Дело 5-726/2017 г.

П О С Т А Н О В Л Е Н И Е

          09 июня 2017 г.                                                 пос. Шексна

 Мировой судья по судебному участку № 40 Вологодской области Борисова К.И., с участием помощника прокурора Шекснинского района фио1, рассмотрев материалы дела об  административных правонарушениях, предусмотренных ст. 13.11 Кодекса Российской Федерации об административных правонарушениях в отношении муниципального учреждения дополнительного образования «Д» (персональные данные),

УСТАНОВИЛ :

28 апреля 2017 года в отношении МУ ДО «Д» вынесено постановление о возбуждении дела об административном правонарушении по ст. 13.11 КоАП РФ о следующем.

В соответствии с пунктом 1 статьи 3 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

В соответствии с ч. 1, п. 6 ч. 3 и ч. 7 ст. 22 Федерального закона № 152-ФЗ установлено, что оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.

Уведомление, предусмотренное частью 1 указанной статьи, направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. Уведомление должно содержать ряд сведений, в том числе перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных.

В случае изменения сведений, указанных в части 3 указанной статьи, а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.

В соответствии со справкой Управления Роскомнадзора по Вологодской области о результатах плановой выездной проверки в отношении МУ ДО «Д», в представленном МУ ДО «Д» уведомлении отражены меры, предусмотренные ст. 18.1 и ст. 19 Федерального закона от 27.07.2006 № 152 - ФЗ «О персональных данных», а именно: назначено ответственное лицо за организацию обработки персональных данных.

Однако, в данном уведомлении отсутствует перечень действий с персональными данными.

Условием прекращения обработки персональных данных является прекращение деятельности Учреждения в соответствии с действующим законодательством Российской Федерации.

Согласно уведомлению об обработке персональных данных в МУ ДО «Д» обрабатываются персональные данные граждан (учащихся) Российской Федерации, сотрудников МУ ДО «Д», обучающихся и их родителей (законных представителей).

В соответствии с уведомлением об обработке персональных данных в МУ ДО «Д» целью обработки персональных данных является регистрация сведений, необходимых для оказания услуг обучающимся в области дополнительного образования, персональных данных сотрудников (работников), сведений об их профессиональной деятельности.

В уведомлении об обработке , персональных данных указано, что МУ ДО «Д» осуществляет обработку следующих категорий персональных данных: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация (ИНН, паспортные данные, медицинский полис, страховое свидетельство), состояние здоровья обучающихся.

Вместе с тем, в ходе проверки выявлено., что в МУ ДО «Д» также обрабатываются такие персональные данные, как свидетельства о рождении обучающихся.

Согласно уведомлению об обработке персональных данных обработка персональных данных осуществляется методами смешанной обработки (с использованием ПЭВМ и на бумажных носителях), без передачи полученной информации в локально-вычислительных сетях организации, без использования сети общего пользования Интернет. Шифрование персональных данных не используется.

В соответствии с уведомлением об обработке персональных данных безопасность полученных данных обеспечивается стандартными методами разграничения прав доступа операционных систем (логины и пароли), хранением сведений (базы данных) организовано на электронных носителях с паролем, на бумажных носителях - в сейфах, ограничением доступа в помещения, где хранятся персональные данные;

Таким образом, уведомление об обработке персональных данных МУ ДО «Наименование» содержит неполные и недостоверные сведения, что является нарушением п. 6 ч. 3 и ч. 7 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Кроме того, обработка персональных данных работников осуществляется в соответствии Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», с Трудовым кодексом Российской Федерации, а также на основании заключаемого трудового договора. Кроме того, МУ ДО «Наименование» получает согласие работника на обработку его персональных данных при приеме на работу.

В соответствии со ст. 88 Трудового кодекса Российской Федерации при передаче персональных данных работников работодатель обязан не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также не сообщать персональные данные работника в коммерческих целях без его письменного согласия.

Согласно ч. 3 ст. 6 Федерального закона № 152-ФЗ, 3. оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.

Вместе с тем, МУ ДО «НАИМЕНОВАНИЕ» поручает обработку персональных данных работников третьим лицам. Оператором заключен договор о бухгалтерском обслуживании от 03.10.2016 г. № 20 с Казенным учреждением Шекснинского муниципального района «ОБЕЗЛИЧЕНО» (сокращенное название КУ ШMP «ОБЕЗЛИЧЕНО»). В соответствии с договором Оператор поручает КУ ШМР «ОБЕЗЛИЧЕНО» производить начисление и выплату заработной платы рабочим и служащим, стипендий, пособий.

Данный документ является поручением обработки персональных данных работников. В указанном поручении отсутствуют: перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цель обработки персональных данных, требования к защите обрабатываемых персональных данных.

Таким образом, поручение на обработку персональных данных работников МУ ДО «ОБЕЗЛИЧЕНО» не соответствует требованиям ч. 3 ст. 6 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».

Частью 4 ст. 9 Федерального закона № 152-ФЗ установлено, что в случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе; фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных); наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных; цель обработки персональных данных; перечень персональных данных, на обработку которых дается согласие субъекта персональных данных; наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу; перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных; срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом; подпись субъекта персональных данных.

Вместе с тем, форма согласия на обработку персональных данных обучающихся и их законных представителей не соответствует требованиям ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», а именно: в форме согласия на обработку персональных данных отсутствуют фамилия, имя, отчество, адрес субъекта персональных данных, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя, адрес оператора, получающего согласие субъекта персональных данных, цель обработки персональных данных, перечень персональных данных, на обработку которых дается согласие субъекта персональных данных, перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных.

Таким образом, формы согласий на обработку персональных данных обучающихся и их законных представителей МУ ДО «Д» содержат неполные сведения, что является нарушением ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» утверждено Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (далее - Положение).

Пункт 6 Положения устанавливает, что лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку

по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии).

В МУ ДО «ОБЕЗЛИЧЕНО» принят Приказ от 30.12.2016 № 155 «Об утверждении перечня лиц, допущенных к неавтоматизированной обработке». Все сотрудники, допущенные к неавтоматизированной обработке, ознакомлены с документом.

Однако в данном Приказе отсутствует перечень категорий персональных данных, которые обрабатываются без использования средств автоматизации, а также сведения об особенностях и правилах такой обработки, что является нарушением вышеуказанного пункта Положения.

В соответствии с п. п. 13, 14 Положения обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

Приказом МУ ДО «Д» от 30.12.2016 № 158 определены места хранения материальных носителей персональных данных и лица, ответственные за обеспечение их сохранности.

Материальные носители персональных данных хранятся в сейфе, в шкафу с замком для документов, однако из указанного документа невозможно установить места хранения для каждой категории персональных данных, которые обрабатываются без использования средств автоматизации, а также обеспечение раздельного хранения персональных данных, обрабатываемых в различных целях, что является нарушением п. п. 13, 14 Положения.

Кроме того, согласно п .15 Положения при хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.     э

Вместе с тем, в МУ ДО «Д» не утвержден документ, в котором закрепляются меры, необходимые для обеспечения условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ, а также не назначен ответственный за организацию и исполнение контрольных мер по обеспечению безопасности персональных данных при неавтоматизированной обработке персональных данных.

В соответствии с п. 4 ч. 1 ст. 18.1 Федерального закона № 152-ФЗ оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам может, в частности, относиться осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора, а также ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

Между тем, оператором не выполняются требования законодательства РФ в области персональных данных по осуществлению внутреннего контроля.

Данный факт подтверждается представленным Приказом от 30.12.2016 г. № 153 «Об утверждении Планов в сфере защиты персональных данных на 2017 год», в соответствии с которым ближайшее мероприятие внутреннего контроля и (или) аудита соответствия обработки, персональных данных Федеральному закону от 27.07.2006№ 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора, запланировано на май 2017 года.

Кроме того, не все работники МУ ДО «Д», непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных. Данный факт подтверждается представленными Приказом от 30.12.2016 № 153 «Об утверждении Планов в сфере защиты персональных данных на 2017 год» и Приказом от 30.12.2016 г. № 154 «О контролируемой зоне».

Таким образом, МУ ДО «Д» допущено правонарушение, предусмотренное ст. 13.11 Кодекса Российской Федерации об административных правонарушениях, т.е. нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).

Представителю юридического лица - директору МУ ДО «Д» ФИО, действующей на основании Устава МУ ДО «Д» от 17.11.2015 года №1253, разъяснены процессуальные права, предусмотренные ст. 25.1 КоАП РФ, факт правонарушения признала, суду пояснила, что в кратчайшие  сроки выявленные недостатки устранены.

Ответственность по ст. 13.11 КоАП РФ наступает за нарушение установленного законом порядка  года № сбора, хранения, использования или распространения информации о гражданах (персональных данных).

Суд, заслушав помощника прокурора Шекснинского района ФИО, который поддержал доводы, изложенные в постановлении о возбуждении дела об административном правонарушении от 28.04.2017 г.; заслушав директора МУ ДО «Д» ФИО, изучив материалы дела, считает, что вина  юридического лица МУ ДО «Обезличено» нашла своё подтверждение.

Факт совершения МУ ДО «Д» административного правонарушения, предусмотренного ст. 13.11 КоАП  РФ подтверждается постановлением о возбуждении дела об административном правонарушении от 28.04.2017 года, актом проверки от 31.03.2017 года, и другими документами, имеющимся в материалах дела в их совокупности.

 Таким образом, юридическое лицо МУ ДО «Д» совершило правонарушение, предусмотренное  ст. 13.11 КоАП РФ и вина его доказана.

При назначении наказания суд учитывает характер административного правонарушения, признание вины, совершение административного правонарушения впервые, принятие мер к устранению нарушений.

С учетом характера совершенного административного правонарушения, руководствуясь ст. 29.10 КоАП РФ, мировой судья

ПОСТАНОВИЛ:

Юридическое лицо муниципальное учреждение дополнительного образования «Д» признать виновным в совершении административного правонарушения предусмотренного ст. 13.11 КоАП РФ, и подвергнуть административному наказанию в виде предупреждения.

Постановление может быть обжаловано в Шекснинский районный суд через мирового судью в течение 10 суток с момента получения копии постановления.

Мировой судья                                                         Борисова К.И.

Постановление не обжаловано, не опротестовано.

В  законную силу вступило 08.07.2017.

Источник: http://40.vld.msudrf.ru/modules.php?name=sud_delo&op=sd&number=111696938&case_number=76929684&delo_id=1500001