Дело № 5- 662/2017

П О С Т А Н О В Л Е Н И Е

по делу об административном правонарушении

19 июля 2017 года                                     г. Березники

Мировой судья судебного участка № 2 Березниковского судебного района Пермского края Корепанова О.А.1,

рассмотрев  в открытом судебном заседании в г. Березники материалы дела об административном правонарушении в отношении муниципального унитарного предприятия «Наименование предприятия» <ОБЕЗЛИЧЕНО>

привлекаемого к административной ответственности за совершение административного правонарушения, предусмотренного ст. 13.11 КоАП РФ,

УСТАНОВИЛ:

Прокуратурой города Березники 30.06.2017г. вынесено постановление о возбуждении дела об административном правонарушении в отношении муниципального унитарного предприятия «Наименование предприятия» (далее - МУП «наименование предприятия») Основанием вынесения постановления явились результаты проверки Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Пермскому краю оформленные актом от 06.06.2017 №А-59/6/97-нд/139 , письмом от 08.06.2017 №7058-06/59, предписанием от 06.06.2017 №П-59/6/97-нд/1/32. В ходе проверки установлено, что являясь оператором обработки персональных данных, МУП ««наименование предприятия» нарушило требования ч.3 ст.22, ч.1 и 2 ст.18.1 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» (далее - Закон №152-ФЗ), ответственность за данное правонарушение предусмотрена ст.13.11 КоАП РФ.

Законный представить юридического лица в судебное заседание не явился, о месте и времени рассмотрения дела об административном правонарушении извещено надлежащим образом, Ходатайств об отложении слушания дела не заявлено, причины неявки суду не сообщил. В соответствии с п.6 Постановления Пленума Верховного Суда РФ № 5 от 24.03.2005г. суд признает извещение о рассмотрении дела надлежащим, причины неявки неуважительными. В соответствии с ч.2 ст.25.1 КоАП РФ суд рассматривает дело в его отсутствие.

Мировой судья,   исследовав материалы дела установил следующее.

Статьей 13.11 КоАП РФ (действующей в редакции до 01.07.2017г.) предусмотрена административная ответственность за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).

Отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее - государственные органы), органами местного самоуправления, иными муниципальными органами (далее муниципальные органы), юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средствсоответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным урегулированы Законом №152-ФЗ. Статьей 3 Закона №152-ФЗ определены основные понятия, используемые в Законе. Так, под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных; Согласно ст.6 Закона №152-ФЗ, обработка персональных данных должна осуществляться с соблюдением принципов и правил,- предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается с согласия субъекта персональных данных на обработку его персональных данных.

В соответствии с ч.3 ст.22 Закона №152-ФЗ уведомление уполномоченного органа по защите прав субъектов персональных данных о намерении осуществлять обработку персональных данных, направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. Уведомление должно содержать следующие сведения:

1) наименование (фамилия, имя, отчество), адрес оператора;

2) цель обработки персональных данных;

3) категории персональных данных;

4) категории субъектов, персональные данные которых обрабатываются;

5) правовое основание обработки персональных данных;

6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;

7) описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;

7.1) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;

8) дата начала обработки персональных данных;

9) срок или условие прекращения обработки персональных данных;

10) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;

10.1) сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации;

11) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

Согласно ч.1 ст.18.1 Закона №152-ФЗ оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам могут, в частности, относиться:

1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;

2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона;

4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;

5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом;

6) ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

В силу ч.2 ст.18.1  Закона №152-ФЗ оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

Согласно положениям, закреплённым в ч.1 ст.19 Закона №152-ФЗ, оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

В период с 10.05.2017 по 02.06.2017 г. должностными лицами Управления Роскомнадзора по Пермскому краю проведена плановая выездная проверка МУП ««наименование предприятия», в рамках которой выявлены следующие нарушения требований законодательства о защите персональных данных:

1. В реестр сведений о категориях персональных данных и о категориях субъектов персональных данных предоставило в неполном объеме, а именно:

1) не указаны следующие категории фактически  обрабатываемых  персональных данных  - пол, гражданство, табельный номер; идентификационный номер   налогоплательщика - сведения о постановке на учет в налоговом органе (ИНН) номер страхового свидетельства обязательного пенсионного страхования; абонентские номера телефонов, адрес электронной почты, данные трудовой книжки, документы воинского учета,  данные воинского учета, данные содержащиеся в удостоверении личности работника, паспортные данные, что подтверждается перечнем сведений содержащих персональные данные, обрабатываемые в МУП ««наименование предприятия», утвержденных положением о защите о персональных данных в 2014 году, согласием работника на обработку его персональных данных;

2) не указаны следующие категории субъектов персональных данных - члены семей работников, что подтверждается личной карточкой работника по форме Т2;

3) не предоставлен адрес электронной почты ответственного за организацию обработки персональных данных, что подтверждается Уведомлением об обработке персональных данных от 15.07.2010, информационными письмами о внесении изменений в сведения в реестр операторов, осуществляющих обработку персональных данных от 16.11.2014, от 14.11.2014, от 16.05.2017г.2.Оператором не приняты меры необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом №152-ФЗ и принятыми в соответствии с ними нормативными правовыми актами, что влечет нарушение требований ч.1 ст.18.1 Закона №152-ФЗ , а именно : -в представленном в ходе проверки приказе от 22.01.2015г. №29 «О назначении ответственных лиц по обработке персональных данных» не указано лицо, которое является ответственным за организацию обработки персональных данных, чем нарушены требования п.1 ч.1 ст.18.1 Закона №152 -ФЗ; - не издан локальный акт по вопросам обработки персональных данных членов семьи работника и пассажиров, чем нарушены требования п.2 ч.1 ст.18.1 Закона №152-ФЗ ; - не издан акт по осуществлению внутреннего контроля и (или) аудита соответствия обработки персональных данных Закону №152-ФЗ, чем нарушены требования предусмотренные п.4 ч.1 ст.18.1 Закона №152-ФЗ.

3. Установлено, что типовая форма «Согласие работника на обработку его персональных данных» не содержит следующие сведения: номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, что является нарушением требований ч.4 ст.9 Закона №152-ФЗ.
4. МУП ««наименование предприятия»как оператор, осуществляющий сбор персональных данных в сети Интернет, не опубликовало документ, определяющий его политику  в отношении обработки персональных данных, а также не обеспечило возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети, что является нарушением требований ч.2 ст.18.1 Закона №152-ФЗ.    

Вина МУП ««наименование предприятия» подтверждается совокупностью исследованных в судебном заседании доказательств, а именно: постановление о возбуждении дела об административном правонарушении от 30.06.2017г. в котором зафиксировано совершенное юридическим лицом правонарушение, копия которого вручена и.о. директору МУП ««наименование предприятия»  Ю.В.2   30.06.2017г., актом проверки от 06.06.2017 №А-59/6/97-нд /139; приказом о назначении ответственных лиц по обработке персональных данных от 22.01.2015, объяснения и.о. директора предприятия И.В.3, Типовой формы  согласия на обработку персональных данных, информационное письмо о внесении изменений в сведения о реестре операторов от 01.06.2017, от 25.05.2017, приказ о назначении ответственных лиц за организацию обработки персональных данных от 25.05.2017 №138.В представленных документах при их составлении нарушений процессуальных норм судом не установлено.

Указанные доказательства с точки зрения относимости, допустимости, достоверности и достаточности соответствуют положениям ст. 26.2 КоАП РФ.

Оценив в совокупности, исследованные в судебном заседании доказательства, судья приходит к выводу о доказанности вины  МУП ««наименование предприятия»  в совершении административного правонарушения по ст.13.11 КоАП РФ.

В соответствии с частями 1, 2 статьи 1.7 Кодекса Российской Федерации об административных правонарушениях лицо, совершившее административное правонарушение, подлежит ответственности на основании закона, действовавшего во время совершения административного правонарушения.

Закон, смягчающий или отменяющий административную ответственность за административное правонарушение либо иным образом улучшающий положение лица, совершившего административное правонарушение, имеет обратную силу, то есть распространяется и на лицо, которое совершило административное правонарушение до вступления такого закона в силу и в отношении которого постановление о назначении административного наказания не исполнено. Закон, устанавливающий или отягчающий административную ответственность за административное правонарушение либо иным образом ухудшающий положение лица, обратной силы не имеет.

Поскольку правонарушения были длящимися и выявлены в период проведения проверки с 10.05.2017г. по 02.06.2017г., соответственно датой совершения административного правонарушения является период 10.05.2017г. по 02.06.2017г.

В связи с тем, что правонарушение совершено в период с 10.05.2017 по 02.06.2017, соответственно лицо подлежит привлечению к административной ответственности за совершение административного правонарушения, ст.13.11 КОАП РФ в редакции действующей до 01.07.2017г., поскольку применение действующей после 01.07.2017г. редакции ст.13.11 КоАП РФ ухудшит положение лица привлекаемого к административной ответственности. Действия   МУП «наименование предприятия» суд квалифицирует по ст.13.11 КоАП РФ как нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).

При назначении наказания суд учитывает личность виновного, характер совершенного административного правонарушения, отсутствие смягчающих и отягчающих вину обстоятельств.

С учетом выше названных обстоятельств суд полагает возможным назначить МУП ««наименование предприятия»  административное наказание в виде административного штрафа в пределах санкции статьи.

С учетом изложенного и руководствуясь ст.ст. 29.9-29.11 КоАП РФ, мировой судья

ПОСТАНОВИЛ:

Признать муниципального унитарного предприятия «Наименование предприятия»  виновным  в совершении административного правонарушения, ответственность за которое предусмотрена  ст.13.11 КоАП РФ и назначить наказание в виде административного штрафа в размере 5000 (пяти тысяч) рублей.

Реквизиты для перечисления штрафа: получатель - УФК по Пермскому краю (Прокуратура Пермского края) ИНН 5902293266, КПП 590601001, ОКТМО 57701000, БИК 045773001, КБК 41511680010010000140, р/с 40101810700000010003

           Разъяснить лицу, привлеченному к административной ответственности, что согласно ст. 32.2 КоАП РФ административный штраф должен быть уплачен в полном размере лицом, привлеченным к административной ответственности, не позднее шестидесяти дней со дня вступления постановления о наложении административного штрафа в законную силу, за исключением случая, предусмотренного частью 1.1 или 1.3 настоящей статьи, либо со дня истечения срока отсрочки или срока рассрочки, предусмотренных статьей 31.5 настоящего Кодекса.  

 Документ, подтверждающий уплату штрафа, необходимо предоставить в суд по адресу: Пермский край, г. Березники, улица Юбилейная, 11 (3 этаж), судебный участок № 2.

Разъяснить лицу, привлеченному к административной ответственность, что согласно части 1 статьи 20.25 Кодекса Российской Федерации об административных правонарушениях неуплата штрафа в срок, предусмотренный  Кодексом Российской Федерации об административных правонарушениях, влечет наложение административного штрафа в двукратном размере суммы неуплаченного административного штрафа, но не менее одной тысячи рублей    либо административный арест на срок до пятнадцати суток, либо обязательные работы на срок до пятидесяти часов.

 Настоящее постановление в течение 10 суток со дня вручения или получения копии постановления может быть обжаловано в Березниковский городской суд через мировую судью.

  Мировой судья                                              Корепанова О.А.1

Источник: http://47.perm.msudrf.ru/modules.php?name=sud_delo&op=sd&number=445470&delo_id=1500001