Дело № 5-383/2018

П О С Т А Н О В Л Е Н И Е

Республика Коми, город Сыктывкар                      24 апреля 2018 года

Мировой судья Куратовского судебного участка г. Сыктывкара Республики Коми Ю.А. Малышева,

рассмотрев дело об административном правонарушении в отношении ˂ФИО˃, <ДАТА2> привлекаемого к административной ответственности за совершение административного правонарушения, предусмотренного ч. 6 ст. 13.11 КоАП РФ,

у с т а н о в и л:

Согласно протоколу об административном правонарушении, в ходе рассмотрения материалов по заявлению гражданина <ФИО1>. по факту возможного нарушения законодательства о персональных данных со стороны ˂Наименование организации˃, специалистами Управления Роскомнадзора по Республике Коми обнаружено нарушение п. 15 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденного Постановлением Правительства Российской Федерации от 15.09.2008 № 687, в части несоблюдения оператором при хранении материальных носителей персональных данных условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ.

˂Наименование организации˃, надлежаще извещенный о месте и времени рассмотрения дела, в судебное заседание не явился.

Представитель лица, привлекаемого к административной ответственности, ˂ФИО˃ в судебном заседании вину во вменяемом ˂ФИО˃ правонарушении не признал, представил письменные объяснения по делу об административном правонарушении, дополнительно указал, что требования пункта 6.5 Положения об организации и обеспечению защиты персональных данных ˂Наименование организации˃, утвержденного Председателем Правления ˂Наименование организации˃ 01.10.2012 № 491 (приложение № 2) не применимы к арендуемым помещениям. Заявил ходатайство о применении положений ст. 2.9 КоАП РФ и прекращении производства по делу в связи с малозначительностью.

Представитель Управления Роскомнадзора по Республике Коми ˂ФИО˃ в судебном заседании позицию, изложенную в протоколе об административном правонарушении, поддержала, указала, что договор аренды на хранение архива ˂ФИО˃ не заключался, материальные носители хранились в не запирающихся металлических ящиках, тогда как меры по обеспечению сохранности персональных данных устанавливаются локальными актами оператора. В удовлетворении заявленного ходатайства о применении положений ст. 2.9 КоАП РФ просила отказать.

Выслушав лиц, участвующих в деле, допросив свидетеля, изучив материалы дела, оценив все имеющиеся доказательства, мировой судья приходит к следующему.

Часть 6 статьи 13.11 КоАП РФ предусматривает административную ответственность за невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния.

В силу положений ст. ст. 23, 24 Конституции Российской Федерации каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.

Отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами, органами местного самоуправления, иными муниципальными органами, юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным, урегулированы Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

Согласно п. п. 1, 2 ст. 3 Федерального закона № 152-ФЗ, персональными данными признается любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных). К данным сведениям относятся фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другая информация. Юридическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными, является оператором персональных данных.

Статьей 7 Федерального закона № 152-ФЗ установлен принцип конфиденциальности, в том числе запрет на раскрытие персональных данных третьим лицам. Так, операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных (ч. 1 ст. 19 Федерального закона № 152-ФЗ).

Кроме того, в силу положений п. 1 ч. 1 ст. 6 Федерального закона № 152-ФЗ, обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных указанным Федеральным законом. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.

<ДАТА6> в Управление Роскомнадзора по Республике Коми поступило заявление <ФИО1>. по факту возможного нарушения законодательства о персональных данных со стороны ˂ФИО˃, дополненное письмами от 28.02.2018 (вх. № 1265/11 от 01.03.2018), 02.03.2018 (вх. № 1395/11 от 06.03.2018), 15.03.2018 (вх. № 1605/11 от 16.03.2018), 19.03.2018 (вх. № 1685/11 от 20.03.2018), от 02.04.2018 (вх. № 2129/11 от 03.02.2018).

Заявитель сообщил, что на основании договора купли-продажи от <ДАТА17> он является собственником нежилого помещения (подвала), расположенного по адресу: <АДРЕС> кадастровый номер <НОМЕР>, номер на поэтажном плане 1. От сотрудников ˂Наименование организации˃ ему стало известно, что в указанном помещении хранятся документы (архив), в том числе содержащие персональные данные граждан. Указанные документы принадлежат ˂Наименование организации˃, что подтверждается письмами ˂Наименование организации˃ от 20.02.2018 № СГф34-338, от 12.03.2018 № СГф34-430, от 14.03.2018 № СГф34-447, от 21.03.2018 № СГф34-492. Договор аренды вышеуказанного помещения между ним, либо бывшим собственником с ˂Наименование организации˃ не заключался, не известны правовые основания использования данного нежилого помещения ˂Наименование организации˃, в т.ч. для хранения документов, содержащих персональные данные граждан. Ключи от нежилого помещения № 1 (фактическая нумерация помещения и нумерация на стенде вахты - № 5) в количестве 3 (трех) штук находятся - 2 на вахте здания, непосредственно у центрального входа, охрана в здании отсутствует, к стенду с ключами имеет доступ неограниченный круг лиц. Указанный факт подтверждается протоколом осмотра места происшествия от <ДАТА22>, составленным дознавателем УУП, в присутствии понятых <ФИО1>. и <ФИО2>., видеозаписью осмотра помещения, осуществленной заявителем совместно с <ФИО3>. <ДАТА9>, а также видеозаписью осмотра помещения, осуществленной заявителем совместно с <ФИО4>.

Управлением Роскомнадзора по Республике Коми в адрес ˂Наименование организации˃ и ˂Наименование организации˃ направлены запросы о предоставлении пояснении по существу доводов заявителя.

В соответствии с представленными сведениями от <ДАТА20> и <ДАТА14> установлено, что между ˂Наименование организации˃ и ˂ФИО˃ - предыдущим собственником нежилого помещения (подвал) <НОМЕР>, расположенного по адресу: <АДРЕС>, заключен Договор аренды нежилого помещения <НОМЕР> от <ДАТА23> При этом на использование нежилого помещения - подвала <НОМЕР>, в т.ч. для хранения документов, содержащих персональные данные граждан, правоустанавливающие документы у ˂Наименование организации˃ отсутствуют. Согласно представленным сведениям, а также показаниям свидетеля, существовала некая устная договоренность между директором  ˂Наименование организации˃ ˂ФИО˃ и директором ˂Наименование организации˃ <ФИО5>. на использование указанного помещения. Ключи от нежилого помещения по одному экземпляру имелись только у собственника ˂Наименование организации˃ и ˂Наименование организации˃. Ключи от помещений на вахте размещены не были, посторонние лица доступа к помещению не имели, документы были размещены и хранились в помещении, доступ к которому имели только сотрудники ˂Наименование организации˃, до момента перехода помещения к новому собственнику.

Свидетель ˂ФИО˃ в судебном заседании пояснил, что являлся собственником нежилого помещения, расположенного по адресу: <АДРЕС>. В начале 2016 года началась процедура банкротства, назначен конкурсный управляющий. ˂Наименование организации˃ арендовало помещение под архив в конце 2017 года по устной договоренности.  

В соответствии со ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными; обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Пунктом 15 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного Постановлением Правительства Российской Федерации от 15.09.2008 № 687, установлено, что при хранении материальных носителей персональных данных должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.

Приказом ˂Наименование организации˃ от 01.10.2012 № 491 утверждено Положение об организации и обеспечению защиты персональных данных в ˂Наименование организации˃. Пунктом 6.5. указанного Положения предусмотрено, что хранение материальных носителей персональных данных не может осуществляться в открытом доступе. Хранение материальных носителей персональных данных должно осуществляться в запираемых металлических ящиках. Пунктом 10.2.6 предусмотрено, что в случае, если работник сторонней организации имеет доступ к персональным данным Общества необходимо, чтобы в договоре со сторонней организацией были прописаны условия конфиденциальности персональных данных и обязанность сторонней организации и ее работников по соблюдения требований текущего законодательства в области защиты персональных данных.

Договор аренды нежилого помещения <НОМЕР> от <ДАТА24>, условия о порядке передачи, использования и хранения ключей, а также условия о соблюдении конфиденциальности персональных данных со стороны предыдущего собственника помещения, имеющего свой комплект ключей, как в отношении нежилого помещения (подвал) <НОМЕР>, так и в отношении нежилого помещения (подвал) <НОМЕР>, не обнаружены.

В соответствии с п. 4.2.5. Положения о Сыктывкарском филиале ˂Наименование организации˃ от 15.06.2015 филиал обязан обеспечить обработку и защиту персональных данных в соответствии с действующим законодательством Российской Федерации, регулирующим сферу персональных данных, нормативными и распорядительными актами Общества по обработке и организации защиты персональных данных.

Пунктом 6.1. установлено, что текущее руководство деятельностью филиала осуществляет Директор филиала. Директор филиала организует работу филиала, несет персональную ответственность за деятельность филиала в соответствии с действующим законодательством Российской Федерации (п. 6.3.).

В соответствии с <АДРЕС> <НОМЕР> от <ДАТА26> директором ˂Наименование организации˃ назначен ˂ФИО˃

Таким образом, ˂ФИО˃, являясь должностным лицом оператора персональных данных ˂Наименование организации˃, при хранении материальных носителей персональных данных в нежилом помещении (подвал) <НОМЕР>, расположенном по адресу: <АДРЕС>, не предпринял достаточных мер для исключения несанкционированного доступа к ним, что повлекло неправомерный или случайный доступ к персональным данным третьих лиц, в т.ч. <ФИО1>.

Своим бездействием должностное лицо - директор ˂Наименование организации˃ нарушил требования п. 15 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного Постановлением Правительства Российской Федерации от 15.09.2008 № 687.

В соответствии со ст. 2.4 КоАП РФ административной ответственности подлежит должностное лицо в случае совершения им административного правонарушения в связи с неисполнением либо ненадлежащим исполнением своих служебных обязанностей.         

Статьей 1.5 КоАП РФ установлено, что лицо подлежит административной ответственности только за те административные правонарушения, в отношении которых установлена его вина.

Мировой судья находит вину ˂ФИО˃ в совершении административного правонарушения, предусмотренного ч. 6 ст. 13.11 КоАП РФ, установленной и доказанной, что подтверждается протоколом об административном правонарушении, уведомлением о составлении протокола от 23.03.2018, заявлением об административном правонарушении, дополнениями к заявлению от 28.02.2018, 15.03.2018, 19.03.2018, 02.04.2018, объяснениями представителя лица, привлекаемого к административной ответственности, свидетеля.

В силу положений ст. 2.9 КоАП РФ, при малозначительности совершенного административного правонарушения судья, орган, должностное лицо, уполномоченные решить дело об административном правонарушении, могут освободить лицо, совершившее административное правонарушение, от административной ответственности и ограничиться устным замечанием.

 При квалификации административного правонарушения в качестве малозначительного, необходимо учитывать, что ст. 2.9 не содержит оговорок о ее неприменении к каким-либо составам правонарушений, предусмотренным КоАП РФ.

 В соответствии с Постановления Пленума Верховного Суда РФ от 24.03.2005 № 5 малозначительным административным правонарушением является действие или бездействие, хотя формально и содержащее признаки состава административного правонарушения, но с учетом характера совершенного правонарушения и роли правонарушителя, размера вреда и тяжести наступивших последствий не представляющее существенного нарушения охраняемых общественных правоотношений.

Оценка малозначительности деяния должна соотноситься с характером и степенью общественной опасности, причинением вреда либо угрозой причинения вреда личности, обществу или государству.

В обоснование заявленного представителем ˂ФИО˃ ходатайства о применении положений ст. 2.9 КоАП РФ не приведено достаточных оснований с представлением надлежащих доказательств устранения допущенных нарушений требований законодательства в области связи и информации, с учетом не признания вины во вменяемом административном правонарушении, заявленное ходатайство удовлетворению не подлежит.

При назначении наказания мировой судья учитывает личность лица, привлекаемого к административной ответственности, обстоятельства совершения правонарушения, общественную значимость деяния.

На основании вышеизложенного, руководствуясь, ст. ст. 29.1, 29.7-29.10 КоАП РФ, мировой судья

постановил:

Признать ˂ФИО˃ виновным в совершении административного правонарушения, предусмотренного ч. 6 ст. 13.11 КоАП РФ, и назначить ему наказание в виде административного штрафа в размере 5 000 (пять тысяч) рублей.

Получателем штрафа является УФК по Республике Коми (Управление Роскомнадзора по Республике Коми), ИНН 1101486117, КПП 110101001, БИК 048702001, Отделение - НБ Республика Коми г. Сыктывкар, р/с 40101810000000010004, ОКТМО 87701000, КБК 09611690040116000140, УИН 09600000000009565585.

Документ об уплате штрафа должен быть представлен в течение 60 дней со дня вступления постановления в законную силу в канцелярию Куратовского судебного участка г. Сыктывкара Республики Коми по адресу: г. Сыктывкар, ул. Кирова, 45.

Разъяснить, что в соответствии с ч. 1 ст. 20.25 КоАП РФ неуплата административного штрафа в шестидесятидневный срок со дня вступления постановления в законную силу либо со дня истечения срока отсрочки или срока рассрочки, влечет наложение административного штрафа в двукратном размере суммы неуплаченного административного штрафа, но не менее одной тысячи рублей, либо административный арест на срок до пятнадцати суток, либо обязательные работы на срок до пятидесяти часов.

Постановление может быть обжаловано в течение 10 дней со дня получения его копии в Сыктывкарский городской суд Республики Коми через мирового судью Куратовского судебного участка                 г. Сыктывкара Республики Коми.

Мировой судья                                                                                         Ю.А. Малышева

Источник: http://kuratovsky.komi.msudrf.ru/modules.php?name=sud_delo&op=sd&number=52245970&case_number=5-383/2018&delo_id=1500001