Судебная практика

Решение по административному делу

Дело № 5-537/2015 г.

П О С Т А Н О В Л Е Н И Е

 по делу об административном правонарушении

 

« 2 » декабря 2015 года                                                     г.Саратов

                г.Саратов ул.Большая Садовая, 158   каб.522                                                                     

Мировой судья судебного участка № 3 Фрунзенского района г. Саратова Невзорова Н.В. при секретаре ФИО,с участием представителя прокуратуры - помощника прокурора г.Саратова ФИО и

законного представителя юридического лица ФИО,

рассмотрев в судебном заседании материалы дела в отношении  <ФИО1>, <ДАТА2> г.рождения, зарегистрированной по адресу: <АДРЕС>, фактически проживающей по адресу<АДРЕС>, <ОБЕЗЛИЧЕНО>  

в совершении административного правонарушения, предусмотренного ст.13.11 КоАП РФ,

установил:

 ФИО, являясь <ОБЕЗЛИЧЕНО> <ДАТА3> по месту регистрации юридического лица по адресу: <АДРЕС>  в нарушение требований Федерального закона №152-ФЗ от 27.07.2006 «О персональных данных»: 

- не подала в адрес Управления Роскомнадзора по Саратовской области уведомление об обработке (о намерении осуществлять обработку) персональных данных,

- не оформила документ,  определяющий политику <ОБЕЗЛИЧЕНО> в отношении обработки персональных данных, данный документ не опубликован и не обеспечен неограниченный доступ к нему,

- не оформила документ, определяющий осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных,

- не оформила документ, определяющий проведение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона № 152-ФЗ от 27.07.2006 «О персональных данных»,

- не оформила документы, подтверждающие ознакомление работников <ОБЕЗЛИЧЕНО> непосредственно осуществляющих обработку персональных данных с положениями законодательства Российской Федерации о персональных данных и документами, определяющими политику данного некоммерческого партнерства в отношении обработки персональных данных, а также

- не имела сведений об информировании лиц, осуществляющих обработку персональных данных без использования средств автоматизации (сотрудники <ОБЕЗЛИЧЕНО> о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии).

 При рассмотрении материала представитель прокуратуры постановление о привлечении ФИО поддержал и дополнительно пояснил, что в отношении  юридического лица проводилась комплексная проверка разными службами, те документы, что не были предоставлены на момент проверки, можно было донести позже в прокуратуру до составления акта и настоящий момент часть выявленных нарушений юридическое лицо устранило, но за бездействие юридического лица несет ответственность его руководитель, поэтому постановление вынесено и в отношении председателя правления.

 ФИО вину в совершении административного правонарушения признала частично, не оспаривая отсутствие политики и других документов, указанных в постановлении, но заявила, что у них были Положение по защите персональных данных и Правила обработки персональных данных, осуществляемой без использования средств автоматизации, с которыми работники партнерства, ознакомлены под роспись, а уведомление в Роскомнадзор они не направляли, так как считали, что относятся к исключению, указанному в Законе «О персональных данных». В настоящее время уведомление передано, Политика в отношении обработки персональных данных утверждена, а предупреждения работников, работающих с персональными данными, были наклеены на сами коробки, в которых хранились персональные данные членов правления, сотрудников, занимающихся в Центре и интересующихся.

   Выслушав представителя прокуратуры, ФИО, показания свидетеля и изучив материалы дела, суд приходит к следующему: В соответствие с ч.1 ст.27 Закона РФ « О прокуратуре» при осуществлении возложенных на него функций прокурор:

рассматривает и проверяет заявления, жалобы и иные сообщения о нарушении прав и свобод человека и гражданина;

разъясняет пострадавшим порядок защиты их прав и свобод;

принимает меры по предупреждению и пресечению нарушений прав и свобод человека и гражданина, привлечению к ответственности лиц, нарушивших закон, и возмещению причиненного ущерба;

использует полномочия, предусмотренные статьей 22 настоящего Федерального закона.

 В  соответствие с частями 1 и 2 вышеуказанного закона прокурор при осуществлении возложенных на него функций вправе:

по предъявлении служебного удостоверения беспрепятственно входить на территории и в помещения органов, указанных в пункте 1 статьи 21 настоящего Федерального закона, иметь доступ к их документам и материалам, проверять исполнение законов в связи с поступившей в органы прокуратуры информацией о фактах нарушения закона;

требовать от руководителей и других должностных лиц указанных органов представления необходимых документов, материалов, статистических и иных сведений; выделения специалистов для выяснения возникших вопросов; проведения проверок по поступившим в органы прокуратуры материалам и обращениям, ревизий деятельности подконтрольных или подведомственных им организаций;

вызывать должностных лиц и граждан для объяснений по поводу нарушений законов.

 Прокурор или его заместитель по основаниям, установленным законом, возбуждает производство об административном правонарушении, требует привлечения лиц, нарушивших закон, к иной установленной законом ответственности, предостерегает о недопустимости нарушения закона.

   В ходе рассмотрения материала установлено, что основанием для проведения проверки <ОБЕЗЛИЧЕНО> явилось заявление <ФИО2>, адресованное прокурору Саратовской области, которое тот переадресовал для проведения проверки в прокуратуру города.

     Проверка проводилась <ДАТА3> с помещением юридического лица по месту его нахождения, а результатом явилось составление <ДАТА5> акта.

 В соответствии с Федеральным законом от 27.06.2006 № 152-ФЗ «О персональных данных» (далее - Закон), персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

 В соответствии с п. 1 ч. 1 ст. 6 Федерального закона «О персональных данных» обработка персональных данных осуществляется  с согласия субъекта персональных данных на обработку его персональных данных.

 Обработка персональных данных без согласия субъекта  персональных данных допускается при наличии оснований, указанных в п.п. 2-11 ч.1 ст. 6 Закона.

 В соответствии с п. 2 ч. 1 ст. 6 Закона обработка персональных данных без согласия субъекта персональных данных допускается в случае, если она необходима для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей.

     Согласно ч.1 ст. 22 федерального закона № 152-ФЗ от 27.07.2006 «О персональных данных»  оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи. Требования к оформлению такого рода уведомления установлены в ч.3 настоящей статьи.

 В ходе проверки на предмет исполнения законодательства о защите персональных данных, установлено, что некоммерческое партнерство «НАИМЕНОВАНИЕ» не подавало в адрес Управления Роскомнадзора по Саратовской области уведомление об обработке (о намерении осуществлять обработку) персональных данных.

 Начальник отдела по защите прав субъектов персональных данных и надзора в сфере информационных технологий Управления Роскомнадзора по Саратовской области <ФИО3>, допрошенный в качестве свидетеля, показал, что <ОБЕЗЛИЧЕНО> осуществляет обработку персональных данных не только сотрудников Центра, но и посторонних лиц, поэтому к исключениям, перечисленным в ч.2 ст.22 Закона не относится.    

 Проанализировав положения ч.2 ст.22 Закона РФ «О персональных данных» судья соглашается с тем, что данное юридическое лицо к исключениям, освобожденным от направления уведомления в Роскомнадзор, не относится. Ошибочное толкование руководителем <ОБЕЗЛИЧЕНО> вышеуказанной нормы основанием для освобождения от административной ответственности не является. К тому же, <ДАТА7> необходимое уведомление руководителем Некоммерческого партнерства передано в Роскомнадзор.

 В соответствии со ст. 18.1 Закона РФ № 152-ФЗ от 27.07.2006 г. «О персональных данных» оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам могут, в частности, относиться - издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений (п. 2 ч. 1 данной стать); - осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора (п.4 ч.1 данной статьи); - оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом (п.5 ч.1 данной статьи); - ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников (п.6 ч.1 данной статьи);

 В ходе судебного разбирательства установлено, что документы, указанные в вышеперечисленных положениях Закона у <ОБЕЗЛИЧЕНО> на момент проверки <ДАТА3> отсутствовали.

 Свидетель <ФИО3> показал, что требования к определенной форме документов, указанных в ст.18.1 Закона, действующим законодательством не установлено, поэтому саму форму определяют юридические лица сами для себя самостоятельно, но соответствующий приказ об утверждении Политики в отношении обработки персональных данных, осуществления контроля, оценки вреда руководитель юридического лица должен издать.

 ФИО были представлены Положение по защите персональных данных, обрабатываемых без использования средств автоматизации, утвержденное 15.01.2015 г. и Правила обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденные 15.01.2015 г., однако при буквальном толковании положений Закона, у юридического лица должен быт документ, именуемый именно как «Политика в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных». Такой документ <ОБЕЗЛИЧЕНО> был принят лишь 1.10.2015 г., то есть после проведения прокурорской проверки, что суд расценивает как частичное устранение выявленных нарушений законодательства.    

   При этом, суд не соглашается с доводами ФИО о том, что требования п.6 ч.1 ст.18.1 Закона РФ ими были выполнены, так как сотрудники Партнерства, задействованные в обработке персональных данных, были ознакомлены с соответствующим положением, -  данная норма обязывает ознакомить работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников, а <ОБЕЗЛИЧЕНО> ознакомило работников лишь со своим Положением о защите персональных данных, что не подменяет ознакомления с нормативными актами федерального законодательства и Политикой, которой у данного юридического лица на момент проверки не было.

 В соответствии с ч. 2 ст. 18.1 указанного выше закона оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

 В нарушение указанных требований не опубликован или не обеспечен неограниченный доступ к документу, определяющему политику <ОБЕЗЛИЧЕНО> в отношении обработки персональных данных и к сведениям о реализуемых требованиях к защите персональных данных.

  Диспозиция ст.13.11 КоАП РФ предусматривает ответственность за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).

  В ходе рассмотрения административного материала установлен факт нарушения ФИО положений Закона РФ «О персональных данных», что свидетельствует о совершении ею административного правонарушения, предусмотренного ст.13.11 КоАП РФ, - нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).

 Согласно выписке из протокола <ОБЕЗЛИЧЕНО> от <ДАТА11> <ОБЕЗЛИЧЕНО> выбрана ФИО.

 Ее вина в совершении административного правонарушения подтверждается актом проверки от <ДАТА5>, исследованными документами, Уставом <ОБЕЗЛИЧЕНО> а также ее объяснениями, согласно которым по большей части совершение правонарушения она не оспаривала.

 В соответствии с примечанием к статье 2.4 Кодекса РФ об административных правонарушениях руководители и другие работники иных организацией, совершившие административные правонарушения в связи с выполнением организационно - распорядительных или административно - хозяйственных функций, несут административную ответственность как должностные лица.

 ФИО является <ОБЕЗЛИЧЕНО> <ОБЕЗЛИЧЕНО> следовательно, она несет административную ответственность как должностное лицо.

 При назначении наказания судом учитываются конкретные обстоятельства дела, тот факт, что руководителем юридического лица предприняты меры для устранения выявленных нарушений, а также личность лица, в отношении которого ведется производство об административном правонарушении: привлекается к административной ответственности впервые, вину признала частично,  смягчающих и отягчающих наказание обстоятельств не имеет

На основании вышеизложенного, руководствуясь ст. ст. 3.5,  29.9. ч.1 п.1, 29.10 КоАП РФ, 

постановил:

 Признать <ФИО4> виновной в совершении административного правонарушения, предусмотренного ст.13.11 КоАП РФ и назначить ей наказание в виде административного штрафа в размере <ОБЕЗЛИЧЕНО> в доход государства с перечислением суммы штрафа на р/сч р/с 40101810300000010010 УФК по Саратовской области (Прокуратура Саратовской области л/с 04601103100, г. Саратов, ул. им. Е.В. Григорьева, 33/39) Банк ГРКЦ ГУ Банка России по Саратовской области г. Саратов ИНН 6450014678 КПП 645001001 БИК 046311001 КБК 41511690010010000140 ОКТМО 63701000, наименователь платежа - прокуратура г.Саратова.Разъяснить ФИО,что сумму административного штрафа необходимо  оплатить в течение 60 дней после вступления постановления в законную силу и предоставить квитанцию об оплате штрафа на судебный участок № 3 Фрунзенского района г. Саратова.

Постановление может быть обжаловано в течение десяти дней со дня получения его копии во Фрунзенский районный суд г.Саратова путем подачи жалобы через мирового судью.

Мировой судья:                                                     Н.В.Невзорова

ИСТОЧНИК:http://118.sar.msudrf.ru/modules.php?name=sud_delo&op=sd&number=2237053&delo_id=1500001

Информация по делу
Статьи
13.11 КоАП РФ
Суд
Мировой судья судебного участка № 3 Фрунзенского района г. Саратова
Судья
Н.В.Невзорова
Дата решения
2015-12-02
Категории
Уведомление
Принятие мер, предусмотренных законом
Обязанность оператора
Политика
Другие дела из подобных
категорий:

Отсутствие на сайте оператора документа, определяющего политику и требования к защите персональных данных

Отсутствие политики при сборе персональных данных на сайте

Сбор персональных данных на сайте в отсутствие политики

Работники, осуществляющие обработку персональных данных, не были проинформированы о факте обработки ими персональных данных, категориях обрабатываемых персональных данных,об особенностях и правилах осуществления такой обработки

Отсутствие внутреннего контроля соответствия обработки персональных данных действующему законодательству и принятым нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора

Требование об уничтожении мед.карты, сведений из ЕГИСЗ

Ненаправление уведомления об обработке в уполномоченный орган

Отсутствие политики, ответственного, ознакомления с законодательством

Неправомерный доступ к персональным данным клиентов

Политика Общества в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных не опубликованы

Оператором не исполняются требования федерального закона "О персональных данных"

Неисполнение обязанности по блокированию персональных данных при получении запроса субъекта, не уведомление субъектов персональных данных о получении сведений об их персональных данных

В деятельности администрации выявлены нарушения

Не опубликование документа, определяющего политику в отношении обработки персональных данных, сведений о реализуемых требованиях к защите персональных данных

Несоблюдение Учреждением установленных законодательством РФ требований в области обработки персональных данных