
Решение по административному делу
Дело № 5-537/2015 г.
П О С Т А Н О В Л Е Н И Е
по делу об административном правонарушении
« 2 » декабря 2015 года г.Саратов
г.Саратов ул.Большая Садовая, 158 каб.522
Мировой судья судебного участка № 3 Фрунзенского района г. Саратова Невзорова Н.В. при секретаре ФИО,с участием представителя прокуратуры - помощника прокурора г.Саратова ФИО и
законного представителя юридического лица ФИО,
рассмотрев в судебном заседании материалы дела в отношении <ФИО1>, <ДАТА2> г.рождения, зарегистрированной по адресу: <АДРЕС>, фактически проживающей по адресу<АДРЕС>, <ОБЕЗЛИЧЕНО>
в совершении административного правонарушения, предусмотренного ст.13.11 КоАП РФ,
установил:
ФИО, являясь <ОБЕЗЛИЧЕНО> <ДАТА3> по месту регистрации юридического лица по адресу: <АДРЕС> в нарушение требований Федерального закона №152-ФЗ от 27.07.2006 «О персональных данных»:
- не подала в адрес Управления Роскомнадзора по Саратовской области уведомление об обработке (о намерении осуществлять обработку) персональных данных,
- не оформила документ, определяющий политику <ОБЕЗЛИЧЕНО> в отношении обработки персональных данных, данный документ не опубликован и не обеспечен неограниченный доступ к нему,
- не оформила документ, определяющий осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных,
- не оформила документ, определяющий проведение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона № 152-ФЗ от 27.07.2006 «О персональных данных»,
- не оформила документы, подтверждающие ознакомление работников <ОБЕЗЛИЧЕНО> непосредственно осуществляющих обработку персональных данных с положениями законодательства Российской Федерации о персональных данных и документами, определяющими политику данного некоммерческого партнерства в отношении обработки персональных данных, а также
- не имела сведений об информировании лиц, осуществляющих обработку персональных данных без использования средств автоматизации (сотрудники <ОБЕЗЛИЧЕНО> о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии).
При рассмотрении материала представитель прокуратуры постановление о привлечении ФИО поддержал и дополнительно пояснил, что в отношении юридического лица проводилась комплексная проверка разными службами, те документы, что не были предоставлены на момент проверки, можно было донести позже в прокуратуру до составления акта и настоящий момент часть выявленных нарушений юридическое лицо устранило, но за бездействие юридического лица несет ответственность его руководитель, поэтому постановление вынесено и в отношении председателя правления.
ФИО вину в совершении административного правонарушения признала частично, не оспаривая отсутствие политики и других документов, указанных в постановлении, но заявила, что у них были Положение по защите персональных данных и Правила обработки персональных данных, осуществляемой без использования средств автоматизации, с которыми работники партнерства, ознакомлены под роспись, а уведомление в Роскомнадзор они не направляли, так как считали, что относятся к исключению, указанному в Законе «О персональных данных». В настоящее время уведомление передано, Политика в отношении обработки персональных данных утверждена, а предупреждения работников, работающих с персональными данными, были наклеены на сами коробки, в которых хранились персональные данные членов правления, сотрудников, занимающихся в Центре и интересующихся.
Выслушав представителя прокуратуры, ФИО, показания свидетеля и изучив материалы дела, суд приходит к следующему: В соответствие с ч.1 ст.27 Закона РФ « О прокуратуре» при осуществлении возложенных на него функций прокурор:
рассматривает и проверяет заявления, жалобы и иные сообщения о нарушении прав и свобод человека и гражданина;
разъясняет пострадавшим порядок защиты их прав и свобод;
принимает меры по предупреждению и пресечению нарушений прав и свобод человека и гражданина, привлечению к ответственности лиц, нарушивших закон, и возмещению причиненного ущерба;
использует полномочия, предусмотренные статьей 22 настоящего Федерального закона.
В соответствие с частями 1 и 2 вышеуказанного закона прокурор при осуществлении возложенных на него функций вправе:
по предъявлении служебного удостоверения беспрепятственно входить на территории и в помещения органов, указанных в пункте 1 статьи 21 настоящего Федерального закона, иметь доступ к их документам и материалам, проверять исполнение законов в связи с поступившей в органы прокуратуры информацией о фактах нарушения закона;
требовать от руководителей и других должностных лиц указанных органов представления необходимых документов, материалов, статистических и иных сведений; выделения специалистов для выяснения возникших вопросов; проведения проверок по поступившим в органы прокуратуры материалам и обращениям, ревизий деятельности подконтрольных или подведомственных им организаций;
вызывать должностных лиц и граждан для объяснений по поводу нарушений законов.
Прокурор или его заместитель по основаниям, установленным законом, возбуждает производство об административном правонарушении, требует привлечения лиц, нарушивших закон, к иной установленной законом ответственности, предостерегает о недопустимости нарушения закона.
В ходе рассмотрения материала установлено, что основанием для проведения проверки <ОБЕЗЛИЧЕНО> явилось заявление <ФИО2>, адресованное прокурору Саратовской области, которое тот переадресовал для проведения проверки в прокуратуру города.
Проверка проводилась <ДАТА3> с помещением юридического лица по месту его нахождения, а результатом явилось составление <ДАТА5> акта.
В соответствии с Федеральным законом от 27.06.2006 № 152-ФЗ «О персональных данных» (далее - Закон), персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
В соответствии с п. 1 ч. 1 ст. 6 Федерального закона «О персональных данных» обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
Обработка персональных данных без согласия субъекта персональных данных допускается при наличии оснований, указанных в п.п. 2-11 ч.1 ст. 6 Закона.
В соответствии с п. 2 ч. 1 ст. 6 Закона обработка персональных данных без согласия субъекта персональных данных допускается в случае, если она необходима для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей.
Согласно ч.1 ст. 22 федерального закона № 152-ФЗ от 27.07.2006 «О персональных данных» оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи. Требования к оформлению такого рода уведомления установлены в ч.3 настоящей статьи.
В ходе проверки на предмет исполнения законодательства о защите персональных данных, установлено, что некоммерческое партнерство «НАИМЕНОВАНИЕ» не подавало в адрес Управления Роскомнадзора по Саратовской области уведомление об обработке (о намерении осуществлять обработку) персональных данных.
Начальник отдела по защите прав субъектов персональных данных и надзора в сфере информационных технологий Управления Роскомнадзора по Саратовской области <ФИО3>, допрошенный в качестве свидетеля, показал, что <ОБЕЗЛИЧЕНО> осуществляет обработку персональных данных не только сотрудников Центра, но и посторонних лиц, поэтому к исключениям, перечисленным в ч.2 ст.22 Закона не относится.
Проанализировав положения ч.2 ст.22 Закона РФ «О персональных данных» судья соглашается с тем, что данное юридическое лицо к исключениям, освобожденным от направления уведомления в Роскомнадзор, не относится. Ошибочное толкование руководителем <ОБЕЗЛИЧЕНО> вышеуказанной нормы основанием для освобождения от административной ответственности не является. К тому же, <ДАТА7> необходимое уведомление руководителем Некоммерческого партнерства передано в Роскомнадзор.
В соответствии со ст. 18.1 Закона РФ № 152-ФЗ от 27.07.2006 г. «О персональных данных» оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам могут, в частности, относиться - издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений (п. 2 ч. 1 данной стать); - осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора (п.4 ч.1 данной статьи); - оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом (п.5 ч.1 данной статьи); - ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников (п.6 ч.1 данной статьи);
В ходе судебного разбирательства установлено, что документы, указанные в вышеперечисленных положениях Закона у <ОБЕЗЛИЧЕНО> на момент проверки <ДАТА3> отсутствовали.
Свидетель <ФИО3> показал, что требования к определенной форме документов, указанных в ст.18.1 Закона, действующим законодательством не установлено, поэтому саму форму определяют юридические лица сами для себя самостоятельно, но соответствующий приказ об утверждении Политики в отношении обработки персональных данных, осуществления контроля, оценки вреда руководитель юридического лица должен издать.
ФИО были представлены Положение по защите персональных данных, обрабатываемых без использования средств автоматизации, утвержденное 15.01.2015 г. и Правила обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденные 15.01.2015 г., однако при буквальном толковании положений Закона, у юридического лица должен быт документ, именуемый именно как «Политика в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных». Такой документ <ОБЕЗЛИЧЕНО> был принят лишь 1.10.2015 г., то есть после проведения прокурорской проверки, что суд расценивает как частичное устранение выявленных нарушений законодательства.
При этом, суд не соглашается с доводами ФИО о том, что требования п.6 ч.1 ст.18.1 Закона РФ ими были выполнены, так как сотрудники Партнерства, задействованные в обработке персональных данных, были ознакомлены с соответствующим положением, - данная норма обязывает ознакомить работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников, а <ОБЕЗЛИЧЕНО> ознакомило работников лишь со своим Положением о защите персональных данных, что не подменяет ознакомления с нормативными актами федерального законодательства и Политикой, которой у данного юридического лица на момент проверки не было.
В соответствии с ч. 2 ст. 18.1 указанного выше закона оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
В нарушение указанных требований не опубликован или не обеспечен неограниченный доступ к документу, определяющему политику <ОБЕЗЛИЧЕНО> в отношении обработки персональных данных и к сведениям о реализуемых требованиях к защите персональных данных.
Диспозиция ст.13.11 КоАП РФ предусматривает ответственность за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).
В ходе рассмотрения административного материала установлен факт нарушения ФИО положений Закона РФ «О персональных данных», что свидетельствует о совершении ею административного правонарушения, предусмотренного ст.13.11 КоАП РФ, - нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).
Согласно выписке из протокола <ОБЕЗЛИЧЕНО> от <ДАТА11> <ОБЕЗЛИЧЕНО> выбрана ФИО.
Ее вина в совершении административного правонарушения подтверждается актом проверки от <ДАТА5>, исследованными документами, Уставом <ОБЕЗЛИЧЕНО> а также ее объяснениями, согласно которым по большей части совершение правонарушения она не оспаривала.
В соответствии с примечанием к статье 2.4 Кодекса РФ об административных правонарушениях руководители и другие работники иных организацией, совершившие административные правонарушения в связи с выполнением организационно - распорядительных или административно - хозяйственных функций, несут административную ответственность как должностные лица.
ФИО является <ОБЕЗЛИЧЕНО> <ОБЕЗЛИЧЕНО> следовательно, она несет административную ответственность как должностное лицо.
При назначении наказания судом учитываются конкретные обстоятельства дела, тот факт, что руководителем юридического лица предприняты меры для устранения выявленных нарушений, а также личность лица, в отношении которого ведется производство об административном правонарушении: привлекается к административной ответственности впервые, вину признала частично, смягчающих и отягчающих наказание обстоятельств не имеет
На основании вышеизложенного, руководствуясь ст. ст. 3.5, 29.9. ч.1 п.1, 29.10 КоАП РФ,
постановил:
Признать <ФИО4> виновной в совершении административного правонарушения, предусмотренного ст.13.11 КоАП РФ и назначить ей наказание в виде административного штрафа в размере <ОБЕЗЛИЧЕНО> в доход государства с перечислением суммы штрафа на р/сч р/с 40101810300000010010 УФК по Саратовской области (Прокуратура Саратовской области л/с 04601103100, г. Саратов, ул. им. Е.В. Григорьева, 33/39) Банк ГРКЦ ГУ Банка России по Саратовской области г. Саратов ИНН 6450014678 КПП 645001001 БИК 046311001 КБК 41511690010010000140 ОКТМО 63701000, наименователь платежа - прокуратура г.Саратова.Разъяснить ФИО,что сумму административного штрафа необходимо оплатить в течение 60 дней после вступления постановления в законную силу и предоставить квитанцию об оплате штрафа на судебный участок № 3 Фрунзенского района г. Саратова.
Постановление может быть обжаловано в течение десяти дней со дня получения его копии во Фрунзенский районный суд г.Саратова путем подачи жалобы через мирового судью.
Мировой судья: Н.В.Невзорова
ИСТОЧНИК:http://118.sar.msudrf.ru/modules.php?name=sud_delo&op=sd&number=2237053&delo_id=1500001
Принятие мер, предусмотренных законом
Обязанность оператора
Политика
категорий:
Нарушения в деятельности медицинской организации
Отсутствие политики, назначение ответственным за обработку ПДн в ИСПДн не работника организации
При сборе персональных данных на интернет-ресурсе отсутствует политика
Неисполнение обязанностей, возложенных законом на оператора
Нарушения при обработке персональных данных абонентов
Отказ банком субъекту в уничтожении его персональных данных после отзыва согласия
Отсутствие в реестре операторов
Муниципальным органом не приняты меры, предусмотренные законодательством
На сайте не размещен документ, определяющий политику
Невыполнение оператором обязанности по размещению политики на сайте
Отсутствие политики на сайте при осуществлении дистанционной продажи
В результате проверки выявлено несколько нарушений законодательства
Оператором не приняты надлежащие меры согласно требованиям ФЗ "О персональных данных"