Дело № 5-2-189/15

П О С Т А Н О В Л Е Н И Е

05 марта 2015 года                       г. Ростов-на-Дону

Мировой судья судебного участка № 2 Кировского судебного района г. Ростова-на-Дону расположенного по адресу: г. Ростов-на-Дону, ул. Б. Садовая, 88, Ю.В. Кузнецова, рассмотревдело об административном правонарушении, предусмотренном ст.13.11 КРФоАП, в отношении ООО «***» ИНН <НОМЕР>, ОГРН <НОМЕР>, юридический адрес: <АДРЕС>

У С Т А Н О В И Л:

Мировому судье судебного участка №2 Кировского судебного района г.Ростова-на-Дону поступило дело об административном правонарушении, предусмотренном ст.13.11 КоАП РФ в отношении ООО «***», из которого следует, что Прокуратурой Кировского района г. Ростова-на-Дону 06.02.2015 года по результатам проверки доводов обращений <ФИО1> и <ФИО2>, проведенной в период с <ДАТА3> по <ДАТА4> в деятельности ООО «***», расположенного по адресу: г<АДРЕС> в г. <АДРЕС>, выявлены нарушения требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», а именно: в документах ООО «***» по кадровому учету работников хранятся: копии страниц паспорта.

Таким образом, ООО «***» превышает установленный п. 2 ст. 86 Трудового кодекса Российской Федерации объем обрабатываемых персональных данных работника, определенный Конституцией Российской Федерации, Трудовым кодексом Российской Федерации и иными федеральными законами, осуществляя обработку персональных данных работника - копии страниц паспорта.

Сотрудники ООО «***» ведут список клиентов на текущий день, который содержит такие персональные данные, как фамилия, имя, отчество, год рождения, контактный телефон.

ООО «***» осуществляет обработку персональных данных работников, клиентов без использования средств автоматизации, при этом локальными актами оператора не установлены места хранения персональных данных (материальных носителей), перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ в нарушение п. 13. Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от <ДАТА6><НОМЕР>.

Сотрудники ООО «***» осуществляют копирование страниц паспорта клиентов и передают сотрудникам банка для оформления кредита. В "ращениях заявители сообщают, что не давали согласия на копирование страниц паспорта. Документы, подтверждающие согласие <ФИО1> А. А. и <ФИО2>, ООО «***» не предоставлены, что является нарушением ч. 1 ст. 6 Федерального закона «О персональных данных».

В электронной базе ООО «***» осуществляется обработка персональных данных клиентов. В ООО «***» отсутствуют локальные акты, подтверждающие выполнение мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, установленных ч. 2 ст. 19 Федерального закона «О персональных данных» - не определены угрозы безопасности персональных данных для каждой информационной системы персональных данных; не проведена оценка эффективности принимаемых мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных; не ведется учет машинных носителей персональных данных; не установлены правила доступа к персональным данным, обрабатываемым в информационных системах персональных данных; не разработаны документы, определяющие порядок проведения контроля за принимаемыми мерами по обеспечению безопасности персональных данных и уровней защищенности информационных систем персональных данных.

Установлено, что между ООО «***» и ИП <ФИО4> заключен Договор от <ДАТА7> на оказание консультационных и маркетинговых услуг. Договор содержит поручение на обработку (в том числе сбор) персональных данных. В договоре не установлены обязанности исполнителя по соблюдению конфиденциальности персональных данных и по обеспечению их безопасности, не указаны требования к исполнителю по защите обрабатываемых персональных данных в соответствии со ст. 19 Федерального закона «О персональных данных».

Согласно объяснениям главного бухгалтера <ФИО5> поиск новых клиентов и осуществление звонков в целях продвижения товаров, работ, услуг от имени ООО «***» производит ИП <ФИО4>

В связи с чем, прокуратура <АДРЕС> района г. <АДРЕС> просит привлечь ООО «***» к административной ответственности по ст. 13.11 КоАП РФ.

На рассмотрение дела об административном правонарушении директор ООО «***» <ФИО6> не явился, извещен надлежащим образом посредством телефонограммы.

Исследовав материалы дела об административном правонарушении, мировой судья пришел к следующему.

Судом установлено, что прокуратурой <АДРЕС> района г. <АДРЕС> по результатам проверки доводов обращений <ФИО1> и <ФИО2>, проведенной в период с <ДАТА8> по <ДАТА9>, в деятельности ООО «***, расположенного по адресу: ул. <АДРЕС>, 144, г. <АДРЕС>, выявлены нарушения требований Трудового Кодекса РФ (далее - ТК РФ), Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее -Федеральный закон «О персональных данных»).

В соответствии с ч.4 ст. 86 ТК РФ работодатель не имеет права получать и обрабатывать сведения о работнике, относящиеся в соответствии с законодательством Российской Федерации в области персональных данных к специальным категориям персональных данных, за исключением случаев, предусмотренных настоящим Кодексом и другими федеральными законами.

Из смысла ст. 88 ТК РФ следует, что при передаче персональных данных работника работодатель не должен сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами.

В соответствии с ч. 5 ст. 5 Федерального закона «О персональных данных» содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

Согласно п. 1 ч. 1 ст. 6 Федерального закона «О персональных данных» обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных Федеральным законом «О персональных данных». Обработка персональных данных допускается с согласия субъекта персональных данных на обработку его персональных данных.

В соответствии с ч. 1 ст. 10 Федерального закона «О персональных данных» обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных ч. 2 ст. 10 Федерального закона «О персональных данных».

Частью 4 ст. 9 Федерального закона «О персональных данных» установлено, что в случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности: наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных.

Согласно п. 2 ст. 3 Федерального закона «О персональных данных» оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

В соответствии с п. 2 ст. 3 Федерального закона «О персональных данных» ООО «***» является оператором, осуществляющим обработку персональных данных своих работников и клиентов.

Вместе с тем, проверкой установлено, что в документах ООО «***» по кадровому учету работников хранятся: копии страниц паспорта.

Таким образом, ООО «***» превышает установленный п. 2 ст. 86 Трудового кодекса Российской Федерации объем обрабатываемых персональных данных работника, определенный Конституцией Российской Федерации, Трудовым кодексом Российской Федерации и иными федеральными законами, осуществляя обработку персональных данных работника - копии страниц паспорта.

Сотрудники ООО «***» ведут список клиентов на текущий день, который содержит такие персональные данные, как фамилия, имя, отчество, год рождения, контактный телефон.

ООО «***» осуществляет обработку персональных данных работников, клиентов без использования средств автоматизации, при этом локальными актами оператора не установлены места хранения персональных данных (материальных носителей), перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ в нарушение п. 13. Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от <ДАТА6><НОМЕР>.

Сотрудники ООО «***» осуществляют копирование страниц паспорта клиентов и передают сотрудникам банка для оформления кредита. В "ращениях заявители сообщают, что не давали согласия на копирование страниц паспорта. Документы, подтверждающие согласие <ФИО1> А. А. и <ФИО2>, ООО «***» не предоставлены, что является нарушением ч. 1 ст. 6 Федерального закона «О персональных данных».

В электронной базе ООО «***» осуществляется обработка персональных данных клиентов. В ООО «***» отсутствуют локальные акты, подтверждающие выполнение мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, установленных ч. 2 ст. 19 Федерального закона «О персональных данных» - не определены угрозы безопасности персональных данных для каждой информационной системы персональных данных; не проведена оценка эффективности принимаемых мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных; не ведется учет машинных носителей персональных данных; не установлены правила доступа к персональным данным, обрабатываемым в информационных системах персональных данных; не разработаны документы, определяющие порядок проведения контроля за принимаемыми мерами по обеспечению безопасности персональных данных и уровней защищенности информационных систем персональных данных.

В соответствии с ч. 3 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»: оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение оператора). В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.

Установлено, что между ООО «***» и ИП <ФИО4> заключен Договор от <ДАТА7> на оказание консультационных и маркетинговых услуг. Договор содержит поручение на обработку (в том числе сбор) персональных данных. В договоре не установлены обязанности исполнителя по соблюдению конфиденциальности персональных данных и по обеспечению их безопасности, не указаны требования к исполнителю по защите обрабатываемых персональных данных в соответствии со ст. 19 Федерального закона «О персональных данных».

Согласно объяснениям главного бухгалтера <ФИО5> поиск новых клиентов и осуществление звонков в целях продвижения товаров, работ, услуг от имени ООО «***» производит ИП <ФИО4>

В соответствии с ч. 1 ст. 15 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»: обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях    политической    агитации    допускается    только    при    условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.

В соответствии с ч. 5 ст. 6 Федерального закона «О персональных данных» в случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.

Таким образом, действия ООО «***» являются нарушением ч. 1 ст. 15 Федерального закона «О персональных данных» - обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи без предварительного согласия субъекта персональных данных.

Объективно данный факт подтверждается собранными по делу об административном правонарушении доказательствами: постановлением о возбуждении дела об административном правонарушении от <ДАТА10>, рапортом старшего помощника прокурора <АДРЕС> района <ФИО7> от <ДАТА9>; материалами проверки, а также иными документами.

Суд квалифицирует действия ООО «***» по ст. 13.11 КоАП РФ - нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).

С учетом изложенного, суд пришел к выводу о том, что имеются все основания для привлечения ООО «***» за совершение административного правонарушения, предусмотренного статьей 13.11 Кодекса Российской Федерации об административных правонарушениях, с назначением наказания в виде штрафа в минимальных размерах, предусмотренных санкцией данной статьи.

На основании изложенного, руководствуясь 29.9-29.11 КоАП РФ, мировой судья

П О С Т А Н О В И Л:

          Признать ООО «***» виновным в совершении административного правонарушения, предусмотренного ст. 13.11 КоАП РФ и назначить наказание в виде штрафа в размере 5000 (пять тысяч) рублей.

            Разъяснить ООО «***», что в соответствии со ст.32.2 Кодекса РФ об административных правонарушениях, в действующей редакции, административный штраф должен быть уплачен лицом, привлеченным к административной ответственности, не позднее шестидесяти дней со дня вступления постановления о наложении административного штрафа в законную силу либо со дня истечения срока отсрочки или срока рассрочки, предусмотренных статьей 31.5 указанного Кодекса.

Реквизиты для перечисления в доход бюджета штрафа:

ИНН 6164045555, КПП 616401001, ОКАТО 60401000000, БИК 046015001, УФК по Ростовской области (Прокуратура Ростовской области), расчетный счет 40101810400000010002 в ГРКЦ ГУ Банка России по Ростовской области, по коду 415 1 16 90010 01 6000 140 «Прочие поступления от денежных взысканий (штрафов) и иных сумм в возмещение ущерба, зачисляемые в федеральный бюджет». Постановление может быть обжаловано в течение 10 суток в Кировский районный суд г.Ростова-на-Дону через мирового судью.

Мировой судья Ю.В.<ФИО8>

Источник: http://kir2-2.ros.msudrf.ru/modules.php?name=sud_delo&op=sd&number=65423621&case_number=59260254&delo_id=1500001