Система защиты персональных данных - гражданское законодательство и судебные прецеденты

05.04.2013 № 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд» и исходили из наличия оснований для принятия заказчиком решения об одностороннем отказе от исполнения государственного контракта по основаниям, предусмотренным контрактом, ввиду установленных и подтвержденных фактов нарушения исполнителем обязательств по контракту. При этом судами с учетом выводов экспертного заключения установлено, что разработанное истцом и представленное на утверждение заказчику «Обоснование принятых в техническом проекте решений по внедрению системы защиты персональных данных о лицах, прошедших обучение по дисциплине «Транспортная безопасность» ФУБУ ВПО МГУ ПС» отличается от требований технического задания, являющегося неотъемлемой частью контракта, и доказательств надлежащего выполнения работ в соответствии с условиями контракта истцом не представлено. Доводы истца о выполнении обязательств по контракту и недоказанности обстоятельств неустранимости недостатков, существенно влияющих на пригодность результата выполненных работ (оказанных услуг), были рассмотрены судами и отклонены. Указанные доводы изложены в кассационной жалобе, однако выводы судов не опровергают, не подтверждают

на создание (модернизацию) системы защиты информации и проведению аттестационных испытаний, руководствуясь положениями статей 309, 310, 702-729, 779, 781, 783 Гражданского кодекса Российской Федерации (далее – ГК РФ), Федеральным законом от 05.04.2013 № 44-ФЗ «О контрактной системе закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд», суды пришли к выводу о наличии оснований для частичного удовлетворения иска. Отказывая в удовлетворении иска общества в части взыскания стоимости услуг по разработке технического задания на модернизацию системы защиты персональных данных и оценке эффективности системы защиты персональных данных (аттестацию), суды исходили из того обстоятельства, что разработка технического задания предшествует работам по проведению аттестации, тем самым исполнитель лишил ответчика времени для анализа соответствующих документов на предмет их соответствия положениям закона и заключенного сторонами контракта, а также для исправления предварительно выявленных исполнителем замечаний. Установив наличие в результатах работ существенных и неустранимых недостатков, суды в соответствии с пунктом 3 статьи 723 ГК РФ признали правомерным отказ администрации

№ 2 к контракту установлен план-график выполнения работ по созданию системы защиты персональных данных информационной системы Росграницы, в соответствии с которым в течение 3 дней с момента подписания контракта исполнитель обязан разработать и согласовать документацию, в течении 2 дней с момента подписания контракта исполнитель обязан поставить и установить средства системы защиты персональных данных. В соответствии с пунктом 3.1 контракта, цена контракта составляет 2.935.035 руб. Удовлетворяя исковые требования, суды исходили из того, что фактически система защиты персональных данных Росграницы не создана, истец лишен результата по контракту, а частично выполненные ответчиком работы не имеют для истца потребительской ценности, поскольку установленное программное обеспечение не функционирует надлежащим образом, блокирует работу других информационных систем, установленных на автоматизированных рабочих местах и вступает в конфликт с иными программными продуктами, а также блокирует работу серверов; предоставленное исполнителем программное обеспечение не отвечает функциональным и нефункциональным требованиям, установленным контрактом. Кроме того, суды при исследовании доказательств установили, что между сторонами был

интегрированной системы беспроводной связи, реализации автоматических будильников и системы голосовой почты, отсутствия запасных частей и гарантийного обслуживания системы; - раздел «Система локальной вычислительной сети» - не соответствует требованиям технического задания в части осуществления настройки и конфигурации, отсутствия запасных частей и гарантийного обслуживания системы; - раздел «Серверное, компьютерное и периферийное оборудование» - не соответствует требованиям технического задания в части осуществления установки и настройки оборудования, отсутствия запасных частей и гарантийного обслуживания системы; - раздел « Система защиты персональных данных » - полностью не выполнен; - раздел «Комплексная система безопасности» - не соответствует требованиям технического задания в части отсутствия у уличных камер наружного обзора инфракрасной подсветки и отсутствии одного сервера хранения данных системы охранного телевидения, не обеспечивающего требуемое время хранения информации (не менее 90 суток), отсутствия запасных частей и гарантийного обслуживания системы; - раздел «Система фонового звука» - не соответствует требованиям технического задания в части использования бытовых плееров вместо использования плееров от поставщика

техническому и экспортному контролю России от 18.02.2013 № 21 (далее - Приказ ФСТЭК № 21) утверждены состав и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. Вместе с тем требования к защите персональных данных при их обработке в информационных системах персональных данных содержатся в Постановлении Правительства РФ 01.11.2012 № 1119. На основании ст. 2 и 3 Постановления Правительства РФ от 01.11.2012 № 1119 система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах. Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает персональные данные (далее оператор), или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора (далее - уполномоченное лицо). Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица

АО «НИИ «Рубин» от 18.03.2019 установлены несоответствия предъявленных ФГУП «ЗащитаИнфоТранс» результатов услуг. В свою очередь, заказчиком не опровергнуты утверждения ФГУП «ЗащитаИнфоТранс» о том, что фактически ГБУЗ ЛО «Всеволожская КМБ» пользуется результатом оказанных исполнителем услуг, последние имеют для него потребительскую ценность. Как указывает Истец и не оспаривает Ответчик, из заключения АО «НИИ «Рубин» по итогам экспертизы результатов работ следует, что цель услуг - осуществление защиты персональных данных и аттестация системы защиты персональных данных достигнута; система защиты персональных данных соответствует требованиям нормативных документов по безопасности информации. При этом в заключении не установлено нарушений требований Договора, препятствующих приемке оказанной услуги, а равно не указано порядка устранения отдельных недочетов. Каждое лицо, участвующее в деле, должно доказать обстоятельства, на которые оно ссылается как на основание своих требований и возражений. Лица, участвующие в деле, несут риск наступления последствий совершения или несовершения ими процессуальных действий (часть 1 статьи 65, часть 2 статьи 9 Арбитражного процессуального кодекса Российской

актом, регламентирующим функционирование государственной информационной системы, обязаны обеспечить достоверность и актуальность информации, содержащейся в данной информационной системе, доступ к указанной информации в случаях и в порядке, предусмотренных законодательством, а также защиту указанной информации от неправомерных доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения и иных неправомерных действий. Учитывая специфику содержащейся в исследуемой информационной системе информации, постановлением Правительства Российской Федерации от 01.11.2012 № 1119 утверждены требования к защите персональных данных, пунктом 2 которых предусмотрено, что система защиты персональных данных включает в себя оригинальные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах. Анализ указанных нормативных правовых актов позволяет сделать вывод о наличии у заказчика обязанности не только актуализации данной информационной системы, но и ее защиты, осуществление которой обеспечивается соответствующим техническим обслуживанием. В соответствии с Федеральным законом РФ от 27.072010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», Постановлением Правительства Российской Федерации

каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, утвержденной приказом ФАПСИ от ДД.ММ.ГГГГ №, в деятельности ответчика выявлены нарушения указанных требований, в том числе: не приняты организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите порсональных данных, не учтены машинные носители персональных данных в журналах регистрации их выдачи, не создана система защиты персональных данных для информационных систем персональных данных, нейтрализующая угрозы, не разработана документация, регламентирующая процессы подготовки, ввода, обработки, хранения защищаемой с использованием СКЗИ конфиденциальной информации, отсутствует перечень пользователей СКЗИ, не проведено обучение пользователей СКЗИ, отсутствуют журналы поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним. Указанные нарушения послужили основанием для возбуждения прокуратурой района в отношении руководителя учреждения ФИО4 дела об административном правонарушении, предусмотренном ч.6 ст.13.12 КоАП РФ, которое направлено для рассмотрения по существу в УФСБ России

иной информации, предоставленной заказчиком исполнителю для оказания Услуг в рамках настоящего договора, В соответствии с ч.4 ст. 6 ФЗ «О персональных данных» № 152-ФЗ от 27 июня 2006 года обеспечить конфиденциальность, сохранность и безопасность полученных от заказчика персональных данных при их обработке. Исполнитель при оказании услуг заказчику осуществляет следующие виды обработки персональных данных: использование полученных от заказчика персональных данных, их хранение и уничтожение. Конфиденциальность и безопасность персональных данных обеспечивается с помощью установленной исполнителем системы защиты персональных данных, включающей организационные меры и средства защиты информации в информационных системах исполнителя. Из материалов дела следует, что ответчиком суду были представлены доказательства, отвечающие требованиям ст. ст. 59, 60 ГПК РФ в обоснование возражений на иск, тогда как, напротив, ФИО1 доказательства, отвечающие требованиям относимости и допустимости, в обоснование заявленных требований представлены не были (ст. 56 ГПК РФ). Исходя из принципа процессуального равноправия сторон и учитывая обязанность истца и ответчика подтвердить доказательствами те обстоятельства, на

рынка», произведенный регулирующим органом, не соответствуют положениям Основ ценообразования и Методических указаний. 6. Расходы на оказание услуг по обслуживанию клиентов, в том числе расходы на ведение баз данных потребителей. По данной статье обществом заявлены расходы на 2017 год в размере 7319,5 тыс. руб. В сбытовой надбавке на 2017 год органом регулирования учтены затраты 3863,42 тыс. руб. Истцом оспаривается исключение из расходов подлежащих включению в НВВ затрат в сумме 3051 тыс. руб. на организацию системы защиты персональных данных потребителей. Пунктом 65(1) основ ценообразования предусмотрено, что в расчете необходимой валовой выручки при определении сбытовых надбавок гарантирующих поставщиков подлежат учету расходы на ведение баз данных потребителей в соответствии с требованиями законодательства о защите персональных данных. Согласно пункта 29 Основ ценообразования, при определении фактических значений расходов (цен) регулирующий орган использует (в порядке очередности, если какой-либо из видов цен не может быть применен по причине отсутствия информации о таких ценах): установленные на очередной период

(п. 3.4); осуществление контроля за эффективностью предусмотренных мер защиты конфиденциальной информации, обрабатываемой в автоматизированных информационных системах <...> (п.3.5); организация и координация действий подразделений <...> по вопросам обеспечения технической защиты информации (п. 3.6); обеспечение в пределах установленной компетенции защиты сведений, составляющих государственную, налоговую или иную охраняемую законом тайну (п.3.25); контроль за разрешительной системой допуска исполнителей к работе с защищаемой информацией (п. 3.36); мониторинг информации, циркулирующей в сетях, системах, выделенных и защищаемых помещениях <...> (п.3.37); выполнение требований нормативно-правовых документов по защите конфиденциальных сведений и персональных данных (п.3.46); получение доступа к информационным ресурсам и системам (средствам) связи <...>, иметь исключительные полномочия администратора информационной безопасности (п.4.14) (т.1 л.д.206-210); - протоколом исследования предметов и документов от <...>, согласно которому исследованы электронные носители информации, изъятые в ходе проведенных <...> в <...>. В ходе исследования и получения компьютерной информации извлечены файлы, содержащие историю личной переписки И., К. и Шю (т.1 л.д.75-131); - протоколом осмотра предметов (документов)