Классификация информационных систем персональных данных - гражданское законодательство и судебные прецеденты

основного долга по договорам № К/Й-0008/12 ПД от 23.04.2012, № К/Й-0008/12 В от 23.04.2012, № К/Й-0008/12 ПСЗИ от 23.04.2012 прекратить по следующим правовым и процессуальным основаниям. Из материалов дела следует, что 23 апреля 2012 года ООО «Учебно-научный центр информационной безопасности» (исполнителем) и ГБУ РМЭ «Республиканский наркологический диспансер» (заказчиком) заключен в письменной форме договор № К/Й-0008/12 ПД, по условиям которого истец обязался выполнить работы по теме: «Проведение обследования информационных систем персональных данных Заказчика. Классификация информационных систем персональных данных . Разработка проекта регламентирующей и эксплуатационной документации и рекомендаций по обеспечению информационной безопасности персональных данных», а ответчик принял на себя обязательство оплатить оказанные услуги. Перечень выполняемых работ и перечень регламентирующей документации, разрабатываемой в рамках договора, указан в приложении № 1, являющемся неотъемлемой частью договора (т.1, л.д. 13-18). 10 октября 2012 года сторонами заключен договор № К/Й-0008/12 А, по которому истец принял обязательство по обследованию информационной системы персональных данных заказчика с выдачей «Аттестата

"Городская поликлиника № 13" Железнодорожного района г.о. Самара (далее - Ответчик) были заключены договоры № К/С- 0014ПД/1 и № К/С- 0014ПД/2 выполнения работ по классификации информационной системы персональных данных (далее - договоры), в соответствии с которым Истец обязался оказать Ответчику соответствующие услуги, а Ответчик обязался оплатить услуги Истца. В соответствии с п. 1.1 договоров Заказчик поручает, а Исполнитель принимает на себя обязательства по выполнению работ по теме: «Проведение обследования автоматизированной системы Заказчика. Классификация информационных систем персональных данных ». Перечень выполняемых работ приведен в Приложении № 1 к договору. Согласно п. 3.1 договора № К/С- 0014ПД/1 цена договора составляет 60 000 руб. без НДС (л.д. 7), в силу п. 3.1 договора № К/С- 0014ПД/2 цена договора составляет 38 000 руб. без НДС (л.д. 713), В силу п. 3.2 договоров оплата по настоящему договору производится путем перечисления денежных средств на расчетный счет Исполнителя в размере 100% от стоимости договора в течение

проверки уполномоченным органом составлен акт (регистрационный номер 2/03-14), в котором Управление Россвязьнадзора по Омской области отразило, что в результате осуществленной проверки выявлены: 1) нарушение пункта 6 положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденного постановлением Правительства Российской Федерации от 17 ноября 2007 года № 781 (далее - Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных), пункта 2 порядка проведения классификации информационных систем персональных данных , утвержденного совместным приказом Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации и Министерства информационных технологий и связи Российской Федерации от 13 февраля 2008 года № 55/86/20 (далее - Порядок проведения классификации информационных систем персональных данных), в виду невыполнения мероприятий по классификации информационных систем передача данных при их обработке; 2) нарушение подпункта «б» пункта 12 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных

8. Комплект документов на аттестацию и (или) сертификацию ИСПДн заказчика по технической защите конфиденциальной информации. С сопроводительным письмом от 07.12.2009 № 981 истцом ответчику нарочно были переданы документы по результатам проведения экспертизы защищенности информационной системы персональных данных , находящейся по адресу: <...>, что подтверждается штампом регистрации входящей корреспонденции (№ 5876-р от 18.12.2009). В материалы дела представлены следующие разработанные истцом документы: - Аудит информационной системы «Усыновление» Министерства образования и науки Красноярского края; - Акт классификации информационной системы персональных данных (ИСПДн) «Усыновление» Министерства образования и науки Красноярского края; - Частная модель угроз безопасности информационной системы персональных данных «Усыновление» Министерства образования и науки Красноярского края; - Техническое задание на разработку системы защиты персональных данных и аттестацию информационной системы персональных данных Министерства образования и науки Красноярского края в отделе по взаимодействию с муниципальными органами опеки и попечительства, усыновлению; - Положение о порядке обработки персональных данных в ИС «Усыновление» Министерства образования и науки Красноярского края;

иной организации, как следует из вышеприведенных трудового контракта и приказа о принятии на должность директора, по надлежащему выполнению вышеуказанных требований Федерального закона от ДД.ММ.ГГГГ N 152-ФЗ (ред. от 23.07.2013) "О персональных данных», образуют объективную сторону состава административного правонарушения, предусмотренного ст. 13.11 КоАП РФ. В то же время следует исключить из объема вменяемого ФИО2 административного правонарушения отсутствие журнала по проведению инструктажа по информационной безопасности сотрудников Учреждения, в том числе, Филиала в <адрес>, акта классификации информационных систем персональных данных , так как указанный акт, утвержденный <данные изъяты> 23 августа 2013 года, и журнал инструктажа сотрудников имелись в наличии у оператора - <данные изъяты> но из материалов дела следует, что в ходе проверки в <адрес>, являющегося структурным подразделением <данные изъяты> для достижения целей и задач проведения проверки не были истребованы от юридического лица (п. 8 ст. 14 Федерального закона от ДД.ММ.ГГГГ № 294-ФЗ). Исключение из объема вменяемого правонарушения части действий (бездействия) не

25.11.2011 в 11 часов 30 минут по в г. Биробиджане, являясь оператором по обработке персональных данных, представило в уполномоченный орган - Управление Роспотребнадзора по Хабаровскому краю и ЕАО уведомление об обработке персональных данных, которое содержало неполные и недостоверные сведения, в том числе: - неверно указана дата начала обработки персональных данных; - уведомление на содержит исчерпывающего перечня нормативно-правовых актов об обработке персональных данных; - недостоверно указано, что оператор использует шифрование; - отсутствует информация о классификации Информационных систем персональных данных; - отсутствует описание мер, предусмотренных ст. 18.1 и 19 ФЗ «О персональных данных»; - не указано должностное лицо ответственное за организацию персональных данных; - отсутствуют сведения об обеспечении безопасности персональных данных в соответствии с требованиями по защите персональных данных, установленных Правительством РФ. Не согласившись с указанным постановлением ООО АК «Эдип» в лице управляющего ФИО4 принесло на него жалобу, в которой просят отменить постановление № мирового судьи Правобережного судебного участка г. Биробиджана от

штрафа в размере 500 (пятьсот) рублей. Прокурор Чойского района Республики Алтай обратился в Верховный Суд Республики Алтай с протестом, в которой просит изменить постановление о назначении административного наказания в отношении В.Д.А. по делу об административном правонарушении, предусмотренном ст. 13.11 КоАП РФ, признать <Должность> В.Д.А. виновным в совершении административного правонарушения, предусмотренного ст. 13.11 КоАП РФ, признать отсутствие в филиале <Учреждение> в Чойском районе журнала по проведению инструктажа по информационной безопасности сотрудников Учреждения и акта классификации информационных систем персональных данных нарушением установленного законом порядка сбора, хранения, использования информации о гражданах (персональных данных), исключить из постановления указание на недопустимость использования в качестве доказательства объяснения В.Д.А. от <дата> года, как полученное с нарушением закона. Изучив материалы дела об административном правонарушении, доводы протеста, прихожу к следующему. В силу статьи 13.11 КоАП РФ, нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа на должностных лиц

операциях, осуществленных ФИО1 в ЕИС за часть ДД.ММ.ГГГГ годы. Именно в ЕИС содержатся все сведения конфиденциального характера и ФИО1 имела доступ к данной системе на протяжении всего времени прохождения службы в управлении. Согласно приказу управления Роскомнадзора по Владимирской области от ДД.ММ.ГГГГ ### ФИО1 допущена к обработке персональных данных физических лиц-лицензиатов связи, должностных лиц, в отношении которых возбуждены дела об административных правонарушениях. Согласно приказу управления от ДД.ММ.ГГГГ ### создана комиссия для проведения работ по классификации информационной системы персональных данных управления. Решением данной комиссии информационной системе присвоен класс 3 (КЗ) – то есть информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных. Вышеизложенное доказывает тот факт, что ФИО1 имела доступ к сведениям конфиденциального характера. О сведениях, составляющих служебную тайну и о документах с грифом секретно в доводах комиссии не упоминалось. Представитель заинтересованного лица ЗАО «Вотек Мобайл» поддержал требования