г. Новороссийск, ул. <АДРЕС>Десантников, 77   Дело <НОМЕР>-  389-16/74                                     

                                                                                                           ПОСТАНОВЛЕНИЕ

05 мая  2016г.                                                         г. Новороссийск                                                                                                                      Мировой судья судебного участка   №74 г. Новороссийска  <АДРЕС> края Чулковская Т.В., с участием: представителя юридического лица, привлекаемого к административной ответственности,  по доверенности от 25.03.2016 года  - <ФИО1> С.И.; 

помощника прокурора г. Новороссийска  - <ФИО2>,  

рассмотрев  административный материал  о привлечении юридического лица ФКОУ ВПО «<АДРЕС> университет <ФИО3> расположенного по юридическому адресу: г. <АДРЕС>, ул. <АДРЕС>, 128

 к административной ответственности по ст. 13.11 КоАП РФ,

                                             УСТАНОВИЛ:

    Согласно постановления  заместителя прокурора <АДРЕС> края от 21.03.2016г. установлено, что  в ходе рассмотрения информации Управления ФСБ России по <АДРЕС> краю выявлены нарушения федеральным казенным образовательным учреждением высшего профессионального образования «<АДРЕС> университет Министерства внутренних дел Российской Федерации»  требований Федерального закона от 27.07.2006 <НОМЕР> «О персональных данных». Так, Управлением ФСБ России по <АДРЕС> краю в ходе обследования помещений Новороссийского филиала Учреждения в период с 5 по 6 ноября 2015г. установлено, что в информационных системах персональных данных Новороссийского филиала Учреждения используются системы, содержащие в своем составе средства криптографической защиты информации (далее - СКЗИ).  Так, система «Контур-Экстерн», содержащая в своем составе СКЗИ «КриптоПро CSP 3.6» предназначена для передачи информации, содержащей персональные данные, в Отделение Пенсионного фонда Российской Федерации по <АДРЕС> краю и в Управление Федеральной налоговой службы Российской Федерации по <АДРЕС> краю. Система удаленного финансового документооборота, содержащая СКЗИ «КриптоПро CSP 3.6» и «Континент-АП 3.6» предназначена для передачи информации, содержащей персональные данные, в Управление Федерального казначейства по <АДРЕС> краю. Система электронного документооборота банк-клиент, содержащая СКЗИ «Бикрипт-КСБ-С» предназначена для передачи информации, содержащей персональные данные, в ОАО «Сбербанк». Обработка в этих информационных системах персональных данных осуществляется Новороссийским филиалом Учреждения с нарушением порядка обеспечения безопасности персональных данных. Из изложенного следует, что федеральным казенным образовательным учреждением высшего профессионального образования «<АДРЕС> университет Министерства внутренних дел Российской Федерации» в лице Новороссийского филиала допущено нарушение ст. 19 Закона <НОМЕР>, что влечет ответственность, предусмотренную ст. 13.11 КоАП РФ.

   В судебном заседании представитель <ФИО4>, действующий от имени, юридического лица по доверенности,  вину не признал, просил дело об административном правонарушении в отношении юридического лица прекратить в связи с отсутствием в действиях Учреждения состава административного правонарушения предусмотренного ст. 13.11 КоАП РФ, при этом пояснил, что прокуратурой необоснованно сделаны выводы о нарушении установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). В резолютивной части постановления о возбуждении дела об административном правонарушении указаны нарушения требований ст. 19 Федерального закона от 27.07.2006г. <НОМЕР> «О персональных данных», а именно: требований к обеспечению Учреждением безопасности персональных данных при их обработке, которое  указывает на нарушение порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) за которое предусмотрена ответственность по ст. 13.11КоАП РФ, однако, с указанным выводом согласиться нельзя,  так как объективная сторона административного правонарушения предусмотренного ст. 13.11 КоАП характеризуется нарушением установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). Порядок сбора персональных данных, а также обязанности оператора при сборе персональных данных, установлены ст.18 Федерального закона от 27.07.2006 <НОМЕР> «О персональных данных». В постановлении о возбуждении дела об административном правонарушении не содержится сведений о нарушении порядка сбора персональных данных, а именно требований установленных ст. 18 Федерального закона от 27.07.2006 <НОМЕР> «О персональных данных». Согласно п. 7 ст.5 Федерального закона от 27.07.2006 <НОМЕР> «О персональных данных» хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению, либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом. В постановлении о возбуждении дела об административном правонарушении не содержится обстоятельств, прямо указывающих на нарушение Учреждением порядка хранения персональных данных, или сроков хранения такой информации. Согласно п. 5 ст.3 Федерального закона от 27.07.2006 <НОМЕР> «О персональных данных» под распространением персональных данных понимаются действия, направленные на раскрытие персональных данных неопределенному кругу лиц, однако в постановлении о возбуждении дела об административном правонарушении не указано какие именно персональные данные были раскрыты Учреждением, а следовательно, не указана норма закона которая была при этом нарушена. Учреждение осуществляет хранение и использование персональных данных. В соответствие с ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований ТК и иных федеральных законов. Прокуратурой не установлен факт нарушения Учреждением установленных Учреждением порядка хранения и использования персональных данных. Вывод  о нарушении Учреждением установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) сделан на основании нарушений, выявленных Управлением ФСБ России по <АДРЕС> краю в ходе обследования помещений Новороссийского филиала <АДРЕС> университета МВД России 5 и 6 ноября 2015г.,   по факту этих нарушений Управлением ФСБ России по <АДРЕС> краю составлен протокол об административном правонарушении от 11.11.2015г., вынесено представление об устранении причин и условий, способствующих реализации угроз безопасности Российской Федерации от 12.11.2015г. и постановление о назначении административного наказания от 13.11.2015г.

    Помощник прокурора г. Новороссийска <ФИО2>, действующий по поручению прокуратуры <АДРЕС> края, в судебном заседании просил привлечь юридическое лицо к административной ответственности и назначить наказание, предусмотренное санкцией ст. 13.11 КоАП РФ.

 В судебном заседании заместитель начальника отдела государственной службы, кадров и правового обеспечения Управления Роскомнадзора по Южному Федеральному округу  <ФИО5> пояснил, что ст. 13.11 КоАП РФ предусматривает нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных), т.е. иной состав, по которому ранее юридическое лицо было привлечено. Событие имело место, так как юридическим лицом осуществлялась обработка персональных данных, университет является оператором, который все обрабатывает и передает информацию (запись и использование).

   Выслушав лиц, участвующих в деле, исследовав материалы дела, суд находит, что вина ФКОУ ВПО «<АДРЕС> университет Министерства внутренних дел Российской Федерации» в совершении административного правонарушения, предусмотренного  ст. 13.11 КоАП РФ, подтверждается постановлением прокурора г. Новороссийска об административном правонарушении,  рапортом, выпиской из ЕГРП, протоколом обследования помещений от 06.11.2015г., договором и другими материалами дела, оцененными в их совокупности, в соответствии с требованиями ст. 26.11 КоАП РФ по следующим основаниям:

   В соответствии со ст. 24.1 КоАП РФ задачами производства по делам об административных правонарушениях являются всестороннее, полное. объективное и своевременное выяснение обстоятельств каждого дела, разрешение его в соответствии с законом, обеспечение исполнения вынесенного постановления, а также выявление причин и условий, способствовавших совершению административных правонарушений.

В соответствии со ст.26.11 КоАП РФ судья, члены коллегиального органа, должностное лицо, осуществляющие производство по делу об административном правонарушении, оценивают доказательства по своему внутреннему убеждению, основанному на всестороннем, полном и объективном исследовании всех обстоятельств дела в их совокупности. Никакие доказательства не могут иметь заранее установленную силу.

    В соответствии с ч. 2 ст. 2.1 КоАП РФ юридическое лицо признается виновным в совершении административного правонарушения, если будет установлено, что у него имелась возможность для соблюдения правил и норм, за нарушение которых Кодексом или законами субъекта Российской Федерации предусмотрена административная ответственность, но данным лицом не были приняты все зависящие от него меры по их соблюдению.

    Согласно ст. 3 от 27.07.2006 <НОМЕР> «О персональных данных» персональными данными признается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Обработкой персональных данных является любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

В силу п. 1 ч. 1 ст. 6 Закона <НОМЕР> обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных Законом <НОМЕР>.

   В судебном заседании установлено, что Учреждением в нарушение пп. 2 п. 2 ст. 19 Закона <НОМЕР> не установлены уровни защищенности персональных данных в информационных системах персональных данных;  п. 1 ст. 19 Закона <НОМЕР> и п. 2 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 01.11.2012 <НОМЕР> (далее - Требования), не создана система защиты персональных данных для информационных систем персональных данных; Пп. 1 п. 2 ст. 19 Закона <НОМЕР> не определены угрозы безопасности персональных данных при их обработке в информационных системах персональных данных; пп. «б» п.9 Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, утвержденного приказом ФСБ России от 10.07.2014 <НОМЕР> (далее - Состав) не сформирована совокупность предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак, и не определен на этой основе и с учетом типа актуальных угроз требуемый класс средств криптографической защиты информации; п. 19 Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, утвержденной приказом ФАПСИ от <ДАТА13> <НОМЕР> (далее - Инструкция) отсутствует перечень пользователей СКЗИ, согласно которому физические лица допускаются к работе с СКЗИ; п. 21 Инструкции отсутствуют заключения, подтверждающие должностную специальную подготовку пользователей и возможность их допуска к самостоятельной работе с СКЗИ;  п.26 Инструкции СКЗИ, эксплуатационная и техническая документация к ним, ключевые документы не регистрируются в соответствующем журнале учета; п. 31 Инструкции системные блоки, с которыми осуществляется штатное функционирование СКЗИ, не оборудованы средствами контроля за их вскрытием (не опечатаны, не опломбированы);п. 64 Инструкции металлическое хранилище, предназначенное для хранения ключевых документов к СКЗИ, расположенное в кабинете начальника финансово-экономического отделения (спецпомещение), не оборудовано приспособлением для опечатывания замочной скважины;  п. 46 Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утвержденного приказом ФСБ РФ от 09.02.2005 <НОМЕР> (далее - Положение) (п.9.11 «Руководство администратора безопасности. Общая часть. СКЗИ КриптоПро CSP версия 3.6») не заведены журналы пользователей сети; п. 46 Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утвержденного приказом ФСБ РФ от 09.02.2005 <НОМЕР> (далее - Положение) (п. 15.4 «Руководство администратора безопасности. Общая часть. СКЗИ КриптоПро CSP версия 3.6») не разработана политика назначения и смены паролей, для входа в операционную систему и Bios, на ПЭВМ в которых установлены СКЗИ «Крипто Про CSP».

    Согласно ч. 2 ст. 4.5 КоАП РФ при длящемся административном правонарушении сроки, предусмотренные ч. 1 ст. 4.5 КоАП РФ, начинают исчисляться со дня обнаружения административного правонарушения.

  Правонарушение является длящимся, совершенным в форме бездействия, днем обнаружения длящегося административного правонарушения считается день, когда должностное лицо, уполномоченное составлять протокол об административном правонарушении, выявило факт его совершения (п. 14 постановления Пленума Верховного Суда РФ от 24.03.2005 <НОМЕР>), следовательно, днем совершения правонарушения является 17.03.2016г.

Таким образом, суд не может согласиться с доводами представителя об отсутствии в действиях юридического лица состава административного правонарушения и прекращения производства по делу, поскольку ФКОУ ВПО «<АДРЕС> университет Министерства внутренних дел Российской Федерации» нарушило указанные требования действующего законодательства, т.е. совершило административное правонарушение, ответственность за которое предусмотрена ст. 13.11 КоАП РФ - Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).

  Принимая во внимание характер и степень совершенного правонарушения, отношение к содеянному, отсутствие  смягчающих и отягчающих административную ответственность обстоятельств степень тяжести наступивших последствий, и приходит к выводу о возможности назначения юридическому лицу ФКОУ ВПО «<АДРЕС> университет Министерства внутренних дел Российской Федерации» минимального наказания, установленного санкцией  ст. 13.11 КоАП РФ.

        На основании изложенного, и руководствуясь ст. 3.5,   ст.ст. 29.9 - 29.11, 32.2  КоАП РФ, мировой судья  

ПОСТАНОВИЛ:

  Признать ФКОУ ВПО «<АДРЕС> университет Министерства внутренних дел Российской Федерации» виновным в совершении административного правонарушения,   предусмотренного  ст. 13.11 КоАП РФ  и подвернуть административному наказанию в виде  штрафа в размере  5000 (пять тысяч) рублей. 

     Разъяснить, что в случае неуплаты штрафа в течение 60 дней со дня вступления постановления в законную силу, сумма штрафа  может быть удвоена.      

   Оплату штрафа произвести по реквизитам, указанным в квитанции.   Постановление может быть обжаловано в Ленинский районный суд г. Новороссийска в течение 10 дней со дня вручения копии постановления через судебный участок № 74 г. Новороссийска, <АДРЕС> края.

      Мировой судья          подпись                          Т.В.  Чулковская

Копия верна:

http://msud74.krd.msudrf.ru/modules.php?name=sud_delo&op=sd&number=17383905&delo_id=1500001.