Судебная практика

Дело № 5-297/2017 П О С Т А Н О В Л Е Н И Е по делу об административном правонарушении г. Кемерово 13 июля 2017 г. Мировой судья судебного участка № 5 Центрального судебного района города Кемерово Лобойко О.В.,рассмотрев в открытом судебном заседании дело об административном правонарушении, предусмотренном ст. 13.11  Кодекса РФ об административных правонарушениях, в отношении Общества с ограниченной ответственностью «Обезличено», ИНН <НОМЕР>, ОГРН <НОМЕР>, юридический адрес: г. <АДРЕС>,

УСТАНОВИЛ:

 Постановлением заместителя прокурора <АДРЕС> района г. <АДРЕС> <ФИО1> от <ДАТА2> в отношении ООО «Обезличено» возбуждено производство по делу об административном правонарушении, предусмотренном ст. 13.11 Кодекса Российской Федерации об административных правонарушениях.

 ООО «Обезличено» обвиняется в нарушении установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных),  что образует состав административного правонарушения, предусмотренного ст. 13.11 КРФобАП.

 В судебном заседании законный представитель ООО «Обезличено» <ФИО2> вину в совершенном правонарушении признала, пояснила, что у ООО «Обезличено» имелись согласия от работников на обработку персональных данных, однако указанные согласия не содержали всей необходимой информации, в данный момент все выявленные нарушения устранены.

 В судебном заседании помощник прокурора <АДРЕС> района г. <АДРЕС> <ФИО3> подтвердила сведения, изложенные в постановлении о возбуждении дела об административном правонарушении от <ДАТА2>, просила привлечь ООО «Обезличено» к административной ответственности по ст. 13.11 КРФобАП.

 Выслушав законного представителя ООО «Обезличено» <ФИО2>, прокурора, изучив письменные материалы дела, суд приходит к следующему.

 В соответствии с ч. 1 ст. 29.5 КРФобАП дело об административном правонарушении рассматривается по месту его совершенияМестом совершения административного правонарушения является место нахождения юридического лица - г. <АДРЕС>, ул. <АДРЕС>. Указанный адрес входит в описание границ судебного участка <НОМЕР> <АДРЕС> судебного района г. <АДРЕС> в соответствии с Законом <АДРЕС> области от <ДАТА3> N 30-ОЗ «О создании судебных участков и должностей мировых судей в <АДРЕС> области», соответственно рассмотрение данного дело подсудно мировому судье судебного участка <НОМЕР> <АДРЕС> судебного района г. <АДРЕС>.

 Положениями ст. 13.11 КРФ об АП предусмотрена ответственность за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).

 Согласно п. 1, 3 ст. 3 Федерального закона от <ДАТА4> <НОМЕР> «О персональных данных» персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

 В соответствии с ч. 1 ст. 11 Федерального закона от <ДАТА4> <НОМЕР> «О персональных данных» сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

 Согласно ч. 4 ст. 9 Федерального закона от <ДАТА4> <НОМЕР> «О персональных данных», в случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности: 1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе; 2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных); 3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных; 4) цель обработки персональных данных; 5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных; 6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу; 7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных; 8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом; 9) подпись субъекта персональных данных.

 В ходе проверки, проведенной с <ДАТА5> по <ДАТА6> Управлением Роскомнадзора по КО, установлено, что ООО «Обезличено» поручает обработку персональных данных работников ООО «Обезличено» <ФИО4> на основании договора о возмездном оказании бухгалтерских услуг и услуг кадрового делопроизводства от <ДАТА7>, а также <ФИО5> на основании договора о возмездном оказании IT  услуг от <ДАТА7>. Кроме того, ООО «Обезличено» осуществляет передачу персональных данных работников в ПАО «Сбербанк России» на основании заявления о присоединении к условиям предоставления услуг в рамках «зарплатных проектов» <НОМЕР> от <ДАТА8>.

 В нарушение требований ч. 4 ст. 9 Федерального закона от <ДАТА4> <НОМЕР> «О персональных данных» в согласиях работников ООО «Обезличено», являющихся согласием в письменной форме субъектов персональных данных, отсутствуют сведения об адресе субъекта персональных данных, фамилии, имени, отчестве и адресе лица, осуществляющего обработку персональных данных по поручению оператора, сроке, в течение которого действует согласие субъекта персональных данных.

 В пункте 7 договоров о возмездном оказании услуг, заключенных в 2017г. ООО «Обезличено», содержатся согласия заказчиков на обработку и хранение исполнителем персональных данных, в том числе данных дактилоскопии пальцев рук.

 В нарушение требований ч. 4 ст. 9 Федерального закона от <ДАТА4> <НОМЕР> «О персональных данных» в согласиях на обработку персональных данных, являющихся согласием в письменной форме субъектов персональных данных, отсутствуют сведения о номере основного документа, удостоверяющего личность субъекта персональных данных, сведения о дате выдачи указанного документа и выдавшем его органе, цели обработки персональных данных, сроке, в течение которого действует согласие субъекта персональных данных.

 Согласно части 3 статьи 6 Федерального закона от <ДАТА4> <НОМЕР> «О персональных данных» оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.

 В нарушение требований ч. 3 ст. 6 Федерального закона от <ДАТА4> <НОМЕР> «О персональных данных» в договоре о возмездном оказании бухгалтерских услуг и услуг кадрового делопроизводства от <ДАТА7>, заключенного с <ФИО4>, а также в договоре о возмездном оказании IT услуг от <ДАТА7>, заключенного с <ФИО5>, не определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, не установлена обязанность <ФИО4> и <ФИО5> соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также не указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона от <ДАТА4> <НОМЕР> «О персональных данных».

 Кроме того, согласия на обработку персональных данных, подписанные работниками ООО «Обезличено», не содержат согласий на поручение обработки их персональных данных именно <ФИО4> и <ФИО5>, а также ПАО «Сбербанк».

 Также в ходе проверки установлены нарушения требований «Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденного Постановлением Правительства РФ от <ДАТА9> <НОМЕР> (далее - Положение).

 Так в нарушение п. 7 Положения анкеты, заполняемые работниками ООО «Обезличено», не содержат сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, наименование и адрес оператора, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных.

 Также в ходе проверки установлено, что в нарушение ч. 1 ст. 18.1 Федерального закона от <ДАТА4> <НОМЕР> «О персональных данных» локальные акты ООО «Обезличено» по вопросам обработки и защиты персональных данных не соответствуют актуальным требованиям законодательства в области персональных данных.

 Так в пункте 4 Инструкции по обработке персональных данных в ООО «Обезличено» содержатся условия обработки персональных данных без согласия субъектов персональных данных в недействующей редакции Федерального закона от <ДАТА4> <НОМЕР> «О персональных данных».

 В пункте 2.3 «Инструкции об обработке и защите персональных данных работников» содержатся сведения о том, что режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75 лет срока хранения. При этом Федеральным законом от <ДАТА4> <НОМЕР> «О персональных данных» указанные основания прекращения режима конфиденциальности не предусмотрены.

 Перечень должностей, связанный с обработкой персональных данных, содержащийся в «Положении об организации работы с персональными данными работников и клиентов ООО «Обезличено», а также сведения об отделе информатизации и защиты информации, содержащиеся в «Инструкции по подключению пользователя к локальной вычислительной сети», не является актуальным.

 На основании вышеизложенного, суд приходит к выводу, что ООО «Обезличено» совершило правонарушение, предусмотренное ст. 13.11 КРФобАП, - нарушило установленный законом порядок сбора, хранения, использования и распространения информации о гражданах (персональных данных).

 Виновность ООО «Обезличено» в совершении административного правонарушения подтверждается: постановлением о возбуждении дела об административном правонарушении от <ДАТА2>, актом проверки <НОМЕР> от <ДАТА10>, приказом о проведении плановой выездной проверки от <ДАТА11>, иными письменными материалами дела, пояснениями законного представителя ООО «Обезличено» <ФИО2> в судебном заседании.

 Суду не представлено доказательств отсутствия у ООО «Обезличено» возможности для соблюдения требований Федерального закона от <ДАТА4> <НОМЕР> «О персональных данных», а также принятия ООО «Обезличено» всех зависящих от него мер по их соблюдению.

 Постановление о возбуждении дела об административном правонарушении составлено с соблюдением требований закона, противоречий не содержит, а имеющиеся в нем  сведения достаточны для принятия решения и сомнений у суда не вызывают.

 По мнению суда, собранные по делу доказательства отвечают критериям допустимости, достоверности и достаточности в соответствии с требованиями статьи 26.11 Кодекса Российской Федерации об административных правонарушениях.

 Права и законные интересы ООО «Обезличено» при возбуждении дела об административном правонарушении нарушены не были.

 При вышеизложенных обстоятельствах, суд считает, что виновность ООО «Обезличено» в совершении административного правонарушения, предусмотренного  ст. 13.11  КРФ об АП, установлена и доказана.

 С учетом признаков объективной стороны административного правонарушения, предусмотренного ст. 13.11 КРФобАП, данное правонарушение, по мнению суда, не может быть признано малозначительным, поскольку существенно нарушает охраняемые общественные отношения.

 При определении вида и размере наказания суд учитывает характер совершенного административного правонарушения, финансовое положение ООО «Обезличено».

 В качестве обстоятельства, смягчающего административную ответственность, суд учитывает признание вины, принятие мер по устранению допущенных нарушений.

 Обстоятельств, отягчающих административную ответственность, судом не установлено.

 На основании вышеизложенного, руководствуясь ст.ст. 13.11, 29.10-29.11  КРФобАП, суд

ПОСТАНОВИЛ:

 Общество с ограниченной ответственностью «Обезличено» признать виновным в совершении административного правонарушения, предусмотренного ст. 13.11 КРФоАП, и назначить ему наказание в виде предупреждения.

Постановление может быть обжаловано в Центральный районный суд г. Кемерово течение 10 суток со дня вручения или получения копии постановления

Мировой судья:                                                                                      О.В. Лобойко     

Копия верна                 

Источник: http://0645.kmr.msudrf.ru/modules.php?name=sud_delo&op=sd&number=24667513&case_number=23998077&delo_id=1500001

Информация по делу
Статьи
ст. 13.11 КоАП РФ
Суд
Судебный участок № 5 Центрального судебного района города Кемерово
Судья
Лобойко О.В.
Дата решения
2017-07-13
Категории
Работники
Поручение обработки
Согласие
Биометрия
Локальные акты оператора
Другие дела из подобных
категорий:

Отсутствие локальных актов в сфере обработки персональных данных работников

Несоответствие согласия работников требованиям закона

Размещение на сайте фотографии несовершеннолетнего в отсутствии согласия законного представителя

Направление рекламной информации

В личных делах подопечных  письменные согласия опекунов несовершеннолетних не отвечают требованиям, закрепленным в ч.4 ст.9 ФЗ "О персональных данных"

Несоблюдение требований к поручению обработки; несоответствие типовой формы анкеты требованиям постановления

Хранение копий документов работников

Несоответствие формы согласия закону, нарушение порядка хранения носителей

Отказ в предоставлении государственной услуги в отсутствие согласия на обработку персональных данных

От работников не получены  согласия на обработку  их персональных данных; не разработан документ (положение) устанавливающий порядок  обработки персональных данных работников

Положение о порядке обработки и обеспечения безопасности персональных данных, обрабатываемых в учреждении на официальном  сайте или стенде не размещено

Нарушение оператором требований законодательства в отношении обработки персональных данных

Передача персональных данных работников без их письменного согласия

Опубликование персональных данных в социальной сети "Одноклассники"

Обработка биометрических персональных данных в школе