ДЕЛО №5-285/2017
П О С Т А Н О В Л Е Н И Е
о привлечении к административной ответственности
г. Мценск 27 июля 2017 года
И.о. мирового судьи судебного участка №1 г. Мценска и Мценского района Орловской области Климова М.Ю., рассмотрев материалы дела об административном правонарушении по ст.13.11 КоАП РФ в отношении должностного лица:
<ФИО>, <ОБЕЗЛИЧЕНО>
лицу, участвующему в рассмотрении дела, права, предусмотренные ст. ст. 24.4., 25.1- 25.13 КоАП РФ, разъяснены,
У С Т А Н О В И Л:
прокуратурой Мценского района Орловской области в период с <ДАТА1>по <ДАТА2> проведены мероприятия систематического наблюдения на предмет выявления в сети «Интернет» нарушения законодательства РФ в области персональных данных. Мероприятия проводились в отношении операторов персональных данных, являющихся учреждениями и организациями, действующими на территории Мценского района Орловской области.
В судебном заседании <ФИО> вину признала, просила назначить минимальное наказание. Помощник прокурора <ФИО1> в судебном заседании постановление поддержала, просила привлечь <ФИО> к административной ответственности.
Федеральным законом №152-ФЗ от 27.07.2006 «О персональных данных» установлен порядок сбора, хранения, использования или распространения информации о гражданах (персональных данных).
В соответствии с п. 1 ст. 3 Федерального закона №152-ФЗ от 27.07.2006 «О персональных данных» персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
В соответствии с п. 2 ст. 3 Федерального закона №152-ФЗ от 27.07.2006 «О персональных данных» оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
В соответствии с п. 3 ст. 3 Федерального закона №152-ФЗ от 27.07.2006 «О персональных данных» обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
В соответствии с п. 4 ст. 3 Федерального закона №152-ФЗ от 27.07.2006 «О персональных данных» автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
В своей непосредственно осуществляемой деятельности, <НАИМЕНОВАНИЕ УЧРЕЖДЕНИЯ> для выполнения предусмотренных Уставом задач получает и обрабатывает информацию, относящуюся прямо или косвенно к физическим лицам, которая накапливается в так называемом «личном деле» воспитанника <НАИМЕНОВАНИЕ УЧРЕЖДЕНИЯ>, являющимся совокупностью данных о воспитаннике и его законных представителях, представленных в виде материальных носителей информации - соответствующих документов (или их заверенных копий).
Порядок ведения личных дел установлен локальным актом <НАИМЕНОВАНИЕ УЧРЕЖДЕНИЯ>, в соответствии с которым личное дело ведётся на каждого воспитанника <НАИМЕНОВАНИЕ УЧРЕЖДЕНИЯ> с момента зачисления в <НАИМЕНОВАНИЕ УЧРЕЖДЕНИЯ> до отчисления воспитанника из <НАИМЕНОВАНИЕ УЧРЕЖДЕНИЯ> в связи с прекращением образовательных отношений, правовые, организационные и экономические основы которых регулируются отдельными актами в сфере системы образования и осуществления образовательной деятельности в Российской Федерации.
При проверке личных дел воспитанников, мест их хранения, соблюдения порядка формирования и доступа к ним, а также использования, прекращения использования и уничтожения, установлено следующее.
В нарушение требований ч. 1 ст. 18.1 Федерального закона №152-ФЗ от 27.07.2006 «О персональных данных», со стороны <НАИМЕНОВАНИЕ УЧРЕЖДЕНИЯ> не приняты надлежащие меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных федеральным законодательством, а именно:
- в учреждении отсутствует документ, определяющий обработку персональных данных воспитанников и законных представителей, в котором были бы закреплены условия и порядок обработки персональных данных этих лиц в соответствии с уставной деятельностью и способы обработки персональных данных, в том числе осуществление сбора персональных данных воспитанников и их законных представителей с использованием информационно-телекоммуникационных сетей (включая данные из личных страниц «социальных сетей»);
- в учреждении отсутствует документ, определяющий места хранения материальных носителей персональных данных и лиц, ответственных за обеспечение сохранности мест хранения материальных носителей персональных данных;
- в учреждении отсутствует документ, определяющий категории автоматизированных файлов персональных данных, перечень которых и порядок сдачи на хранение не разработан, в том числе в отношении файлов персональных данных, которые не подвергаются автоматизированной обработке;
- в учреждении отсутствует документ, определяющий порядок и условия временного прекращения обработки персональных данных (блокирования персональных данных), уничтожения персональных данных, способ обезличивания персональных данных в случае их распространения в установленных законодательством случаях, в том числе с согласия субъекта персональных данных или его законного представителя.
В нарушение требований ч. 2 ст. 18.1 Федерального закона №152-ФЗ от 27.07.2006 «О персональных данных», со стороны <НАИМЕНОВАНИЕ УЧРЕЖДЕНИЯ> не приняты надлежащие меры по опубликованию или обеспечению иным образом неограниченного доступа к документам, определяющим политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных и о порядке осуществления сбора персональных данных воспитанников и их законных представителей с использованием информационно-телекоммуникационных сетей (в том числе данных из личных страниц «социальных сетей»), возможность доступа к указанным документам с использованием средств соответствующей информационно-телекоммуникационной сети, не реализована.
Наряду с этим, проверкой установлено, что накопление персональных данных в отношении субъектов персональных данных - детей и их законных представителей - производится способом, который не обеспечивает надлежащей защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Так, содержащие персональные данные носители хранятся в архивной комнате, специально отведённой под хранение личных дел воспитанников и иных документов, в том числе содержащих персональные данные, ответственным лицом является <ФИО2>, выполняющая трудовые обязанности по должности <ДОЛЖНОСТЬ>, однако возложена ответственность на <ДОЛЖНОСТЬ2>, <НАИМЕНОВАНИЕ УЧРЕЖДЕНИЯ> <ФИО3>.
При этом, порядок доступа к вычислительным машинам и машинным носителям, используемых в деятельности <НАИМЕНОВАНИЕ УЧРЕЖДЕНИЯ> для обработки персональных данных, не определён, формирование работниками автоматизированных файлов персональных данных, а также файлов персональных данных, которые не подвергаются автоматизированной обработке, производится на рабочих местах, в отношении которых не установлены ограничения по осуществлению порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).
Перечень машинных носителей персональных данных воспитанников, их законных представителей и порядок сдачи их на хранение в случае отпуска, больничного, увольнения, не разработан.
Статьёй 13.11 КоАП РФ установлена административная ответственность за нарушения, связанные с непринятием надлежащих мер к исполнению установленных Федеральным законом №152-ФЗ от 27.07.2006 «О персональных данных» требований к осуществлению порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).
В силу частей 1 и 2 статьи 4.5 КоАП РФ, при длящемся административном правонарушении постановление по делу об административном правонарушении не может быть вынесено по истечении двух месяцев (по делу об административном правонарушении, рассматриваемому судьей, - по истечении трех месяцев) со дня обнаружения административного правонарушения.
Пунктом 14 Постановления Пленума Верховного Суда Российской Федерации №5 от 24.03.2005 «О некоторых вопросах, возникающих у судов при применении Кодекса Российской Федерации об административных правонарушениях» определено, что длящимся является такое административное правонарушение (действие или бездействие), которое выражается в длительном непрекращающемся невыполнении или ненадлежащем выполнении предусмотренных законом обязанностей.
Согласно положений вышеуказанного постановления Пленума Верховного суда Российской Федерации, днём обнаружения длящегося административного правонарушения считается день, когда должностное лицо, уполномоченное составлять протокол об административном правонарушении, выявило факт его совершения.
Как следует из материалов проверки, акта проверки от <ДАТА1>, объяснений <ФИО>, являющейся должностным лицом <НАИМЕНОВАНИЕ УЧРЕЖДЕНИЯ>, в должности исполняющей обязанности <ДОЛЖНОСТЬ> <НАИМЕНОВАНИЕ УЧРЕЖДЕНИЯ>с 13.06.2017, инкриминируемое административное правонарушение выражено в непринятии учреждением в течение периода времени с момента поступления и до настоящего времени предписанных Федеральным законом №152-ФЗ от 27.07.2006 «О персональных данных» мер, направленных на обеспечение надлежащей деятельности по сбору, хранению, использованию или распространению информации о гражданах (персональных данных).
Статьёй 13.11 КоАП РФ установлена административная ответственность за нарушения, связанные с непринятием надлежащих мер к исполнению установленных Федеральным законом №152-ФЗ от 27.07.2006 «О персональных данных» требований к осуществлению порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).
Таким образом, в действиях должностного лица <ФИО> содержится состав административного правонарушения, предусмотренного ст.13.11 КоАП РФ, а именно нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). При назначении наказания суд учитывает характер совершенного правонарушения, обстоятельства смягчающие и отягчающие наказание. <ФИО> совершено правонарушение в области информации Смягчающим обстоятельством следует признать признание вины и совершение правонарушения впервые, отягчающих обстоятельств судом не установлены.
На основании изложенного, руководствуясь ст.29.10, 13.11 Кодекса РФ об административных правонарушениях, суд
П О С Т А Н О В И Л :
Признать <ФИО> виновной в совершении административного правонарушения, предусмотренного ст. 13.11 КоАП РФ и назначить наказание в виде предупреждения.
Постановление может быть обжаловано в Мценский районный суд Орловской области в течение 10 суток с момента получения копии постановления.
Мировой судья М.Ю. Климова
Источник: http://1mcen.orl.msudrf.ru/modules.php?name=sud_delo&op=sd&number=23757712&delo_id=1500001
Учащиеся
Принятие мер, предусмотренных законом
Согласие
Локальные акты оператора
Обязанность оператора
Политика
Порядок хранения
категорий:
Отсутствие политики в отношении персональных данных на сайте
Обработка персональных данных в целях исполнения договора
Множество нарушений в деятельности фонда капитального ремонта
Национальность в копии военного билета
Множество нарушений в деятельности фонда капитального ремонта
На свалке обнаружены документы c персональными данными абонентов
На сайте опубликован гражданско-правовой договор, содержащий персональные данные несовершеннолетних
Размещение списков должников перед ресурсоснабжающими организациями
Невыполнение Оператором обязательных требований законодательства в области персональных данных
Неполное уведомление, отсутствие локальных актов, внутреннего контроля
Обработка персональных данных работников, копий документов без согласия
Отсутствие документов в соответствии с законодательством о персональных данных
Не представлены документы, подтверждающие наличие собственных баз данных,отсутствует политика