вторник, 7 мая 2013 г.

Арбитражная практика: У тебя взломали базу персональных данных? К тебе идет проверка!


В отличие от ряда зарубежных стран, в нашем законодательстве отсутствуют законодательно-нормативные требования об обязанности оператора персональных данных уведомлять контролирующие органы о фактах утечки. В данном случае оператор, обнаружив факт несанкционированного проникновения в его базу данных, проинформировал об этом Роскомнадзор и в результате получил внеплановую проверку и предписания о нарушениях.

Арбитражный суд Свердловской области рассмотрел дело №А60-41475/2011 в декабре 2011 года и оценил правомочность проведения проверки.

Суть спора


В мае 2011года сотрудниками Территориального фонда обязательного медицинского страхования Свердловской области (ТФОМС) был обнаружен факт проникновения со стороны страховой медицинской организации ООО СМК «Астрамед-МС» в Центральную базу данных (ЦБД) Фонда, в результате которого из ЦБД была выгружена информация о лицах, застрахованных иными компаниями.

О факте нелегального проникновения в центральную базу данных ТФОМС сообщил в Управление Роскомнадзора по Свердловской области.

С целью подтверждения полученной информации о проникновении ООО СМК «Астрамед-МС» в Центральную базу данных ТФОМС руководителем Управления Роскомнадзора было принято решение о проведении внеплановой документарной проверки ТФОМС Свердловской области, в ходе которой были установлены следующие нарушения:
  • Непредставление в определенный законодательством срок в уполномоченный орган сведений об изменении информации, содержащейся в уведомлении об обработке персональных данных (п.7 ст.22 федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных»);

  • Непринятие оператором необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения данных, а также иных неправомерных действий (ч.1 ст.19 закона);

  • Несоответствие типовых форм документов, характер информатизации в которых предполагает или допускает включение в них персональных данных (п.7 Постановления Правительства от 15 сентября 2008 г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»);

  • Отсутствие у оператора перечня лиц, осуществляющих обработку персональных данных без использования средств автоматизации либо имеющим к ним доступ (п.13 Постановления Правительства № 687).
По результатам проверки Управлением Роскомнадзора были вынесены четыре предписания об устранении выявленных нарушений.

Полагая, что действия Роскомнадзора по проведению внеплановой проверки, а также вынесенные по результатам проверки предписания являются незаконными, Территориальный Фонд обязательного медицинского страхования Свердловской области обратился с иском в арбитражный суд.

Позиция Арбитражного суда Свердловской области

ТФОМС предъявил претензию в отношении того, что проверку проводили специалисты ФСТЭК по Уральскому федеральному округу, которые не значатся в приказе о проведении проверки, которая не была принята судом. Суд отметил, что Роскомнадзор, в силу федерального закон от 26.12.2008 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля», вправе привлекать специалистов, взаимодействовать с иными органами, получать консультации.

Согласно акту проверки, специалисты ФСТЭК провели анализ ряда документов, регламентирующих порядок обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных ТФОМС.

В ходе проверки Управлением Роскомнадзора было также выявлено, что типовая форма анкеты не соответствует требованиям, предъявляемым п.7 Постановления Правительства РФ от 15.09.2008 № 687, в связи с чем суд пришёл к выводу о том,  что Управление правомерно выдало ТФОМС предписание об устранении этого нарушения.

ТФОМС представило Управлению Роскомнадзора:
  • Положение о защите персональных данных сотрудников ТФОМС, в котором, действительно, имеется перечень лиц, имеющих доступ к персональным данным сотрудников.

  • Матрица доступа субъектов, допущенных к персональным данным в информационной системе персональных данных.
Между тем, утвержденного списка сотрудников, допущенных к осуществляемой без использования средств автоматизации обработке персональных данных лиц, застрахованных по обязательному медицинскому страхованию, Управлению представлено не было.

Арбитражный суд счел оспариваемые предписания законными и обоснованными и отказал в удовлетворении исковых требований.

Позиция Семнадцатого арбитражного апелляционного суда

Семнадцатый арбитражный апелляционный суд в марте 2012 года более подробно изучил правомочность проведения проверки.

По мнению суда, поступление в Управление информации о факте проникновения ООО СМК «Астрамед-МС» в центральный банк данных Фонда, содержащий информацию о застрахованных лицах, не может быть расценено как поступление информации о возникновения угрозы причинения вреда жизни, здоровью граждан, вреда животным, растениям, окружающей среде, объектам культурного наследия (памятникам истории и культуры) народов Российской Федерации, безопасности государства, а также угрозы чрезвычайных ситуаций природного и техногенного характера.

Суд отметил, что в рассматриваемом случае при определении порядка организации и проведения проверок необходимо было руководствоваться положениями закона № 294-ФЗ, поскольку иными федеральными законами специальный порядок организации и проведения проверок при осуществлении контроля и государственного надзора в области связи, контроля и в области обращения и защиты информации не установлен.

Обращение Фонда не содержало информацию о нарушении прав и законных интересов граждан действиями (бездействием) Фонда как оператора по обработке персональных данных; либо о нарушении Фондом требований законодательства Российской Федерации в области персональных данных, а также о несоответствии сведений, содержащихся в уведомлении об обработке персональных данных, фактической деятельности.

Суд апелляционной инстанции пришел к выводу о том, что внеплановая проверка в отношении Фонда в рассматриваемом случае была проведена в отсутствие соответствующих оснований, предусмотренных ч. 2 ст. 10 закона № 294-ФЗ, в связи с чем действия по ее проведению не могут быть признаны законными.

Семнадцатый арбитражный апелляционный суд отменил решение Арбитражного суда Свердловской области.

Федеральный арбитражный суд Уральского округа в июне 2012 года признал правильными и соответствующими действующему законодательству и материалам дела выводы, сделанные апелляционным судом.

Суд оставил  постановление Семнадцатого арбитражного апелляционного суда без изменения, а кассационную жалобу Управления Роскомнадзора по Свердловской области – без удовлетворения.

Коллегия судей Высшего Арбитражного Суда Российской Федерации в октябре 2012 года не нашла оснований для передачи дела в Президиум Высшего Арбитражного Суда Российской Федерации для пересмотра оспариваемых судебных актов в порядке надзора.

Мой комментарий: По открытым источникам удалось установить, что проверка была проведена и в отношении ООО СМК «Астрамед-МС». Сообщалось, что «принятыми мерами со стороны операторов незаконно полученная база данных застрахованных лиц была уничтожена ещё до начала проверок».

Источник: сайт Высшего Арбитражного Суда Российской Федерации / сайт ИСПДн.инфо
http://www.arbitr.ru/
http://www.ispdn.info/proverki-regulyatorov/vneplanovaya-dokumentarnaya-proverka-territorialnogo-fonda-obyazatelnogo-meditsinskogo-strachovaniya-sverdlovskoy-oblasti.html 

Комментариев нет:

Отправить комментарий