Решение по административному делу

ПОСТАНОВЛЕНИЕ

 09 июня 2017 года                                                          г. Астрахань

Суд в составе мирового судьи судебного участка №6 Кировского района г. Астрахани Мусагалиевой Г.А., при ведении протокола судебного заседания секретарем ФИО, (г. Астрахань, ул. Адмиралтейская, д.42), рассмотрев дело об административном правонарушении, предусмотренном ст.13.11 Кодекса Российской Федерации об административных правонарушениях в отношении ответственного за организацию обработки персональных данных работников и обратившегося населения  <ФИО1>, <ДАТА2> рождения, уроженца г. <АДРЕС> края, зарегистрированного по адресу: г. <АДРЕС>, ул. <АДРЕС>, сведений о привлечении  к административной ответственности не имеется,

                                        УСТАНОВИЛ:

 <ФИО2>, являясь ответственным за организацию обработки персональных данных работников и обратившегося населения ГБУЗ АО «Наименование», расположенного по адресу: г. <АДРЕС>, ул. <АДРЕС>, 57 в период с <ДАТА3>  по <ДАТА4>  совершал обработку избыточных персональных данных по отношению к заявленным целям их обработки; нарушение конфиденциальности при обработке персональных данных; непредставление в уполномоченный орган сведений об изменении информации, содержащейся в уведомлении об обработке персональных данных, а также ненадлежащий контроль при даче организациям поручений по обработке персональных данных, не предусматривающих обязанность по соблюдению конфиденциальности персональных данных и обеспечению их безопасности, требования к защите обрабатываемых персональных данных.

В судебном заседании представитель <ФИО3> - <ФИО4> вину в совершении административного правонарушения признала в части осуществления обработки специальной категории персональных данных - национальность,  в остальной части нарушения не признала.

Представитель прокуратуры <АДРЕС> района г. <АДРЕС> <ФИО5> в судебном заседании доводы, изложенные в постановлении о возбуждении производства по делу об административном правонарушении поддержала в полном объеме.

Суд, выслушав участников процесса, опросив свидетелей, исследовав материалы дела, приходит  к следующему выводу.

 Статьей 13.11 Кодекса Российской Федерации об административных правонарушениях предусмотрена административная ответственность за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).

Отношения, связанные с обработкой персональных данных, осуществляемой юридическими лицами с использованием средств автоматизации, в том числе   в информационно-телекоммуникационных сетях, урегулированы Федеральным законом от <ДАТА5> <НОМЕР> «О персональных данных».

Одним из принципов обработки персональных данных в силу ч. 1 ст. 5 Федерального закона от <ДАТА5> <НОМЕР> «О персональных данных» является осуществление обработки персональных данных на законной и справедливой основе.

В соответствии с п. 1 ст. 3 Федерального закона от <ДАТА5> <НОМЕР> «О персональных данных» персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Оператором в силу п. 2 ст. 3 Федерального закона от <ДАТА5> <НОМЕР> «О персональных данных» является государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

В силу ч. 5 ст. 5 Федерального закона от <ДАТА5> <НОМЕР> содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

В соответствии с ч. 3 ст. 6 Федерального закона от <ДАТА5> <НОМЕР> оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее -поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные указанным Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 указанного Федерального закона.

Согласно ст. 7 Федерального закона от <ДАТА5> <НОМЕР> операторы  и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

В соответствии с ч. 7 ст. 22 Федерального закона от <ДАТА5> <НОМЕР>  в случае изменения категории персональных данных, а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.

В судебном заседании установлено, что прокуратурой района в апреле 2017 года рассмотрена информация руководителя Управления Роскомнадзора по <АДРЕС> области о нарушении законодательства о персональных данных.  В деятельности ГБУЗ АО «Наименование» (ГБУЗ АО «Наименование») выявлены следующие нарушения.

Установлено, что в нарушение ч. 5 ст. 5 Федерального закона от <ДАТА5> <НОМЕР> ГБУЗ АО «Наименование» осуществляется обработка избыточных персональных данных по отношению к заявленным целям их обработки.

Так, в документации на предоставление стандартных налоговых вычетов по доходу с физических лиц (копия свидетельства о рождении <ФИО6>), анкетах уволенных сотрудников (<ФИО7>, <ФИО8>, <ФИО9>, <ФИО10>, <ФИО11>) и действующих сотрудников (<ФИО12>, <ФИО13>), копиях свидетельства о рождении <ФИО14> и паспорта <ФИО15> учреждением осуществляется обработка специальной категории персональных данных - национальность.

При обращении в учреждение граждан из других регионов запрашиваются копии паспортов и направляются в отдел по финансовому учету средств обязательного медицинского страхования.

Помимо этого, в информационно-телекоммуникационной сети «Интернет» на сайте ГБУЗ АО «Наименование» в разделе «Обратная связь» размещены благодарственные письма пациентов <ФИО16> и <ФИО17>, содержащие фамилию, инициалы, состояние здоровья, адрес, номер телефона, чем нарушено также   и требование закона о конфиденциальности при обработке персональных данных.

Кроме того, в нарушение ч. 3 ст. 6 Федерального закона от <ДАТА5> <НОМЕР> в поручении лицу, которому ГБУЗ АО «Наименование» поручается обработка персональных данных, обязанность соблюдения конфиденциальности персональных данных и обеспечения их безопасности, а также требования к защите обрабатываемых персональных данных не предусмотрена.

Так, ГБУЗ АО «Наименование» заключены договора с банком «ВТБ 24» от <ДАТА6> <НОМЕР> на обслуживание по выплате денежных средств работникам с использованием банковских карт, эмитируемых Банком, с ПАО «МинБанк» от <ДАТА7> <НОМЕР> о банковском обслуживании с использованием программно-технического комплекса «Интернет-Банк», с ОАО «Сбербанк России» от <ДАТА8> <НОМЕР>  о порядке выпуска и обслуживания международных карт для работников, с ПАО «Росбанк» от <ДАТА9> о предоставлении услуг по переводу денежных средств на счета физических лиц, ОАО «Газпромбанк» от <ДАТА10> <НОМЕР> о зачислении денежных средств на открытые в банке счета.

Вместе с тем, названными договорами не предусмотрены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, меры по обеспечению безопасности персональных данных при их обработке, а также требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона от <ДАТА5> <НОМЕР>.

Между ГБУЗ АО «Наименование» и ООО «Наименование» заключены контракт от <ДАТА11> <НОМЕР> по сопровождению региональной информационно-аналитической медицинской системы (РИАМС) «Название» и соглашение о конфиденциальности при осуществлении информационного взаимодействия, не предусматривающие перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных.

В нарушение ч. 7 ст. 22 Федерального закона от <ДАТА5> <НОМЕР> ГБУЗ АО «Наименование» в информационном письме о внесении изменений в сведения в реестре операторов от <ДАТА12>, направленном в Управление Роскомнадзора по <АДРЕС> области, к категориям персональных данных не указана информация об обработке паспортных данных, ИНН, СНИЛС, сведений о воинском учете, составе семьи, доходах, образовании, трудовой деятельности и прочих сведений, обработка которых осуществляется в соответствии с Положением о составе и категории обрабатываемых персональных данных, утвержденным приказом от <ДАТА13> <НОМЕР> «О проведении работ по защите персональных данных в ГБУЗ АО «Наименование».

Приказом исполняющего обязанности главного врача ГБУЗ АО «Наименование» от <ДАТА3> <НОМЕР> на должность ведущего инженера назначен <ФИО2>

Согласно должностной инструкции ведущего инженера, <ДАТА14> утвержденной  главным  врачом  учреждения,   ведущий  инженер  осуществляет руководство деятельностью организационно-технического отдела, контроль выполнение производственных заданий, своевременное выполнение отдельных поручений подчиненными ему работниками, дает подчиненным ему работникам поручения, задания по кругу вопросов, входящих в его функциональные обязанности.

Приказом главного врача ГБУЗ АО «Наименование» от <ДАТА15> <НОМЕР> <ФИО2> назначен ответственным за организацию обработки персональных данных работников и обратившегося в учреждение населения.

В соответствии с должностной инструкцией ответственного за организацию обработки персональных данных, утвержденной приказом главного врача ГБУЗ АО «Наименование» <ДАТА13>, <ФИО2> обязан принимать правовые, организационные и технические меры по обеспечению безопасности персональных данных при их обработке, при эксплуатации информационных систем персональных данных.

Указанные обстоятельства подтверждаются постановлением о возбуждении дела об административном правонарушении от <ДАТА16>, другими материалами дела.

Таким образом, суд приходит к выводу о наличии в действиях ответственного за организацию обработки персональных данных работников  и обратившегося населения <ФИО3> состава административного правонарушения, предусмотренного ст. 13.11 Кодекса Российской Федерации об административных правонарушениях - нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).

При назначении наказания суд учитывает характер совершенного административного правонарушения, личность виновного, его имущественное положение; обстоятельства дела, смягчающие и отягчающие административную ответственность обстоятельства, которые судом  не усмотрены.

На основании изложенного и руководствуясь ст.ст.4.1, ст.13.11, 29.9, 29.10 Кодекса Российской Федерации об административных правонарушениях, суд

ПОСТАНОВИЛ:

Признать ответственного за организацию обработки персональных данных работников  и обратившегося населения  <ФИО1> виновным в совершении административного правонарушения, предусмотренного ст.13.11 Кодекса Российской Федерации об административных правонарушениях назначить наказание в виде предупреждения.

Постановление может быть обжаловано и опротестовано в Кировский районный суд города Астрахани в течение десяти суток со дня вручения или получения копии постановления.

Мотивированное постановление изготовлено 09 июня 2017 года.

                         Мировой судья                          Г.А. Мусагалиева

Источник:http://kir6.ast.msudrf.ru/modules.php?name=sud_delo&op=sd&number=597205&delo_id=1500001