П О С Т А Н О В Л Е Н И Е
г. Мурманск 12 августа 2016 года
Мировой судья судебного участка № 4 Октябрьского судебного района города Мурманска Коноплева Е.С. (г. Мурманск ул. 6-ой Комсомольской батареи, д.55)
рассмотрев дело об административном правонарушении, предусмотренном ст. 13.11 Кодекса РФ об административных правонарушениях, в отношении юридического лица
ООО «Обезличено», юридический адрес: <Обезличено>, ИНН ______________, ОГРН ______________, дата внесения записи в ЕГРЮЛ ДАТА года,
У С Т А Н О В И Л:
В результате проверки проведённой Прокуратурой Октябрьского административного округа г. Мурманска в отношении ООО «Обезличено» выявлено административное правонарушение, предусмотренное статьей 13.11 КоАП РФ, а именно нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).
Представитель ООО «Обезличено» в судебное заседание не явился, представлено ходатайство, согласно которому Общество просит отложить рассмотрение дела, поскольку генеральный директор находится в отпуске.
Судом отказано в удовлетворении ходатайства, так как лицо, привлекаемое к административной ответственности, является юридическим лицом, и отсутствие руководителя общества не является уважительной причиной для отложения рассмотрения дела. Кроме того, 12.07.2016 года в судебном заседании участвовал представитель Общества, полномочия которой оформлены доверенностью, выданной ООО «Обезличено».
Помощник прокурора Октябрьского административного округа г. Мурманска ФИО1 в судебном заседании поддержала доводы, изложенные в постановлении, полагала, что в действиях ООО «Обезличено» имеется состав вменяемого правонарушения.
Согласно ч. 1 ст. 24 Конституции РФ сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.
Целью Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан РФ.
Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством РФ за нарушение режима защиты, обработки и порядка использования этой информации.
Согласно ст. 3 ФЗ от 27.07.2006 года № 152-ФЗ «О персональных данных» к персональным данным относится любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация; кроме того оператором является государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Свойства данной информации - обеспечивать идентификацию конкретного лица - предопределяют отнесение ее к категории конфиденциальной, т.е. информации с ограниченным доступом. Обеспечения конфиденциальности персональных данных не требуется в случае обезличивания персональных данных, а также в отношении общедоступных персональных данных (ч. 2 ст. 6, ст.7 ФЗ от 27.07.2006 № 152-ФЗ).
Указанный режим персональной информации обусловливает необходимость правовой защиты ее конфиденциальной части.
В соответствии со статьей 9 Федерального закона от 27.07.2006 № 152-ФЗ, субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.
Частью 4 статьи 9 Федерального закона от 27.07.2006 № 152-ФЗ, определен необходимый перечень персональных данных, на которое необходимо получать согласие.
Так, согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности: фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе; перечень персональных данных, на обработку которых дается согласие субъекта персональных данных.
В соответствии со статьей 18.1 Федерального Закона от 27.07.2006 № 152- ФЗ, оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами.
К таким мерам могут, в частности, относиться: назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных; издание оператором, являющимся юридическим лицом, документов определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений; применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона; осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора; оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом; ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.
Согласно статье 22.1 Закона, оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных.
Лицо, ответственное за организацию обработки персональных данных, в частности, обязано: осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных; доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных; организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
Проверка, проведенная прокуратурой округа 24.05.2016 года по адресу: г. Мурманск, ул. Книповича, д. 63 показала, что в ООО «Обезличено» осуществляется сбор персональных данных пациентов.
Вместе с тем, в нарушение требований статьи 18.1 Федерального Закона от 27.07.2006 №152-ФЗ, в Обществе не разработаны документы, определяющие политику оператора в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных.
Локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений в ООО «Обезличено» отсутствуют.
Внутренний контроль и (или) аудита соответствия обработки персональных данных Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, в отношении обработки персональных данных, локальным актам не осуществляется, что также является нарушением статьи 18.1 Федерального Закона от 27.07.2006 №152-ФЗ.
Лица ответственные за обработку персональных данных не назначены, что противоречит требованиям статьи 22.1 Федерального Закона от 27.07.2006 № 152- ФЗ.
Кроме того, выборочная проверка медицинских карт показала, что в них имеется согласие пациентов на обработку следующих персональных данных: фамилия, имя, отчество, пол, дата рождения, адрес проживания, контактный телефон, реквизиты полиса ОМС, СНИЛС, данные о состоянии здоровья.
Вместе с тем, кроме указанных выше персональных данных, ООО «Обезличено» также приобщается к медицинской карте копия паспорта, данные паспорта.
В нарушение статьи 9 Федерального закона от 27.07.2006 № 152-ФЗ согласие на обработку номера основного документа, удостоверяющего личность субъекта, сведения о дате выдачи указанного документа и выдавшем его органе не берется.
Также не берется согласие на обработку персональных данных в отношении места работы субъекта данных, его должности и стажа работы.
Проверка показала, что медицинские карты хранятся в месте, не обеспечивающем и не исключающем возможность доступа к ним посторонним лицам, что также не отвечает требованиям статьи 18.1 Закона.
За нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных), предусмотрена ответственность в соответствии со статьей 13.11 КоАП РФ.
Таким образом, ООО «Обезличено» совершено административное правонарушение, предусмотренное статьей 13.11 Кодекса РФ об административных правонарушениях, выразившееся в нарушении установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).
Состав административного правонарушения подтверждается представленными суду материалами:
- обращением Территориального фонда обязательного медицинского страхования МО от 13.04.2016 года;
- актом проверки от 24.05.2016 года;
- копиями медицинских документов с согласием на обработку персональных данных;
- лицензией <НОМЕР> от 10.02.2015 года
- уставом ООО «Обезличено»;
При определении вида наказания, мировой судья учитывает характер совершенного правонарушения и определяет наказание в виде предупреждения.
На основании изложенного, руководствуясь ст.ст.13.11, 29.9, 29.10 Кодекса РФ об административных правонарушениях, мировой судья
П О С Т А Н О В И Л:
Привлечь к административной ответственности юридическое лицо ООО «Обезличено» по статье 13.11 Кодекса РФ об административных правонарушениях и назначить наказание в виде предупреждения.
Постановление может быть обжаловано в Октябрьский районный суд г. Мурманска через мирового судью судебного участка № 4 Октябрьского судебного района г. Мурманска в течение 10 дней со дня вручения или получения копии постановления.
Мировой судья Е.С. Коноплева
Источник: http://4oct.mrm.msudrf.ru/modules.php?name=sud_delo&op=sd&number=36642308&case_number=5-374/2016&delo_id=1500001
Согласие
Локальные акты оператора
Обязанность оператора
Политика
Порядок хранения
категорий:
Прокуратурой выявлены нарушения требований Федерального закона «О персональных данных»
Непринятие УК локальных актов, предусмотренных законом
Отсутствие в свободном доступе (в.т.ч. на сайте) политики в отношении обработки персональных данных
Опубликование персональных данных в социальной сети "Одноклассники"
Отсутствие на сайте образовательного учреждения политики
Отсутствие организации в реестре операторов
При обработке персональных данных не соблюдаются требования законодательства
Направление в ИФНС обращения с приложением копии паспорта гражданина РФ
Спортивная подготовка учащихся без согласия