Судебная практика

Дело об административном правонарушении № 5-65/2016

Постановление

по делу об административном правонарушении

16 марта 2016 года                                      г. Екатеринбург<АДРЕС>

Мировой судья  судебного участка № 4 Октябрьского судебного района г. Екатеринбурга Ситникова Ю.Н. (620073 г. Екатеринбург ул. Крестинского, 59/1), рассмотрев в открытом судебном заседании дело об административном правонарушении в отношении

ООО «Обезличено», <ОБЕЗЛИЧЕНО>,

  привлекаемого за совершение правонарушения, предусмотренного ст. 13.11 Кодекса об административных правонарушениях Российской Федерации,

Установил:

<ДАТА3> по адресу: <ОБЕЗЛИЧЕНО>, выявлено, что ООО «Обезличено» нарушен установленный ФЗ «О персональных данных» порядок сбора, хранения и использования информации о гражданах (персональных данных).

 В судебное заседание законный представитель ООО «Обезличено» не явился, был извещен надлежащим образом, просил рассмотреть дело в его отсутствие с участием защитника по доверенности.

 Согласно ч. 2 ст. 25.1  Кодекса об административных правонарушениях Российской Федерации, дело об административном правонарушении может быть рассмотрено в отсутствие лица, в отношении которого ведется производство по административному делу, в случае, если имеются данные о надлежащем извещении лица о месте и времени рассмотрения дела и если от лица не поступило ходатайство от отложении рассмотрения дела либо такое ходатайство оставлено без удовлетворения.

 В материалах дела имеются данные о надлежащем извещении законного представителя ООО «Обезличено» управляющего <ФИО1> о месте, дате и времени рассмотрения дела.

 Суд определил: рассмотреть дело в отсутствие законного представителя лица, в отношении которого ведется производство по административному делу.  

 Помощник прокурора <АДРЕС> района г. <АДРЕС> <ФИО2> настаивала на привлечении ООО «Обезличено» к административной ответственности по ст. 13.11 КОАП РФ.

 Защитник <ФИО3> в судебном заседании вину ООО «Обезличено»  не оспаривал, пояснил, что в настоящее время нарушения устранены.

 Заслушав помощника прокурора <АДРЕС> района г. <АДРЕС>, защитника, исследовав материалы дела об административном  правонарушении, суд пришел  следующему.

 Положениями ст.23 Конституции РФ предусмотрено, что каждый гражданин имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия согласно ч.1 ст.24  Конституции РФ не допускается.

 Согласно п.1 ст.3 Федерального закона от <ДАТА4> N 152-ФЗ "О персональных данных" персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

 В соответствии п.2 ст.3 Федерального закона "О персональных данных", оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

<ДАТА5> прокуратурой <АДРЕС> района города <АДРЕС> при участии начальника отдела по защите прав субъектов персональных данных и надзора в сфере информационных технологий Управления Роскомнадзора по Уральскому федеральному округу <ФИО4> в качестве специалиста проведена проверка в отношении ООО «Обезличено».

 В силу ч.5 ст.5 Федерального закона "О персональных данных",  содержание и объём обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

 Статья 6 ФЗ "О персональных данных" содержит условия обработки персональных данных, которая должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом.

 В ходе проверки установлено, что Оператором для трудоустройства в анкете кандидата на замещение вакантной должности предусмотрены иные категории персональных данных, отличные от указанных в  унифицированной форме Т-2, в отношении родственников кандидатов (такие как: дата рождения, место работы, должность, телефон и адрес-место жительства), а также персональные данные иных категорий субъектов персональных данных, не указанных в форме Т-2 и не имеющих возможности предоставить свое согласие, таких как: рекомендатели (Ф.И.О., место работы, должность, номер телефона), что является избыточным. Кроме того, в ходе проверки документы, подтверждающие наличие правовых оснований обработки указанных категорий персональных данных в отношении указанных категорий субъектов персональных данных, Оператором не представлены.

 Таким образом, ООО «Обезличено» нарушены обязательные требования, предусмотренные ч. 5 ст. 5, ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-<НОМЕР> «О персональных данных».

 Оператором в ходе проверки представлено заявление (согласие) на обработку персональных данных.

 Ч. 4 ст.9 Федерального закона от 27.07.2006 года N 152-ФЗ указано, что в случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности: 1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе; 2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных); 3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных; 4) цель обработки персональных данных; 5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных; 6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу; 7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных; 8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом; 9) подпись субъекта персональных данных.

 По результатам анализа содержания согласия установлено, что содержание указанного заявления (согласия) не соответствует требованиям действующего законодательства в области персональных данных, в частности, указанное заявление (согласие) не содержит:

- адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

- адрес оператора, получающего согласие субъекта персональных данных;

- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных.

 Таким образом, ООО «Обезличено» нарушены обязательные требования, предусмотренные ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-<НОМЕР> «О персональных данных».

 Статья 18.1 ч. 1 ФЗ-152, оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам могут, в частности, относиться: 1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных; 2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений; 3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона; 4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора; 5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом; 6) ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников. Ч. 2- оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

 В ходе проверки сведений, содержащихся в информационном письме о внесении изменений в реестре операторов, осуществляющих обработку персональных данных ООО «Обезличено» от <ДАТА7> установлено, что ООО «Обезличено» осуществляется обработка персональных данных физических лиц, состоящих в договорных отношениях с Оператором; сотрудников, с которыми заключены трудовые договоры; ближайших родственников сотрудников; граждан,  обратившихся с жалобами, а также заявлен смешанный способ обработки персональных данных. При этом Оператором не представлены документы, закрепляющие порядок обработки персональных данных указанных субъектов персональных данных (кроме сотрудников), а также порядок обработки персональных данных с использованием средств автоматизации, что нарушает обязательные требования ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-<НОМЕР> «О персональных данных».
 Установлено, что ООО «Обезличено» осуществляется сбор персональных данных с использованием информационно-телекоммуникационных сетей. На официальном сайте Оператора <ссылка>  в разделе «Контакты» представлена возможность сформировать сообщение (при этом субъектом персональных данных указываются ФИО, адрес электронной почты, номер контактного телефона). Вместе с тем, ООО «Обезличено» не приняты меры по опубликованию на своем официальном сайте <ссылка> документа, определяющего его политику в отношении обработки персональных данных, и к сведениям о реализуемых требованиях к защите персональных данных, что является нарушением обязательных требований, предусмотренных ч. 2 ст. 18.1 Федерального закона РФ от 27.02.2006 № 152-ФЗ «О персональных данных».

 Согласно п.6 постановления Правительства Российской Федерации от 15.09.2008 № 68, лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии), п. 13 обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

 Установлено, что ООО «Обезличено» не соблюдены требования по информированию лиц, осуществляющих обработку персональных данных без использования средств автоматизации, а также в ходе проверки Оператором не представлены документы, определяющие порядок обработки персональных  данных об использовании средств автоматизации, что является нарушением обязательных требований, предусмотренных п. 6 постановления Правительства Российской Федерации от 15.09.2008 № 687.

 Кроме того, установлено, что Оператором не приняты меры по утверждению перечня лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ, что является нарушением обязательных требований, предусмотренных п. 13 постановления Правительства Российской Федерации от 15.09.2008 № 687.

 На основании изложенного по результатам проверки  ООО «Обезличено» выявлены признаки нарушения обязательных требований действующего законодательства Российской Федерации в области персональных данных:

- ч. 5 ст. 5 Федерального закона  от 27.07.2006 № 152-<НОМЕР> «О персональных данных».  Обработка избыточных персональных данных по отношению к заявленным целям их обработки;

- ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-<НОМЕР> «О персональных данных». Обработка персональных данных в случаях, непредусмотренных Федеральным законом «О персональных данных»;

- ч. 4 ст. 9 Федерального закона от 27. 07.2006 <НОМЕР> «О персональных данных». Несоответствие содержания письменного согласия субъекта персональных данных на обработку персональных данных требованиям законодательства Российской Федерации;

- ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-<НОМЕР> «О персональных данных». Непринятие оператором мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами;

- ч. 2 ст. 18.1 Федерального закона от 27.07.2006 № 152-<НОМЕР> «О персональных данных». Непринятие оператором мер по опубликованию или обеспечению неограниченного доступа к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных;

- ч. 1 ст. 22 Федерального закона от 27.07.2006 № 152-<НОМЕР> «О персональных данных». Непредставление и (или) несвоевременное представление уведомления по обработке персональных данных при осуществлении деятельности по обработке персональных данных, не попадающей под исключения ч. 2 ст. 22 Федерального закона «О персональных данных»;

- п. 6 постановления Правительства Российской Федерации от 15.09.2008 № 687. Несоблюдение оператором требований по информированию лиц, осуществляющих обработку персональных данных без использования средств автоматизации;

- п. 13 постановления Правительства Российской Федерации от 15.09.2008 № 687.Отсутствие перечня лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

 Выявленные признаки нарушения обязательных требований действующего законодательства Российской Федерации в области персональных данных, установленных Федеральным законом от27.07.2006 № 152-<НОМЕР> «О персональных данных», Постановлением Правительства Российской Федерации от 15.09.2008 № 687 являются нарушением установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных), ответственность за которое установлена ст. 13.11 Кодекса Российской Федерации об административных правонарушениях.

 Вина ООО «Обезличено» в совершении правонарушения подтверждается:

- постановлением о возбуждении производства об административном правонарушении от <ДАТА10>,

 - положением об обработке персональных данных ООО «Обезличено», утвержденных <ДАТА11>

-   актом об изготовлении скриншота <ДАТА5>

- анкетой претендента на должность в ООО «Обезличено»

-справкой о результатах совместной проверки Роскомнадзора от  <ДАТА12>.

    Таким образом, в действиях ООО «Обезличено» содержится  состав административного  правонарушения, предусмотренного ст. 13.11 Кодекса об административных правонарушениях Российской Федерации, то есть нарушение установленного ФЗ «О персональных данных» порядка сбора, хранения и использования информации о гражданах (персональных данных).

 Назначая административное наказание, суд учитывает характер совершенного правонарушения, личность правонарушителя.

 Обстоятельств, смягчающих и отягчающих административную ответственность, суд не находит.

 На основании вышеизложенного, руководствуясь ст. 23.1, 29.9, 29.10 Кодекса об административных правонарушениях Российской Федерации, мировой судья

Постановил:

 ООО «Обезличено» признать виновным в совершении административного правонарушения, предусмотренного ст. 13.11  Кодекса об административных правонарушениях Российской Федерации, и назначить административное  наказание в виде штрафа  в размере 5000 рублей.

Разъяснить, что согласно ч. 1 ст. 32.2 Кодекса об административных правонарушениях Российской Федерации административный штраф должен быть уплачен не позднее 60 дней со дня вступления данного постановления в законную силу на расчетный счет Прокуратуры Свердловской области, а документ, свидетельствующий об уплате, направлен мировому судье. Реквизиты для оплаты штрафа: УФК по Свердловской области (Прокуратура по Свердловской области) КБК 41511690010016000140 ИНН получателя 6658033077 ОКТМО 65701000 счет № 40101810500000010010 БИК 046577001 КПП 665801001. Постановление может быть обжаловано в Октябрьский районный суд г. Екатеринбурга в течение 10 суток со дня вручения или получения его копии через мирового судью судебного участка № 4 судебного района, в котором создан Октябрьский районный суд г. Екатеринбурга Свердловской области.

Мировой судья                                             Ю.Н.Ситникова   

Источник: http://4okt.svd.msudrf.ru/modules.php?name=sud_delo&op=sd&number=191168317&case_number=116531071&delo_id=1500001

Информация по делу
Статьи
ст. 13.11 КоАП РФ , Постановление 687
Суд
Мировой судья  судебного участка № 4 Октябрьского судебного района г. Екатеринбурга
Судья
Ситникова Ю.Н.
Дата решения
2016-03-16
Категории
Сайт
Согласие
Локальные акты оператора
Обязанность оператора
Политика
Неожиданные решения
Другие дела из подобных
категорий:

Политика отсутствует на сайте

Не размещены документы, определяющие политику учреждения, как оператора в отношении обработки персональных данных

На сайте школы отсутствует политика

Сообщение в статье (СМИ) персональных данных субъекта

Размещение на сайте образовательного учреждения персональных данных учеников без письменного согласия законных представителей

В типовой форме анкеты, оформляемой при приеме на работу, отсутствуют обязательные сведения

Отсутствие политики на сайте образовательного учреждения

Отсутствие политики в отношении обработки персональных данных на сайте

На сайте не размещен документ, определяющий политику и сведения о реализуемых требованиях к защите

Размещение на сайте персональных данных граждан без их согласия

Не разработан и не принят локальный акт, устанавливающий порядок хранения и использования персональных данных работников организации

Проверкой установлены нарушения законодательства

Отсутствие согласий работников на обработку персональных данных

Обработка персональных данных собственников помещений многоквартирного дома без их письменного согласия

Несоблюдение Оператором условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ