Решение по административному делу
Дело № 5-537/2015 г.
П О С Т А Н О В Л Е Н И Е
по делу об административном правонарушении
« 2 » декабря 2015 года г.Саратов
г.Саратов ул.Большая Садовая, 158 каб.522
Мировой судья судебного участка № 3 Фрунзенского района г. Саратова Невзорова Н.В. при секретаре ФИО,с участием представителя прокуратуры - помощника прокурора г.Саратова ФИО и
законного представителя юридического лица ФИО,
рассмотрев в судебном заседании материалы дела в отношении <ФИО1>, <ДАТА2> г.рождения, зарегистрированной по адресу: <АДРЕС>, фактически проживающей по адресу<АДРЕС>, <ОБЕЗЛИЧЕНО>
в совершении административного правонарушения, предусмотренного ст.13.11 КоАП РФ,
установил:
ФИО, являясь <ОБЕЗЛИЧЕНО> <ДАТА3> по месту регистрации юридического лица по адресу: <АДРЕС> в нарушение требований Федерального закона №152-ФЗ от 27.07.2006 «О персональных данных»:
- не подала в адрес Управления Роскомнадзора по Саратовской области уведомление об обработке (о намерении осуществлять обработку) персональных данных,
- не оформила документ, определяющий политику <ОБЕЗЛИЧЕНО> в отношении обработки персональных данных, данный документ не опубликован и не обеспечен неограниченный доступ к нему,
- не оформила документ, определяющий осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных,
- не оформила документ, определяющий проведение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона № 152-ФЗ от 27.07.2006 «О персональных данных»,
- не оформила документы, подтверждающие ознакомление работников <ОБЕЗЛИЧЕНО> непосредственно осуществляющих обработку персональных данных с положениями законодательства Российской Федерации о персональных данных и документами, определяющими политику данного некоммерческого партнерства в отношении обработки персональных данных, а также
- не имела сведений об информировании лиц, осуществляющих обработку персональных данных без использования средств автоматизации (сотрудники <ОБЕЗЛИЧЕНО> о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии).
При рассмотрении материала представитель прокуратуры постановление о привлечении ФИО поддержал и дополнительно пояснил, что в отношении юридического лица проводилась комплексная проверка разными службами, те документы, что не были предоставлены на момент проверки, можно было донести позже в прокуратуру до составления акта и настоящий момент часть выявленных нарушений юридическое лицо устранило, но за бездействие юридического лица несет ответственность его руководитель, поэтому постановление вынесено и в отношении председателя правления.
ФИО вину в совершении административного правонарушения признала частично, не оспаривая отсутствие политики и других документов, указанных в постановлении, но заявила, что у них были Положение по защите персональных данных и Правила обработки персональных данных, осуществляемой без использования средств автоматизации, с которыми работники партнерства, ознакомлены под роспись, а уведомление в Роскомнадзор они не направляли, так как считали, что относятся к исключению, указанному в Законе «О персональных данных». В настоящее время уведомление передано, Политика в отношении обработки персональных данных утверждена, а предупреждения работников, работающих с персональными данными, были наклеены на сами коробки, в которых хранились персональные данные членов правления, сотрудников, занимающихся в Центре и интересующихся.
Выслушав представителя прокуратуры, ФИО, показания свидетеля и изучив материалы дела, суд приходит к следующему: В соответствие с ч.1 ст.27 Закона РФ « О прокуратуре» при осуществлении возложенных на него функций прокурор:
рассматривает и проверяет заявления, жалобы и иные сообщения о нарушении прав и свобод человека и гражданина;
разъясняет пострадавшим порядок защиты их прав и свобод;
принимает меры по предупреждению и пресечению нарушений прав и свобод человека и гражданина, привлечению к ответственности лиц, нарушивших закон, и возмещению причиненного ущерба;
использует полномочия, предусмотренные статьей 22 настоящего Федерального закона.
В соответствие с частями 1 и 2 вышеуказанного закона прокурор при осуществлении возложенных на него функций вправе:
по предъявлении служебного удостоверения беспрепятственно входить на территории и в помещения органов, указанных в пункте 1 статьи 21 настоящего Федерального закона, иметь доступ к их документам и материалам, проверять исполнение законов в связи с поступившей в органы прокуратуры информацией о фактах нарушения закона;
требовать от руководителей и других должностных лиц указанных органов представления необходимых документов, материалов, статистических и иных сведений; выделения специалистов для выяснения возникших вопросов; проведения проверок по поступившим в органы прокуратуры материалам и обращениям, ревизий деятельности подконтрольных или подведомственных им организаций;
вызывать должностных лиц и граждан для объяснений по поводу нарушений законов.
Прокурор или его заместитель по основаниям, установленным законом, возбуждает производство об административном правонарушении, требует привлечения лиц, нарушивших закон, к иной установленной законом ответственности, предостерегает о недопустимости нарушения закона.
В ходе рассмотрения материала установлено, что основанием для проведения проверки <ОБЕЗЛИЧЕНО> явилось заявление <ФИО2>, адресованное прокурору Саратовской области, которое тот переадресовал для проведения проверки в прокуратуру города.
Проверка проводилась <ДАТА3> с помещением юридического лица по месту его нахождения, а результатом явилось составление <ДАТА5> акта.
В соответствии с Федеральным законом от 27.06.2006 № 152-ФЗ «О персональных данных» (далее - Закон), персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
В соответствии с п. 1 ч. 1 ст. 6 Федерального закона «О персональных данных» обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
Обработка персональных данных без согласия субъекта персональных данных допускается при наличии оснований, указанных в п.п. 2-11 ч.1 ст. 6 Закона.
В соответствии с п. 2 ч. 1 ст. 6 Закона обработка персональных данных без согласия субъекта персональных данных допускается в случае, если она необходима для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей.
Согласно ч.1 ст. 22 федерального закона № 152-ФЗ от 27.07.2006 «О персональных данных» оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи. Требования к оформлению такого рода уведомления установлены в ч.3 настоящей статьи.
В ходе проверки на предмет исполнения законодательства о защите персональных данных, установлено, что некоммерческое партнерство «НАИМЕНОВАНИЕ» не подавало в адрес Управления Роскомнадзора по Саратовской области уведомление об обработке (о намерении осуществлять обработку) персональных данных.
Начальник отдела по защите прав субъектов персональных данных и надзора в сфере информационных технологий Управления Роскомнадзора по Саратовской области <ФИО3>, допрошенный в качестве свидетеля, показал, что <ОБЕЗЛИЧЕНО> осуществляет обработку персональных данных не только сотрудников Центра, но и посторонних лиц, поэтому к исключениям, перечисленным в ч.2 ст.22 Закона не относится.
Проанализировав положения ч.2 ст.22 Закона РФ «О персональных данных» судья соглашается с тем, что данное юридическое лицо к исключениям, освобожденным от направления уведомления в Роскомнадзор, не относится. Ошибочное толкование руководителем <ОБЕЗЛИЧЕНО> вышеуказанной нормы основанием для освобождения от административной ответственности не является. К тому же, <ДАТА7> необходимое уведомление руководителем Некоммерческого партнерства передано в Роскомнадзор.
В соответствии со ст. 18.1 Закона РФ № 152-ФЗ от 27.07.2006 г. «О персональных данных» оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам могут, в частности, относиться - издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений (п. 2 ч. 1 данной стать); - осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора (п.4 ч.1 данной статьи); - оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом (п.5 ч.1 данной статьи); - ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников (п.6 ч.1 данной статьи);
В ходе судебного разбирательства установлено, что документы, указанные в вышеперечисленных положениях Закона у <ОБЕЗЛИЧЕНО> на момент проверки <ДАТА3> отсутствовали.
Свидетель <ФИО3> показал, что требования к определенной форме документов, указанных в ст.18.1 Закона, действующим законодательством не установлено, поэтому саму форму определяют юридические лица сами для себя самостоятельно, но соответствующий приказ об утверждении Политики в отношении обработки персональных данных, осуществления контроля, оценки вреда руководитель юридического лица должен издать.
ФИО были представлены Положение по защите персональных данных, обрабатываемых без использования средств автоматизации, утвержденное 15.01.2015 г. и Правила обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденные 15.01.2015 г., однако при буквальном толковании положений Закона, у юридического лица должен быт документ, именуемый именно как «Политика в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных». Такой документ <ОБЕЗЛИЧЕНО> был принят лишь 1.10.2015 г., то есть после проведения прокурорской проверки, что суд расценивает как частичное устранение выявленных нарушений законодательства.
При этом, суд не соглашается с доводами ФИО о том, что требования п.6 ч.1 ст.18.1 Закона РФ ими были выполнены, так как сотрудники Партнерства, задействованные в обработке персональных данных, были ознакомлены с соответствующим положением, - данная норма обязывает ознакомить работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников, а <ОБЕЗЛИЧЕНО> ознакомило работников лишь со своим Положением о защите персональных данных, что не подменяет ознакомления с нормативными актами федерального законодательства и Политикой, которой у данного юридического лица на момент проверки не было.
В соответствии с ч. 2 ст. 18.1 указанного выше закона оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
В нарушение указанных требований не опубликован или не обеспечен неограниченный доступ к документу, определяющему политику <ОБЕЗЛИЧЕНО> в отношении обработки персональных данных и к сведениям о реализуемых требованиях к защите персональных данных.
Диспозиция ст.13.11 КоАП РФ предусматривает ответственность за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).
В ходе рассмотрения административного материала установлен факт нарушения ФИО положений Закона РФ «О персональных данных», что свидетельствует о совершении ею административного правонарушения, предусмотренного ст.13.11 КоАП РФ, - нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).
Согласно выписке из протокола <ОБЕЗЛИЧЕНО> от <ДАТА11> <ОБЕЗЛИЧЕНО> выбрана ФИО.
Ее вина в совершении административного правонарушения подтверждается актом проверки от <ДАТА5>, исследованными документами, Уставом <ОБЕЗЛИЧЕНО> а также ее объяснениями, согласно которым по большей части совершение правонарушения она не оспаривала.
В соответствии с примечанием к статье 2.4 Кодекса РФ об административных правонарушениях руководители и другие работники иных организацией, совершившие административные правонарушения в связи с выполнением организационно - распорядительных или административно - хозяйственных функций, несут административную ответственность как должностные лица.
ФИО является <ОБЕЗЛИЧЕНО> <ОБЕЗЛИЧЕНО> следовательно, она несет административную ответственность как должностное лицо.
При назначении наказания судом учитываются конкретные обстоятельства дела, тот факт, что руководителем юридического лица предприняты меры для устранения выявленных нарушений, а также личность лица, в отношении которого ведется производство об административном правонарушении: привлекается к административной ответственности впервые, вину признала частично, смягчающих и отягчающих наказание обстоятельств не имеет
На основании вышеизложенного, руководствуясь ст. ст. 3.5, 29.9. ч.1 п.1, 29.10 КоАП РФ,
постановил:
Признать <ФИО4> виновной в совершении административного правонарушения, предусмотренного ст.13.11 КоАП РФ и назначить ей наказание в виде административного штрафа в размере <ОБЕЗЛИЧЕНО> в доход государства с перечислением суммы штрафа на р/сч р/с 40101810300000010010 УФК по Саратовской области (Прокуратура Саратовской области л/с 04601103100, г. Саратов, ул. им. Е.В. Григорьева, 33/39) Банк ГРКЦ ГУ Банка России по Саратовской области г. Саратов ИНН 6450014678 КПП 645001001 БИК 046311001 КБК 41511690010010000140 ОКТМО 63701000, наименователь платежа - прокуратура г.Саратова.Разъяснить ФИО,что сумму административного штрафа необходимо оплатить в течение 60 дней после вступления постановления в законную силу и предоставить квитанцию об оплате штрафа на судебный участок № 3 Фрунзенского района г. Саратова.
Постановление может быть обжаловано в течение десяти дней со дня получения его копии во Фрунзенский районный суд г.Саратова путем подачи жалобы через мирового судью.
Мировой судья: Н.В.Невзорова
ИСТОЧНИК:http://118.sar.msudrf.ru/modules.php?name=sud_delo&op=sd&number=2237053&delo_id=1500001
Принятие мер, предусмотренных законом
Обязанность оператора
Политика
категорий:
Отсутствие политики при сборе персональных данных на сайте
Сбор персональных данных на сайте в отсутствие политики
Требование об уничтожении мед.карты, сведений из ЕГИСЗ
Ненаправление уведомления об обработке в уполномоченный орган
Отсутствие политики, ответственного, ознакомления с законодательством
Неправомерный доступ к персональным данным клиентов
Оператором не исполняются требования федерального закона "О персональных данных"