Судебная практика

Дело № 5-434/2017/8                                                                   

П О С Т А Н О В Л Е Н И Е

по делу об административном правонарушении

2 августа 2017 года                                         г. Чебоксары <АДРЕС>

 Мировой судья судебного участка № 8 Калининского района г.Чебоксары Чувашской Республики, расположенного по адресу: Чувашская Республика, г.Чебоксары, <АДРЕС>, <ФИО1>, рассмотрев дело об административном правонарушении, предусмотренное статьей 13.11 Кодекса Российской Федерации об административных правонарушениях, в отношении должностного лица - <ОБЕЗЛИЧЕНО> <АДРЕС> Республики  «<ОБЕЗЛИЧЕНО>» <АДРЕС> здравоохранения ЧР

 <ФИО2>, <ДАТА2> рождения, уроженца города <АДРЕС> ЧР,   состоящего на регистрационном учете и фактически проживающего по адресу: <АДРЕС>, гражданина РФ, имеющего на иждивении одного малолетнего ребенка, ранее к административной ответственности не привлекавшегося за совершение однородного административного правонарушения,

у с т а н о в и л :

 Заместителем прокурора <АДРЕС> района города <АДРЕС>  <АДРЕС> Республики <АДРЕС> Е.А. в отношении <ОБЕЗЛИЧЕНО> <АДРЕС> Республики  «Обезличено» <АДРЕС> здравоохранения ЧР (далее - БУ <ОБЕЗЛИЧЕНО>») <ФИО3>  вынесено постановлении о возбуждении дела об административном правонарушении, предусмотренном ст. 13.11 КоАП РФ при следующих обстоятельствах.

 Прокуратурой <АДРЕС> района <АДРЕС>  с <ДАТА3> по <ДАТА4> проведена проверка по обращению Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по <АДРЕС> Республике о нарушениях  в БУ <ОБЕЗЛИЧЕНО>» Минздрава Чувашии законодательства о персональных данных.

 В ходе проведенной проверки установлено, что Оператор БУ <ОБЕЗЛИЧЕНО>» Минздрава Чувашии в соответствии с уведомлением об обработке персональных данных зарегистрирован <ДАТА5> в Общероссийском Реестре операторов, осуществляющих обработку персональных данных, под регистрационным номером <НОМЕР> (приказ <НОМЕР> от <ДАТА6>). БУ <ОБЕЗЛИЧЕНО>» организует обработку персональных данных на территории <АДРЕС> Республике, в том числе по адресу: ул. <АДРЕС>, 112, г. <АДРЕС>, 428022.

 Заявленные Оператором в уведомлении цели обработки персональных данных соответствуют виду деятельности Оператора, осуществление деятельности по предоставлению услуг связи (лицензии на оказание услуг связи от <ДАТА7> <НОМЕР>, от <ДАТА8> <НОМЕР>, от <ДАТА8> <НОМЕР>), по предоставлению медицинских услуг (лицензия от <ДАТА9> <НОМЕР>) по предоставлению услуг удостоверяющего центра (Свидетельство от <ДАТА10> <НОМЕР>) и отвечают принципам обработки персональных данных, изложенных в статье 5 Закона <НОМЕР>.

 В то же время в ходе проведения проверки установлено, что правовые основания, указанные в уведомлении, содержат не полный перечень нормативно правовых актов (не указаны нормативно правовые документы (лицензии, свидетельства), определяющие осуществление деятельности, которая возможна на основании специального разрешения, в соответствии с законодательством РФ). Цели обработки содержат не полный перечень, в частности не указано, что обработка персональных данных осуществляется в целях оказания медицинской помощи, а также деятельности организации, как удостоверяющего центра.

 Описание мер,  предусмотренных статьями 18.1 и 19 Федерального закона «О персональных данных», составляет неактуальный перечень утверждённых внутренних локальных актов, регулирующих обработку персональных данных, как работников, так и клиентов. Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ, указаны в объеме принятых мер. В перечне категорий субъектов, чьи персональные данные обрабатываются, указаны неактуальные категории субъектов персональных данных на момент проверки.

 На официальных сайтах медицинских учреждений <АДРЕС> Республики, размещенных на портале, указываются категории персональных данных медицинских работников (фотография; дата, месяц, год рождения, адрес электронной почты) не входящие в обязательный перечень размещаемой информации, в то же время, не опубликованы: срок действия сертификата специалиста, график работы и часы приема медицинского работника.

 Кроме того, при осуществлении деятельности БУ <ОБЕЗЛИЧЕНО>» Минздрава Чувашии по предоставлению услуг центра обработки данных, а также при оказании услуг удостоверяющего центра заключает договора, в рамках которых учреждением осуществляется сбор, передача, хранение, уточнение, использование персональных данных третьих лиц, в том числе сотрудников юридических лиц, с которыми заключаются договора. В заключаемых договорах, а также в типовых договорах, размещенных на сайте БУ <ОБЕЗЛИЧЕНО>» Минздрава Чувашии (http:ссылка), отсутствует обязанность сторон по соблюдению условий конфиденциальности, безопасности персональных данных.

 Приказом <АДРЕС> здравоохранения <АДРЕС> Республики <НОМЕР> от <ДАТА11> <ФИО3> назначен директором БУ ЧР «Обезличено» <АДРЕС> здравоохранения <АДРЕС> Республики сроком на 3 года.

Права в соответствии со ст.25.1 КоАП РФ <ФИО3> разъяснены.

 <ФИО3> вину в совершении административного правонарушения признал, суду сообщил, что в целом, согласен с нарушениями указанными в постановлении  о возбуждении дела об административном  правонарушении от <ДАТА4> года, но  сообщил, что перечень категорий  персональных данных для размещения в сети  «Интернет» определен  приказом <АДРЕС> России  от <ДАТА13> <НОМЕР> в соответствии с требованиями ФЗ «Об основах охраны здоровья граждан в РФ» и соответственно в постановлении  заместителем <АДРЕС> района города <АДРЕС> не обосновано указано нарушение  ч. 5 ст. 5  Закона <НОМЕР>  в части размещения на портале официального сайта  медицинских учреждений ЧР сведений, являющихся персональными данными медицинских работников, не входящий в обязательный перечень  размещаемой информации.   Другие нарушения устранены.

 Аналогичные пояснения даны его представителями <ФИО4>, <ФИО5>, действующими на основании доверенностей.

 Старший помощник прокурора <АДРЕС> района города <АДРЕС> ЧР <ФИО6> в судебном заседании поддержал обстоятельства, изложенные в протоколе, просил привлечь <ФИО3> к административной ответственности, в пределах санкции статьи, не возражал  против исключения указание на нарушение БУ <ОБЕЗЛИЧЕНО>» Минздрава Чувашии в части размещения на портале официального сайта  медицинских учреждений ЧР сведений, являющихся персональными данными медицинских работников, не входящий в обязательный перечень  размещаемой информации.

 Выслушав помощника прокурора <АДРЕС> района города <АДРЕС> Республике, изучив письменные доказательства, мировой судья приходит к следующему.

 Прокуратурой <АДРЕС> района <АДРЕС>  с <ДАТА3> по <ДАТА4> проведена проверка по обращению Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по <АДРЕС> Республике о нарушениях  в БУ <ОБЕЗЛИЧЕНО>» Минздрава Чувашии законодательства о персональных данных.

 В ходе проведенной проверки установлено, что Оператор БУ <ОБЕЗЛИЧЕНО>» Минздрава Чувашии в соответствии с уведомлением об обработке персональных данных зарегистрирован <ДАТА5> в Общероссийском Реестре операторов, осуществляющих обработку персональных данных, под регистрационным номером <НОМЕР>-0017044 (приказ <НОМЕР> от <ДАТА5>). БУ <ОБЕЗЛИЧЕНО>» организует обработку персональных данных на территории <АДРЕС> Республике, в том числе по адресу: ул. <АДРЕС>, 112, г. <АДРЕС>, 428022.

 Заявленные Оператором в уведомлении цели обработки персональных данных соответствуют виду деятельности Оператора, осуществление деятельности по предоставлению услуг связи (лицензии на оказание услуг связи от <ДАТА7> <НОМЕР>, от <ДАТА8> <НОМЕР>, от <ДАТА8>  <НОМЕР>), по предоставлению медицинских услуг (лицензия от <ДАТА9> <НОМЕР>) по предоставлению услуг удостоверяющего центра (Свидетельство от <ДАТА10> <НОМЕР>) и отвечают принципам обработки персональных данных, изложенных в статье 5 Закона <НОМЕР>.

 В то же время в ходе проведения проверки установлено, что правовые основания, указанные в уведомлении, содержат не полный перечень нормативно правовых актов (не указаны нормативно правовые документы (лицензии, свидетельства), определяющие осуществление деятельности, которая возможна на основании специального разрешения, в соответствии с законодательством РФ). Цели обработки содержат не полный перечень, в частности не указано, что обработка персональных данных осуществляется в целях оказания медицинской помощи, а также деятельности организации, как удостоверяющего центра.

 Описание мер,  предусмотренных статьями 18.1 и 19 Федерального закона «О персональных данных», составляет неактуальный перечень утверждённых внутренних локальных актов, регулирующих обработку персональных данных, как работников, так и клиентов. Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ, указаны в объеме принятых мер. В перечне категорий субъектов, чьи персональные данные обрабатываются, указаны неактуальные категории субъектов персональных данных на момент проверки.

 При осуществлении деятельности БУ <ОБЕЗЛИЧЕНО>» Минздрава Чувашии по предоставлению услуг центра обработки данных, а также при оказании услуг удостоверяющего центра заключает договора, в рамках которых учреждением осуществляется сбор, передача, хранение, уточнение, использование персональных данных третьих лиц, в том числе сотрудников юридических лиц, с которыми заключаются договора. В заключаемых договорах, а также в типовых договорах, размещенных на сайте БУ <ОБЕЗЛИЧЕНО>» Минздрава Чувашии (http:ссылка), отсутствует обязанность сторон по соблюдению условий конфиденциальности, безопасности персональных

 Основные условия и случаи обработки персональных данных определены ст. 6 Федерального закона, в том числе в части доступа неограниченного круга лиц к персональным данным субъекта персональных данных, которые могут быть предоставлены последним либо по его просьбе.

 В соответствии с ч.5 ст. 5 Федерального закона «О персональных данных» содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

 Согласно ч.3 ст.6 ФЗ «О персональных данных» оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.

 Как следует из пункта 4 ч.1 ст. 18.1 ФЗ «О персональных данных» оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам могут, в частности, относиться осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;

 В силу части 2 статьи 5 Федерального закона от <ДАТА14> <НОМЕР> «О персональных данных» обработка персональных данных должна осуществляться на законной и справедливой основе. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.

 Согласно ст.ст. 7, 19 ФЗ оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

 В силу части 1 статьи 24 Федерального закона «О персональных данных» лица, виновные в нарушении требований Федерального закона «О персональных данных», несут предусмотренную законодательством Российской Федерации ответственность.

 Приказом <АДРЕС> здравоохранения <АДРЕС> Республики <НОМЕР> от <ДАТА15> <ФИО3> назначен директором БУ ЧР «Обезличено» <АДРЕС> здравоохранения <АДРЕС> Республики сроком на 3 года.

 Исследовав материалы дела: постановление о возбуждении дела об  административном правонарушении от <ДАТА4> года;  объяснение <ФИО3>, обращение Управления Роскомнадзора по ЧР от <ДАТА16>  <НОМЕР>  акт проверки Управления Роскомнадзора по ЧР от <ДАТА17> <НОМЕР> справка о результатах мероприятий по контролю (надзору) БУ <ОБЕЗЛИЧЕНО>» Минздрава  Чувашии за соответствием обработки персональных данных  требованиям законодательства РФ в области обработки персональных данных (приложение <НОМЕР> к акту <НОМЕР>); сведения о результатах проверки  БУ <ОБЕЗЛИЧЕНО>» Минздрава Чувашии; договор предоставления услуг  центра обработки данных от <ДАТА18> года;  регламент  по обеспечению информационной безопасности регионального компонента единой  государственной информационной системы в сфере здравоохранения; договор об оказания услуг удостоверяющего центра от <ДАТА19> <НОМЕР>  информация Управления Роскомнадзора по ЧР <НОМЕР> от <ДАТА20>, выслушав мнение прокурора, оценив все в совокупности, суд считает вину <ОБЕЗЛИЧЕНО> ЧР «Обезличено» <АДРЕС> здравоохранения <АДРЕС> Республики <ФИО3> в совершении административного правонарушения, предусмотренного ст. 13.11 КоАП РФ, установленной и доказанной.

 Документы составлены без нарушений процессуального закона в соответствии с Кодексом РФ «Об административных правонарушениях» надлежащими уполномоченными лицами. Оснований не доверять имеющимся доказательствам у мирового судьи не имеется, данных, свидетельствующих о получении этих доказательств с нарушением требований закона, не установлено.

 В соответствии с ч. 1 и. ч. 5 ст. 3 Федерального закона от <ДАТА21> <НОМЕР> «О персональных данных», любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

 В соответствии с ч. 1 ст. 9 Федерального закона от <ДАТА21> <НОМЕР> «О персональных данных» субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.

 В соответствии с ч. 3 ст. 9 Федерального закона от <ДАТА21> <НОМЕР> «О персональных данных» обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона, возлагается на оператора.

 Судом установлено, что директором БУ ЧР «Обезличено» <АДРЕС> здравоохранения <АДРЕС> Республики <ФИО2> А.Ю. нарушений норм действующего законодательства при размещении на портале официального сайта  медицинских учреждений ЧР сведений, являющихся персональными данными медицинских работников, не входящий в обязательный перечень  размещаемой информации не допустил.

 Так как, перечень категорий персональных данных для размещения в сети «Интернет» определен приказом Минздрава России от <ДАТА13> <НОМЕР> в соответствии с требованиями Федерального закона от <ДАТА22> <НОМЕР> «Об основах охраны здоровья граждан в Российской Федерации».

 В соответствии с условиями обработки персональных данных, определенных п. 1 и 2, ч. 1 ст. 6 Федерального закона от <ДАТА23> 152-ФЗ «О персональных данных», обработка персональных данных (в том числе и распространение персональных данных) может осуществляться, в частности: с согласия субъекта персональных данных на обработку его персональных данных; для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.

 В виду изложенного, размещение на официальных сайтах медицинских учреждений <АДРЕС> Республики, категории персональных данных медицинских работников, не входящие в обязательный перечень размещаемой информации, с согласия субъектов персональных данных (медицинских работников) возможно.

 В соответствии с общими правилами назначения административного наказания, основанными на принципах справедливости, соразмерности и индивидуализации ответственности, административное наказание за совершение административного правонарушения назначается в пределах, установленных законом, предусматривающим ответственность за данное административное правонарушение, в соответствии с КоАП РФ (ч. 1 ст. 4.1 КоАП РФ).

 При назначении административного наказания мировой судья учитывает характер совершенного административного правонарушения, личность виновного, его имущественное положение, обстоятельства, смягчающие административную ответственность, и обстоятельства, отягчающие административную ответственность.

 Обстоятельством, смягчающим ответственность, является раскаяние правонарушителя, нахождении на иждивении  одного малолетнего ребенка.  

Других обстоятельств, смягчающих либо отягчающих административную ответственность <ФИО3>, не установлено.

Обстоятельств, влияющих на квалификацию правонарушения как малозначительное, не установлено.

Административное наказание является установленной государством мерой ответственности за совершение административного правонарушения и применяется в целях предупреждения совершения новых правонарушений как самим правонарушителем, так и другими лицами (ст.3.1 КоАП РФ).

На основании изложенного, с учетом характера совершенного административного правонарушения, личности виновного, с учетом всех обстоятельств дела, мировой судья считает возможным назначить <ФИО3> наказание в виде минимального размера штрафа.

Руководствуясь ст.29.9, ст.29.10 КоАП РФ, мировой судья                                                                

постановил:

<ФИО2>, <ОБЕЗЛИЧЕНО> <АДРЕС> Республики  «<ОБЕЗЛИЧЕНО>» <АДРЕС> здравоохранения ЧР, признать виновным в совершении административного правонарушения, предусмотренного статьей 13.11 Кодекса Российской Федерации об административных правонарушениях, и назначить ему наказание в виде административного штрафа в размере 500 (Пятьсот) руб. 00 коп.

Постановление по делу об административном правонарушении может быть обжаловано в течение 10 суток со дня вручения или получения копии постановления в Калининский районный суд г.Чебоксары Чувашской Республики через мирового судью.

Реквизиты счета при привлечении индивидуальных предпринимателей и юридических лиц к административной ответственности: Наименование получателя - УФК по Чувашской Республике (прокуратура Чувашской Республики). Банк получателя - ГРКЦ НБ ЧР Банка России г. Чебоксары БИК банка - <НОМЕР> Счет получателя — <НОМЕР> ИНН получателя - <НОМЕР> КПП получателя - <НОМЕР> Код бюджетной классификации - <НОМЕР> Наименование платежа - денежное взыскание (штрафы) с виновных лиц Код ОКАТО - <НОМЕР> (г. Чебоксары).Административный штраф должен быть уплачен лицом, привлеченным к административной ответственности, не позднее шестидесяти дней со дня вступления постановления о наложении административного штрафа в законную силу либо со дня истечения срока отсрочки или срока рассрочки, предусмотренных статьей 31.5 КоАП РФ (ч.1 ст.32.2 КоАП РФ).

Согласно ч.1 ст.20.25 Кодекса Российской Федерации об административных правонарушениях неуплата административного штрафа в срок, предусмотренный КоАП РФ, влечет наложение административного штрафа в двукратном размере суммы неуплаченного административного штрафа, но не менее одной тысячи рублей, либо административный арест на срок до пятнадцати суток, либо обязательные работы на срок до пятидесяти часов.

Копию документа, свидетельствующего об уплате административного штрафа, лицо, привлеченное к административной ответственности, представляет судье, вынесшему постановление.

Мировой судья                             подпись                      <ФИО1>

Копия верна:

Мировой судья                                                                 <ФИО1>

Источник: http://kalin8.chv.msudrf.ru/modules.php?name=sud_delo&op=sd&number=49577744&case_number=31411509&delo_id=1500001

Информация по делу
Статьи
ст. 13.11 КоАП РФ
Суд
Мировой судья судебного участка № 8 Калининского района г.Чебоксары Чувашской Республики
Судья
Базилевская Т.Н.
Дата решения
2017-08-02
Категории
Сайт
Работники
Поручение обработки
Уведомление
Разглашение
Другие дела из подобных
категорий:

Размещение на сайте образовательного учреждения персональных данных учащихся, в том числе специальной категории

Отсутствие на интернет-сайте документов, определяющих политику

Предоставление неограниченному кругу лиц доступа к персональным данным граждан на интернет-страницах

Отсутствие в свободном доступе (в.т.ч. на сайте) политики в отношении обработки персональных данных

Отсутствие согласия на поручение обработки

Предоставление персональных данных для выставления квитанций

При проверке выявлены многочисленные нарушения законодательства о персональных данных

Установлено отсутствие политики на сайте детского сада

Несоблюдение Учреждением установленных законодательством РФ требований в области обработки персональных данных

На сайте имеется возможность сбора персональных данных в отсутствие политики

Невыполнение требований законодательства РФ по размещению политики в отношении обработки персональных данных

Неполное уведомление, отсутствие локальных актов, внутреннего контроля

Обработка персональных данных работников, копий документов без согласия

Оператор обрабатывал персональные данные субъектов с многочисленными нарушениями законодательства о персональных данных

Распространение персональных данных предпринимателей путем размещения плана проверок на сайте