П О С Т А Н О В Л Е Н И Е

24 июля 2017 года                                         г.Астрахань                                                                                        

Суд в составе мирового судьи судебного участка № 2 Кировского района г. Астрахани Бекмухановой П.Е., рассмотрев в открытом судебном заседании дело об административном правонарушении, предусмотренном ст. 13.11 Кодекса Российской Федерации об административном правонарушении в отношении специалиста отдела ООО «НАИМЕНОВАНИЕ» Фамилия Имя Отчество, <ДАТА2> рождения, уроженки г<АДРЕС>, зарегистрированной по адресу: <АДРЕС>, имеющей на иждивении <ОБЕЗЛИЧЕНО>,  сведений о привлечении к административной ответственности не имеется,

У С Т А Н О В И Л:

30.06.2017 г. г. заместителем прокурора Кировского района г. Астрахани ФИО в отношении специалиста отдела ООО «МКК «Моменто деньги»» ФИО составлен протокол об административном правонарушении, предусмотренном ст. 13.11 Кодекса РФ об административных правонарушениях, согласно которому в прокуратуру района из управления Роскомнадзора по Астраханской области поступили материалы плановой выезднойпроверки исполнения ООО «ФИО» законодательства о персональных данных.

Установлено, что ООО «ФИО» (далее - общество) является микрокредитной организацией.

Из представленных материалов следует, что проведенной в период с дата по дата управлением Роскомнадзора по Астраханской области проверкой по месту осуществления ООО «ФИО» деятельности по адресу: АДРЕС, установлены нарушения Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных».

Так, в нарушение ч. 7 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» общество, являясь оператором персональных данных, не указало дополнительную информацию к категориям персональных данных физических лиц в уведомлении, направленном в управление Роскомнадзора по Астраханской области, и информационных письмах, обработка которых происходит в соответствии с утвержденным Приказом от 20.04.2017 № 128 перечнем, а именно: паспортные данные, индивидуальные номера налогоплательщика, номер социального страхования, данные обязательного медицинского страхования, сведения о воинском учете, трудовой деятельности, гражданство, контактные телефоны, в уведомлении не указан перечень действий с персональными данными. При этом дата начала обработки обществом персональных данных, указанная в уведомлении от 13.11.2014 г., не соответствует дате присвоения государственного регистрационного номера.

Вопреки требованиям и. 15 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15.09.2008 № 687, личные дела сотрудников общества хранятся в папках-файлах в деревянном шкафу, который не закрывается на ключ, без дверок.

В нарушение ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» при трудоустройстве в общество с кандидата берется согласие на обработку и передачу персональных данных, которое оформляется на специальном бланке и не содержит перечень действий, осуществляемых оператором данных с персональными данными.

Обществом нарушены требования ч. 5 ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», поскольку при обработке специальной категории персональных данных сотрудника <ФИО1> копия свидетельства о рождении её ребенка (<ФИО2>) с указанием его национальности хранится среди бухгалтерских документов на предоставление стандартных налоговых вычетов по доходу физических лиц.

В договоре о порядке выпуска и обслуживания международных карт, заключенном 12.01.2015 между обществом и Астраханским отделением № 8625 СбербанкаРоссии, в нарушение ч. 3 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» отсутствует перечень действий (операций) с персональными данными работников общества, меры по обеспечению безопасности и требования к защите персональных данных.

Согласно ст. 2.4 КоАП РФ административной ответственности подлежит должностное лицо в случае совершения им административного правонарушения в связи с неисполнением либо ненадлежащим исполнением своих служебных обязанностей.

Приказом генерального директора общества от 01.10.2015№99, ответственным за организацию обработки персональных данных общества назначена специалист отдела общества ФИО.

В судебное заседание ФИО не явилась, извещалась о дне и месте рассмотрения дела надлежащим образом, о рассмотрении  дела в ее отсутствии не просила, представила в суд заявление, в котором  о прекращении производства по делу в связи с устранением выявленных нарушений.

 Согласно ч.2 ст.25.1 Кодекса Российской Федерации об административных правонарушениях дело об административном правонарушении может быть рассмотрено в отсутствие лица, в отношении которого ведется производство по делу об административном правонарушении, в случае, если имеются данные о надлежащем извещении лица о месте и времени рассмотрения дела и если от лица не поступило ходатайство об отложении рассмотрения дела либо если такое ходатайство оставлено без удовлетворения.

При таких обстоятельствах суд считает возможным рассмотреть дело    в отсутствие ФИО.

  В судебном заседании помощник прокурора Кировского района г. Астрахани ФИО поддержал доводы, изложенные в постановлении о возбуждении дела об административном правонарушении. Указал о наличии в действия должностного лица ФИО состава административного правонарушения, предусмотренного ст. 13.11 КоАП РФ. Пояснил, что  к моменту составлении постановления о возбуждении дела об административном правонарушении, нарушения, выявленные в ходе проверки, обществом были устранены.

   Суд, выслушав помощника прокурора Кировского района г. Астрахани ФИО, исследовав материалы дела, приходит к следующему.

  Согласно положению ст. 13.11 Кодекса РФ об административных правонарушениях (в ред. Федерального закона от 22.06.2007 N 116-ФЗ) нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) - влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.

 Отношения, связанные с обработкой персональных данных, осуществляемой юридическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, урегулированы Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

   В соответствии с п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

   Оператором в силу п. 2 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» является также юридическое лицо, самостоятельно или совместно с другими лицами организующие и (или) о'существляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

  Содержание и объем обрабатываемых персональных данных в соответствии с ч. 5 ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

 При хранении материальных носителей, посредством которых осуществляется обработка персональных данных, должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором. Данное требование содержится в п. 15 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15.09.2008 № 687.

  Согласно ч. 3 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, в том числе на основании заключаемого с этим лицом договора,

 Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных.

  В соответствии с ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» в установленных законом случаях обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя определенные сведения, в том числе перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных.

  В силу ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных путем направления в его адрес уведомления установленной формы и с указанием определенных сведений.

  При этом в случае изменения таких сведений, а также в случае прекращения обработки персональных данных в соответствии с ч. 7 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.

 Судом установлено, что в прокуратуру района из управления Роскомнадзора по Астраханской области поступили материалы плановой выездной проверки исполнения ООО «Наименование» законодательства о персональных данных. ООО «Наименование» (далее - общество) является микрокредитной организацией. Из представленных материалов следует, что проведенной в период с дата по дата управлением Роскомнадзора по Астраханской области проверкой по месту осуществления ООО «Наименование» деятельности по адресу: Адрес, установлены нарушения Федерального закона от 27.07.2006 №152-ФЗ «О персональныхданных».

   Так, в нарушение ч. 7 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» общество, являясь оператором персональных данных, не указало дополнительную информацию к категориям персональных данных физических лиц в уведомлении, направленном в управление Роскомнадзора по Астраханской области, и информационных письмах, обработка которых происходит в соответствии с утвержденным Приказом от 20.04.2017 № 128 перечнем, а именно: паспортные данные, индивидуальные номера налогоплательщика, номер социального страхования, данные обязательного медицинского страхования, сведения о воинском учете, трудовой деятельности, гражданство, контактные телефоны, в уведомлении не указан перечень действий с персональными данными. При этом дата начала обработки обществом персональных данных, указанная в уведомлении от 13.11.2014 г., не соответствует дате присвоения государственного регистрационного номера.

  Вопреки требованиям и. 15 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15.09.2008 № 687, личные дела сотрудников общества хранятся в папках-файлах в деревянном шкафу, который не закрывается на ключ, без дверок.

  В нарушение ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» при трудоустройстве в общество с кандидата берется согласие на обработку и передачу персональных данных, которое оформляется на специальном бланке и не содержит перечень действий, осуществляемых оператором данных с персональными данными.

  Обществом нарушены требования ч. 5 ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», поскольку при обработке специальной категории персональных данных сотрудника <ФИО1> копия свидетельства о рождении её ребенка (<ФИО2>) с указанием его национальности хранится среди бухгалтерских документов на предоставление стандартных налоговых вычетов по доходу физических лиц.

  В договоре о порядке выпуска и обслуживания международных карт, заключенном 12.01.2015 между обществом и Астраханским отделением № 8625 Сбербанка России, в нарушение ч. 3 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» отсутствует перечень действий (операций) с персональными данными работников общества, меры по обеспечению безопасности и требования к защите персональных данных.

 Приказом генерального директора общества от 01.10.2015№99, ответственным за организацию обработки персональных данных общества назначена специалист отдела общества ФИО. Указанные обстоятельства подтверждаются представленнымиматериалами дела: постановлением о возбуждении дела об административном правонарушении от 30.06.2017 г., актом по результатам проведения плановой выездной проверки от 31.05.2017 г., сведениями о результатах государственного контроля, справкой о результатах мероприятия государственного контроля, предписанием об устранении выявленных нарушений, приказом от 01.10.2015 г. о назначении лица, ответственного за организацию обработки персональных данных  в ООО "Наименование",  должностной инструкцией  специалиста Отдела финансового мониторинга ООО  «НАИМЕНОВАНИЕ» и другими материалами в их совокупности.

С учетом установленных по делу обстоятельств, суд приходит к выводу о виновности  специалиста отдела ФИО ООО «НАИМЕНОВАНИЕ» в совершении административного правонарушения, предусмотренного ст. 13.11 Кодекса РФ об административных правонарушениях (в ред. Федерального закона от 22.06.2007 N 116-ФЗ) - нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).

 При этом доводы ФИО о прекращении производства по делу, в связи с устранением выявленных нарушений, суд находит не состоятельными, поскольку устранение нарушений законодательства, выявленных в ходе проверки после ее проведения, не  исключает в действиях  допустившего данные нарушения лица, состава административного правонарушения и приращения производства по делу.

При решении вопроса о назначении наказания суд учитывает характер совершенного административного правонарушения, обстоятельства его совершения.

Смягчающее административную ответственность обстоятельство: устранение нарушений до вынесении постановления по делу об административном правонарушении, наличие на иждивении <ОБЕЗЛИЧЕНО>, отсутствие отягчающих административную ответственность обстоятельств.

На основании изложенного и, руководствуясь положением ст., ст. 29.9 ч.1 п.1-29.10  Кодекса РФ об административных правонарушениях, суд

П О С Т А Н О В И Л:

 Признать специалиста отдела ООО «НАИМЕНОВАНИЕ» ФИО виновной в совершении административного правонарушения, предусмотренного ст. 13.11 Кодекса РФ об административных правонарушениях, и назначить  ей наказание в виде предупреждения.

   Постановление может быть обжаловано в Кировский районный суд г. Астрахани в течение десяти дней со дня его получения.

Мировой судья                                                      П.Е. Бекмуханова

Источник: http://kir2.ast.msudrf.ru/modules.php?name=sud_delo&op=sd&number=1453679&delo_id=1500001.