена форма анкеты, подлежащей представлению в государственный орган, орган местного самоуправления, аппарат избирательной комиссии муниципального образования гражданином Российской Федерации, изъявившим желание участвовать в конкурсе на замещение вакантной должности государственной гражданской службы Российской Федерации, поступающим на государственную гражданскую службу Российской Федерации или на муниципальную службу в Российской Федерации.
В целях реализации Федерального закона "О персональных данных" Правительством Российской Федерации утверждено Постановление от 15.09.2008N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".
Разделом III Положения определены меры по обеспечению безопасности персональных данных при их обработке, осуществляемой без использования средств автоматизации, состоящие, в том числе, из установления перечня лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
ТФОМС в адрес Управления представлены:
- Положение о защите персональных данных сотрудников ТФОМС, в котором, действительно, имеется перечень лиц, имеющих доступ к персональным данным сотрудников.
- Матрица доступа субъектов, допущенных к персональным данным в информационной системе персональных данных.
Между тем, утвержденного списка сотрудников, допущенных к персональным данным лиц, застрахованных по обязательному медицинскому страхованию, осуществляемой без использования средств автоматизации, в адрес Управления не представлено.
Таким образом, оспариваемые предписания являются законными и обоснованными.
В материалы дела представлены документы ТФОМС о полном исполнении и в установленный срок оспариваемых предписаний.
Учитывая вышеизложенное, оснований для удовлетворения заявленных требований у суда нет.
На основании вышеизложенного, руководствуясь ст. ст. 167-170, 211 Арбитражного процессуального кодекса Российской Федерации, арбитражный суд
РЕШИЛ:
1.В удовлетворении заявленных требований о признании незаконными действий Управления Роскомнадзора по Свердловской области, выразившихся в проведении внеплановой документарной проверки на основании приказа от 12.08.2011г. N 0995, а также о признании недействительными предписания N П-66-0234/06 от 26.09.2011г., N П-66-0235/06 от 26.09.2011г., N П-66-0236/06 от 26.09.2011г., N П-66-0237/06 от 26.09.2011г. отказать.
2. Решение по настоящему делу вступает в законную силу по истечении месячного срока со дня его принятия, если не подана апелляционная жалоба. В случае подачи апелляционной жалобы решение, если оно не отменено и не изменено, вступает в законную силу со дня принятия постановления арбитражного суда апелляционной инстанции.
3. Решение может быть обжаловано в порядке апелляционного производства в Семнадцатый арбитражный апелляционный суд в течение месяца со дня принятия решения (изготовления его в полном объеме), а также в порядке кассационного производства в Федеральный арбитражный суд Уральского округа в течение двух месяцев со дня вступления в законную силу решения при условии, что оно было предметом рассмотрения арбитражного суда апелляционной инстанции или суд апелляционной инстанции отказал в восстановлении пропущенного срока подачи апелляционной жалобы.
Апелляционная и кассационная жалобы подаются в арбитражные суды апелляционной и кассационной инстанций через арбитражный суд, принявший решение. Апелляционная и кассационная жалобы также могут быть поданы посредством заполнения формы, размещенной на официальном сайте арбитражного суда в сети "Интернет" http://ekaterinburg.arbitr.ru.
В случае обжалования решения в порядке апелляционного или кассационного производства информацию о времени, месте и результатах рассмотрения дела можно получить соответственно на интернет-сайте Семнадцатого арбитражного апелляционного суда http://17aas.arbitr.ru или Федерального арбитражного суда Уральского округа http://fasuo.arbitr.ru.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Решение Арбитражного суда Свердловской области от 26 декабря 2011 г. N А60-41475/2011
Текст решения предоставлен Арбитражным судом Свердловской области по договору об информационно-правовом сотрудничестве
Документ приводится с сохранением орфографии и пунктуации источника