Не приняты меры по соблюдению законодательства

Судебная практика

Дело об административном правонарушении № 5-49/2017

Постановление

по делу об административном правонарушении

15 февраля 2017 года г. Екатеринбург<АДРЕС>

Мировой судья судебного участка № 4 Октябрьского судебного района г. Екатеринбурга Ситникова Ю.Н. (620073 г. Екатеринбург ул. Крестинского, 59/1), рассмотрев в открытом судебном заседании дело об административном правонарушении в отношении

Общества с ограниченной ответственностью «Обезличено», ИНН <НОМЕР>, ОГРН <НОМЕР>, дата внесения записи в ЕГРЮЛ <ДАТА2>, юридический адрес: г. <АДРЕС> пер. <АДРЕС>, 10,

привлекаемого за совершение правонарушения, предусмотренного ст. 13.11 Кодекса об административных правонарушениях Российской Федерации,

Установил:

<ДАТА3> по адресу: г. <АДРЕС>, пер. <АДРЕС>, , выявлено, что ООО «Обезличено» нарушен установленный ФЗ «О персональных данных» порядок сбора, хранения и использования информации о гражданах (персональных данных).

В судебное заседание законный представитель ООО «Обезличено» не явился, был извещен надлежащим образом, просил рассмотреть дело в его отсутствие с участием защитника по доверенности.

Согласно ч. 2 ст. 25.1 Кодекса об административных правонарушениях Российской Федерации, дело об административном правонарушении может быть рассмотрено в отсутствие лица, в отношении которого ведется производство по административному делу, в случае, если имеются данные о надлежащем извещении лица о месте и времени рассмотрения дела и если от лица не поступило ходатайство от отложении рассмотрения дела либо такое ходатайство оставлено без удовлетворения.

В материалах дела имеются данные о надлежащем извещении законного представителя ООО «Обезличено» о месте, дате и времени рассмотрения дела.

Суд определил: рассмотреть дело в отсутствие законного представителя лица, в отношении которого ведется производство по административному делу.

Помощник прокурора <АДРЕС> района г. <АДРЕС> <ФИО1> настаивала на привлечении ООО «Обезличено» к административной ответственности по ст. 13.11 КОАП РФ.

Защитник <ФИО2> в судебном заседании вину ООО «Обезличено» не оспаривал, пояснил, что в настоящее время ведутся работы по устранению указанных нарушений. Просил применить положения ст. 4.1.1 КоАП РФ и при назначении наказания ограничиться предупреждением .

Заслушав помощника прокурора Октябрьского района г. Екатеринбурга, защитника, исследовав материалы дела об административном правонарушении, суд пришел следующему.

Согласно ч. 1 ст. 22 Федерального закона от <ДАТА4> N 152-ФЗ "О персональных данных", оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.

В соответствии с частями 1 и 2 ст. 18.1 Федерального закона "О персональных данных", оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам могут, в частности, относиться: назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных; издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений; применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона; осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора; оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом; ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

Из пункта 13 Постановления Правительства РФ от <ДАТА5> N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» следует, что обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

Согласно п. 8 ст. 86 Трудового кодекса Российской Федерации, в целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

В соответствие со ст. 87 Трудового кодекса Российской Федерации порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований настоящего Кодекса и иных федеральных законов.

Управлением Роскомнадзора по Уральскому федеральному округу в период с <ДАТА6> по <ДАТА7> проведена плановая выездная проверка в отношении общества с ограниченной ответственностью «Обезличено».

В ходе проверки установлено, что ООО «Обезличено» не приняты меры по назначению ответственного за организацию обработки персональных данных, что является нарушением требований, предусмотренных ч. 1 ст. 22 Федерального закона от <ДАТА8> <НОМЕР> «О персональных данных».

Кроме того, ООО «Обезличено» не приняты меры по изданию документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений, а также по ознакомлению работников ООО «- <АДРЕС>, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучению указанных работников, что является нарушением требований, предусмотренных ч. 1 ст. 18.1 Федерального закона от <ДАТА8> <НОМЕР> «О персональных данных».

Кроме того, установлено, что ООО «Обезличено> посредством своего официального сайта <ссылка> осуществляет сбор персональных данных граждан, а именно: ФИО, номер контактного телефона и e-mail.

В соответствии с требованиями ч. 2 ст. 18.1 Федерального закона от <ДАТА8> <НОМЕР> «О персональных данных» ООО «Обезличено», осуществляющий сбор персональных данных с использованием информационно-коммуникационных сетей, обязан опубликовать в соответствующей информационно-коммуникационной сети документ, определяющий его политику в отношении обработки персональных данных и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-коммуникационной сети. При этом ООО «- <АДРЕС> не приняты указанные меры, что является нарушением требований предусмотренных ч. 2 ст. 18.1 Федерального закона от <ДАТА8> <НОМЕР> «О персональных данных».

При обработке персональных данных в рамках трудовых отношений ООО « <АДРЕС> нарушены обязательные требования:

- в части отсутствия документов, устанавливающих порядок хранения и использования персональных данных работников (ст. 87 Трудового кодекса Российской Федерации);

- в части отсутствия документов, подтверждающих ознакомление работников и их представителей с документами работодателя, устанавливающими порядок хранения и использования персональных данных работников, что является нарушением обязательных требований, предусмотренных п. 8 ст. 86 Трудового кодекса Российской Федерации.

ООО «Обезличено» не приняты меры по утверждению мест хранения персональных данных работников, и перечня лиц, имеющих к ним доступ, что является нарушением п. 13 постановления Правительства Российской Федерации от <ДАТА5> <НОМЕР>.

Таким образом, в результате указанной плановой выездной проверки в отношении ООО «Обезличено» выявлены нарушения обязательных требований действующего законодательства Российской Федерации в области персональных данных, а именно:

- непринятие ООО «Обезличено» мер, необходимых и достаточных для обеспечения выполнения обязанностей предусмотренных Федеральным законом от <ДАТА8> <НОМЕР> «О персональных данных» и принятыми в соответствии с ними нормативными правовыми актами (ч. 1 ст. 18.1 Федерального закона от <ДАТА8> <НОМЕР> «О персональных данных»);

- непринятие ООО «Обезличено» мер, по опубликованию или обеспечению неограниченного доступа к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных (ч. 2 ст. 18.1 Федерального закона от <ДАТА8> <НОМЕР> «О персональных данных»);

- непринятие ООО «Обезличено», являющимся юридическим лицом, мер по назначению ответственного за организацию обработки персональных данных (ч. 1 ст. 22.1 Федерального закона от <ДАТА8> <НОМЕР> «О персональных данных»);

- нарушение ООО «Обезличено» обязательных требований при обработке персональных данных в рамках трудовых отношений в части отсутствия документов, подтверждающих ознакомление работников и их представителей с документами работодателя, устанавливающими порядок хранения и использования персональных данных работников (п. 8 ст. 86 Трудового кодекса Российской Федерации);

- нарушение ООО «Обезличено» обязательных требований при обработке персональных данных в рамках трудовых отношений в части отсутствия документов, устанавливающих порядок хранения и использования персональных данных работников (ст. 87 Трудового кодекса Российской Федерации);

- несоблюдение ООО «Обезличено» требований по информированию лиц, осуществляющих обработку персональных данных без использования средств автоматизации (п. 6 Постановления правительства Российской Федерации от <ДАТА5> <НОМЕР>);

- отсутствие у ООО «Обезличено» места (мест) хранения персональных данных (материальных носителей), перечня лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ (п. 13 Постановления правительства Российской Федерации от <ДАТА5> <НОМЕР>).

Выявленные признаки нарушения обязательных требований действующего законодательства Российской Федерации в области персональных данных, установленных Федеральным законом от<ДАТА8> <НОМЕР> «О персональных данных», Постановлением Правительства Российской Федерации от <ДАТА5> <НОМЕР> являются нарушением установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных), ответственность за которое установлена ст. 13.11 Кодекса Российской Федерации об административных правонарушениях.

Вина ООО «Обезличено» в совершении правонарушения подтверждается:

- постановлением о возбуждении производства об административном правонарушении от <ДАТА9>,

- актом проверки Управлением Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Уральскому Федеральному округу ООО «Обезличено» <НОМЕР> от <ДАТА7> года, в котором зафиксированы выявленные в ходе проверки нарушения, с приложенными к нему справкой и предписанием об устранении выявленных нарушений в срок до <ДАТА11>

Таким образом, в действиях ООО «Обезличено» содержится состав административного правонарушения, предусмотренного ст. 13.11 Кодекса об административных правонарушениях Российской Федерации, то есть нарушение установленного ФЗ «О персональных данных» порядка сбора, хранения и использования информации о гражданах (персональных данных).

Вместе с тем, в соответствие с ФЗ от <ДАТА12> <НОМЕР>, вступившим в действие с <ДАТА13>, Кодекс об административных правонарушениях Российской Федерации дополнен статьей 4.1.1.

В силу части 1 указанной статьи, являющимся субъектами малого и среднего предпринимательства лицам, осуществляющим предпринимательскую деятельность без образования юридического лица, и юридическим лицам, а также их работникам за впервые совершенное административное правонарушение, выявленное в ходе осуществления государственного контроля (надзора), муниципального контроля, в случаях, если назначение административного наказания в виде предупреждения не предусмотрено соответствующей статьей раздела 2 настоящего Кодекса или закона субъекта РФ об административных правонарушениях, административное наказание в виде штрафа подлежит замене на предупреждение при наличии обстоятельств, предусмотренных частью 2 статьи 3.4 настоящего кодекса, за исключением случаев, предусмотренных частью 2 настоящей статьи.

Согласно сведениям из Единого реестра субъектом малого и среднего предпринимательства на <ДАТА1> ООО «Обезличено», внесено в данный реестр как малое предприятие.

В соответствие с ч. 1 и ч. 2 ст. 3.4 КоАП РФ предупреждение - мера административного наказания, выраженная в официально порицании физического или юридического лица, которое выносится в письменной форме и устанавливается за впервые совершенные административные правонарушения при отсутствие причинения вреда или возникновения угрозы причинения вреда жизни и здоровью людей, объектам животного и растительного мира, окружающей среде, объектам культурного наследия (памятникам истории и культуры) народов Российской Федерации, безопасности государства, угрозы чрезвычайных ситуаций природного и техногенного характера, а также при отсутствие имущественного ущерба.

Как следует из материалов дела, ООО «Обезличено» к административной ответственности ранее не привлекалось, а совершенное им правонарушение не повлекло причинения вреда или возникновения угрозы причинения вреда здоровью людей, безопасности государства, либо других негативных последствий, предусмотренных законом.

Таким образом, суд считает необходимым назначить ООО «Обезличено» наказание в виде предупреждения.

На основании вышеизложенного, руководствуясь ст. 23.1, 29.9, 29.10 Кодекса об административных правонарушениях Российской Федерации, мировой судья

Постановил:

Общество с ограниченной ответственностью «Обезличено» признать виновным в совершении административного правонарушения, предусмотренного ст. 13.11 Кодекса об административных правонарушениях Российской Федерации, и назначить административное наказание в виде предупреждения.