Дело об административном правонарушении № 5-65/2016
Постановление
по делу об административном правонарушении
16 марта 2016 года г. Екатеринбург<АДРЕС>
Мировой судья судебного участка № 4 Октябрьского судебного района г. Екатеринбурга Ситникова Ю.Н. (620073 г. Екатеринбург ул. Крестинского, 59/1), рассмотрев в открытом судебном заседании дело об административном правонарушении в отношении
ООО «Обезличено», <ОБЕЗЛИЧЕНО>,
привлекаемого за совершение правонарушения, предусмотренного ст. 13.11 Кодекса об административных правонарушениях Российской Федерации,
Установил:
<ДАТА3> по адресу: <ОБЕЗЛИЧЕНО>, выявлено, что ООО «Обезличено» нарушен установленный ФЗ «О персональных данных» порядок сбора, хранения и использования информации о гражданах (персональных данных).
В судебное заседание законный представитель ООО «Обезличено» не явился, был извещен надлежащим образом, просил рассмотреть дело в его отсутствие с участием защитника по доверенности.
Согласно ч. 2 ст. 25.1 Кодекса об административных правонарушениях Российской Федерации, дело об административном правонарушении может быть рассмотрено в отсутствие лица, в отношении которого ведется производство по административному делу, в случае, если имеются данные о надлежащем извещении лица о месте и времени рассмотрения дела и если от лица не поступило ходатайство от отложении рассмотрения дела либо такое ходатайство оставлено без удовлетворения.
В материалах дела имеются данные о надлежащем извещении законного представителя ООО «Обезличено» управляющего <ФИО1> о месте, дате и времени рассмотрения дела.
Суд определил: рассмотреть дело в отсутствие законного представителя лица, в отношении которого ведется производство по административному делу.
Помощник прокурора <АДРЕС> района г. <АДРЕС> <ФИО2> настаивала на привлечении ООО «Обезличено» к административной ответственности по ст. 13.11 КОАП РФ.
Защитник <ФИО3> в судебном заседании вину ООО «Обезличено» не оспаривал, пояснил, что в настоящее время нарушения устранены.
Заслушав помощника прокурора <АДРЕС> района г. <АДРЕС>, защитника, исследовав материалы дела об административном правонарушении, суд пришел следующему.
Положениями ст.23 Конституции РФ предусмотрено, что каждый гражданин имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия согласно ч.1 ст.24 Конституции РФ не допускается.
Согласно п.1 ст.3 Федерального закона от <ДАТА4> N 152-ФЗ "О персональных данных" персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
В соответствии п.2 ст.3 Федерального закона "О персональных данных", оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
<ДАТА5> прокуратурой <АДРЕС> района города <АДРЕС> при участии начальника отдела по защите прав субъектов персональных данных и надзора в сфере информационных технологий Управления Роскомнадзора по Уральскому федеральному округу <ФИО4> в качестве специалиста проведена проверка в отношении ООО «Обезличено».
В силу ч.5 ст.5 Федерального закона "О персональных данных", содержание и объём обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
Статья 6 ФЗ "О персональных данных" содержит условия обработки персональных данных, которая должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом.
В ходе проверки установлено, что Оператором для трудоустройства в анкете кандидата на замещение вакантной должности предусмотрены иные категории персональных данных, отличные от указанных в унифицированной форме Т-2, в отношении родственников кандидатов (такие как: дата рождения, место работы, должность, телефон и адрес-место жительства), а также персональные данные иных категорий субъектов персональных данных, не указанных в форме Т-2 и не имеющих возможности предоставить свое согласие, таких как: рекомендатели (Ф.И.О., место работы, должность, номер телефона), что является избыточным. Кроме того, в ходе проверки документы, подтверждающие наличие правовых оснований обработки указанных категорий персональных данных в отношении указанных категорий субъектов персональных данных, Оператором не представлены.
Таким образом, ООО «Обезличено» нарушены обязательные требования, предусмотренные ч. 5 ст. 5, ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-<НОМЕР> «О персональных данных».
Оператором в ходе проверки представлено заявление (согласие) на обработку персональных данных.
Ч. 4 ст.9 Федерального закона от 27.07.2006 года N 152-ФЗ указано, что в случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности: 1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе; 2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных); 3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных; 4) цель обработки персональных данных; 5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных; 6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу; 7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных; 8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом; 9) подпись субъекта персональных данных.
По результатам анализа содержания согласия установлено, что содержание указанного заявления (согласия) не соответствует требованиям действующего законодательства в области персональных данных, в частности, указанное заявление (согласие) не содержит:
- адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- адрес оператора, получающего согласие субъекта персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных.
Таким образом, ООО «Обезличено» нарушены обязательные требования, предусмотренные ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-<НОМЕР> «О персональных данных».
Статья 18.1 ч. 1 ФЗ-152, оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам могут, в частности, относиться: 1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных; 2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений; 3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона; 4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора; 5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом; 6) ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников. Ч. 2- оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
В ходе проверки сведений, содержащихся в информационном письме о внесении изменений в реестре операторов, осуществляющих обработку персональных данных ООО «Обезличено» от <ДАТА7> установлено, что ООО «Обезличено» осуществляется обработка персональных данных физических лиц, состоящих в договорных отношениях с Оператором; сотрудников, с которыми заключены трудовые договоры; ближайших родственников сотрудников; граждан, обратившихся с жалобами, а также заявлен смешанный способ обработки персональных данных. При этом Оператором не представлены документы, закрепляющие порядок обработки персональных данных указанных субъектов персональных данных (кроме сотрудников), а также порядок обработки персональных данных с использованием средств автоматизации, что нарушает обязательные требования ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-<НОМЕР> «О персональных данных».
Установлено, что ООО «Обезличено» осуществляется сбор персональных данных с использованием информационно-телекоммуникационных сетей. На официальном сайте Оператора <ссылка> в разделе «Контакты» представлена возможность сформировать сообщение (при этом субъектом персональных данных указываются ФИО, адрес электронной почты, номер контактного телефона). Вместе с тем, ООО «Обезличено» не приняты меры по опубликованию на своем официальном сайте <ссылка> документа, определяющего его политику в отношении обработки персональных данных, и к сведениям о реализуемых требованиях к защите персональных данных, что является нарушением обязательных требований, предусмотренных ч. 2 ст. 18.1 Федерального закона РФ от 27.02.2006 № 152-ФЗ «О персональных данных».
Согласно п.6 постановления Правительства Российской Федерации от 15.09.2008 № 68, лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии), п. 13 обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
Установлено, что ООО «Обезличено» не соблюдены требования по информированию лиц, осуществляющих обработку персональных данных без использования средств автоматизации, а также в ходе проверки Оператором не представлены документы, определяющие порядок обработки персональных данных об использовании средств автоматизации, что является нарушением обязательных требований, предусмотренных п. 6 постановления Правительства Российской Федерации от 15.09.2008 № 687.
Кроме того, установлено, что Оператором не приняты меры по утверждению перечня лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ, что является нарушением обязательных требований, предусмотренных п. 13 постановления Правительства Российской Федерации от 15.09.2008 № 687.
На основании изложенного по результатам проверки ООО «Обезличено» выявлены признаки нарушения обязательных требований действующего законодательства Российской Федерации в области персональных данных:
- ч. 5 ст. 5 Федерального закона от 27.07.2006 № 152-<НОМЕР> «О персональных данных». Обработка избыточных персональных данных по отношению к заявленным целям их обработки;
- ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-<НОМЕР> «О персональных данных». Обработка персональных данных в случаях, непредусмотренных Федеральным законом «О персональных данных»;
- ч. 4 ст. 9 Федерального закона от 27. 07.2006 <НОМЕР> «О персональных данных». Несоответствие содержания письменного согласия субъекта персональных данных на обработку персональных данных требованиям законодательства Российской Федерации;
- ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-<НОМЕР> «О персональных данных». Непринятие оператором мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами;
- ч. 2 ст. 18.1 Федерального закона от 27.07.2006 № 152-<НОМЕР> «О персональных данных». Непринятие оператором мер по опубликованию или обеспечению неограниченного доступа к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных;
- ч. 1 ст. 22 Федерального закона от 27.07.2006 № 152-<НОМЕР> «О персональных данных». Непредставление и (или) несвоевременное представление уведомления по обработке персональных данных при осуществлении деятельности по обработке персональных данных, не попадающей под исключения ч. 2 ст. 22 Федерального закона «О персональных данных»;
- п. 6 постановления Правительства Российской Федерации от 15.09.2008 № 687. Несоблюдение оператором требований по информированию лиц, осуществляющих обработку персональных данных без использования средств автоматизации;
- п. 13 постановления Правительства Российской Федерации от 15.09.2008 № 687.Отсутствие перечня лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
Выявленные признаки нарушения обязательных требований действующего законодательства Российской Федерации в области персональных данных, установленных Федеральным законом от27.07.2006 № 152-<НОМЕР> «О персональных данных», Постановлением Правительства Российской Федерации от 15.09.2008 № 687 являются нарушением установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных), ответственность за которое установлена ст. 13.11 Кодекса Российской Федерации об административных правонарушениях.
Вина ООО «Обезличено» в совершении правонарушения подтверждается:
- постановлением о возбуждении производства об административном правонарушении от <ДАТА10>,
- положением об обработке персональных данных ООО «Обезличено», утвержденных <ДАТА11>
- актом об изготовлении скриншота <ДАТА5>
- анкетой претендента на должность в ООО «Обезличено»
-справкой о результатах совместной проверки Роскомнадзора от <ДАТА12>.
Таким образом, в действиях ООО «Обезличено» содержится состав административного правонарушения, предусмотренного ст. 13.11 Кодекса об административных правонарушениях Российской Федерации, то есть нарушение установленного ФЗ «О персональных данных» порядка сбора, хранения и использования информации о гражданах (персональных данных).
Назначая административное наказание, суд учитывает характер совершенного правонарушения, личность правонарушителя.
Обстоятельств, смягчающих и отягчающих административную ответственность, суд не находит.
На основании вышеизложенного, руководствуясь ст. 23.1, 29.9, 29.10 Кодекса об административных правонарушениях Российской Федерации, мировой судья
Постановил:
ООО «Обезличено» признать виновным в совершении административного правонарушения, предусмотренного ст. 13.11 Кодекса об административных правонарушениях Российской Федерации, и назначить административное наказание в виде штрафа в размере 5000 рублей.
Разъяснить, что согласно ч. 1 ст. 32.2 Кодекса об административных правонарушениях Российской Федерации административный штраф должен быть уплачен не позднее 60 дней со дня вступления данного постановления в законную силу на расчетный счет Прокуратуры Свердловской области, а документ, свидетельствующий об уплате, направлен мировому судье. Реквизиты для оплаты штрафа: УФК по Свердловской области (Прокуратура по Свердловской области) КБК 41511690010016000140 ИНН получателя 6658033077 ОКТМО 65701000 счет № 40101810500000010010 БИК 046577001 КПП 665801001. Постановление может быть обжаловано в Октябрьский районный суд г. Екатеринбурга в течение 10 суток со дня вручения или получения его копии через мирового судью судебного участка № 4 судебного района, в котором создан Октябрьский районный суд г. Екатеринбурга Свердловской области.
Мировой судья Ю.Н.Ситникова
Источник: http://4okt.svd.msudrf.ru/modules.php?name=sud_delo&op=sd&number=191168317&case_number=116531071&delo_id=1500001
Согласие
Локальные акты оператора
Обязанность оператора
Политика
Неожиданные решения
категорий:
Направление скан-копий документов по электронной почте
Повторное неисполнение обязанности по локализации базы данных на территории РФ
Оформление технического заключения с использованием персональных данных
На сайте не опубликован документ, определяющий политику в отношении обработки персональных данных
Обработка персональных данных банком, управляющей компанией
Не приняты необходимые правовые, организационные и технические меры для защиты персональных данных
Отсутствие на сайте политики и реализуемых требований к защите
В типовой форме анкеты, оформляемой при приеме на работу, отсутствуют обязательные сведения
Обработка персональных данных при отзыве согласия
Использование черновиков, содержащих персональные данные граждан
Не исполнение УК требований законодательства о персональных данных