Дело №5-527/2017                                                                                                                               

ПОСТАНОВЛЕНИЕ

о назначении административного наказания

29 сентября 2017 года                           г. Котлас

Мировой судья судебного участка № 1 Котласского судебного района Архангельской области Рядовикова Юлия Викторовна, рассмотрев по адресу: Архангельская область, г. Котлас, пер. Воровского, д. 8,

материалы дела об административном правонарушении, предусмотренного ст. 13.11 ч. 3 КоАП РФ, в отношении ˂Наименование организации˃, ИНН <НОМЕР>, ОГРН <НОМЕР>, дата государственной регистрации <ДАТА2>

у с т а н о в и л:

˂Наименование организации˃ (далее ˂Наименование организации˃) не выполнило предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных

Правонарушение совершено при следующих обстоятельствах.

На основании Плана деятельности Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Архангельской области и Ненецкому автономному округу (далее - Управление) на 2017 год, утвержденного приказом врио руководителя Управления от 14.11.2016 №204, размещенного на сайте в сети «Интернет» ˂Ссылка на страницу сайта˃, было проведено мероприятие систематического наблюдения в сети Интернет в отношении операторов связи, зарегистрированных на территории Архангельской области и Ненецкого автономного округа, на предмет соблюдения операторами требований законодательства в сфере персональных данных.

03.07.2017 г. в 13 час. 45 мин. в результате мероприятия систематического наблюдения в сети Интернет Управлением было выявлено нарушение требований законодательства Российской Федерации в области персональных данных на интернет-сайте ˂Наименование организации˃ по адресу ˂Ссылка на страницу сайта˃, в части неопубликования документов, определяющих политику в отношении обработки персональных данных, а также сведений о реализуемых требованиях к защите персональных данных (Докладная записка от <ДАТА5> <НОМЕР>). На интернет-странице ˂Ссылка на страницу сайта˃ = connection (предусмотрена возможность заполнения онлайн-заявки на подключение, для чего пользователю необходимо заполнить определенные поля с указанием своих персональных данных: фамилия, имя, отчество, номер телефона, адрес электронной почты, адрес подключения (город, улица, № дома, корпус/литер, № кв.). Указанный факт свидетельствует о том, что ˂Наименование организации˃ производится сбор персональных данных граждан с использованием информационно-телекоммуникационной сети. Вместе с тем, на сайте ˂Наименование организации˃ ˂Ссылка на страницу сайта˃ не опубликованы документы, определяющие политику в отношении обработки персональных данных, содержащие сведения о реализуемых ˂Наименование организации˃ требованиях к защите персональных данных.

Законный представитель ˂Наименование организации˃, извещенный о месте и времени судебного заседания надлежащим образом, не явился. Представил ходатайство, в котором указал, что Общество подтверждает, что действительно в разделе заполнения он-лайн заявки не опубликован документ, определяющий его политику в отношениях обработки персональных данных, и сведений о реализуемых требованиях к защите персональных данных. Указанный документ опубликован на основной странице интернет сайта ˂Наименование организации˃, расположенный по адресу: ˂Ссылка на страницу сайта˃. При переходе по ссылке содержащейся на указанной странице, любое лицо может ознакомиться с документом - «Политикой обработки персональных данных» (адрес страницы в сети интернет: ˂Ссылка на страницу сайта˃). Также Обществом в своем ходатайстве отмечено, что действующее законодательство не обязывает оператора опубликовывать документ, определяющей его политику в отношении обработки персональных данных, и сведений о реализуемых требованиях к защите персональных данных в разделе, где персональные данные собираются. Такой документ должен быть опубликован оператором, осуществляющим сбор персональных данных с использованием информационно-телекоммуникационных сетей, в соответствующей информационно-телекоммуникационной сети документ (ч. 2 ст. 18.1 ФЗ «О персональных данных»), то есть на интернет-странице ˂Наименование организации˃. Указанная обязанность Обществом выполняется.

Оценив собранные по делу письменные доказательства в их совокупности, мировой судья полагает, что вина ˂Наименование организации˃ нашла свое подтверждение в судебном заседании.

Отношения, связанные с обработкой персональных данных, регулируются Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее - Закон о персональных данных).

В соответствии с ч.1 ст. 3 Федерального Закона РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее - Федеральный Закон), под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Обработкой персональных данных являются любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Согласно п. 2 ст. 3 Федерального закона Оператор это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. На основании ст. 18.1 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам могут, в частности, относиться издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.

Согласно ч. 2 ст. 18.1 Федерального закона оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

Согласно ч. 4 ст. 9 Федерального закона «О персональных данных» согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

3)    наименование или фамилию, имя, отчество и адрес оператора,
получающего согласие субъекта персональных данных;

4) цель обработки персональных данных;

5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

6)      наименование или фамилию, имя, отчество и адрес лица,
осуществляющего обработку персональных данных по поручению оператора,
если обработка будет поручена такому лицу;

7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

9) подпись субъекта персональных данных.

Статьей 7 Федерального закона «О персональных данных» установлено, что операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

В соответствии с п. 6 ст. 3 данного Федерального закона предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Как следует из материалов дела на основании Плана деятельности Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Архангельской области и Ненецкому автономному округу (далее - Управление) на 2017 год, утвержденного приказом врио руководителя Управления от 14.11.2016 №204, размещенного на сайте в сети «Интернет» http://29.rkn.gov.ru/, было проведено мероприятие систематического наблюдения в сети Интернет в отношении операторов связи, зарегистрированных на территории Архангельской области и Ненецкого автономного округа, на предмет соблюдения операторами требований законодательства в сфере персональных данных. Согласно ч.1 ст. 23 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее - Федеральный закон) уполномоченным органом по защите прав субъектов персональных данных, на который возложено осуществление функций по контролю и надзору за соответствием обработки персональных данных требованиям вышеуказанного Закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере связи и информационных технологий.

Постановлением Правительства РФ от 16.03.2009 № 228 утверждено Положение о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, в соответствии с абз. 2 п. 1 которого Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) является уполномоченным федеральным органом исполнительной власти по защите прав субъектов персональных данных.

На основании п.п. 6, 7.1.4.1 Положения об Управлении Роскомнадзора по Архангельской области и Ненецкому автономному округу, утвержденного Приказом Роскомнадзора от 25.01.2016 № 44 (далее - Положение), Управление осуществляет функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных на территории Архангельской области и Ненецкого автономного округа.

03.07.2017г. в 13 час. 45 мин. в результате мероприятия систематического наблюдения в сети Интернет Управлением было выявлено нарушение требований законодательства Российской Федерации в области персональных данных на интернет-сайте ˂Наименование организации˃ по адресу ˂Ссылка на страницу сайта˃, в части неопубликования документов, определяющих политику в отношении обработки персональных данных, а также сведений о реализуемых требованиях к защите персональных данных (Докладная записка от <ДАТА5> <НОМЕР>). На интернет-странице ˂Ссылка на страницу сайта˃ = com_chronocontact&chronoformname =connection  предусмотрена возможность заполнения онлайн-заявки на подключение, для чего пользователю необходимо заполнить определенные поля с указанием своих персональных данных: фамилия, имя, отчество, номер телефона, адрес электронной почты, адрес подключения (город, улица, № дома, корпус/литер, № кв.). Указанный факт свидетельствует о том, что ˂Наименование организации˃ производится сбор персональных данных граждан с использованием информационно-телекоммуникационной сети. Вместе с тем, на сайте ˂Наименование организации˃ ˂Ссылка на страницу сайта˃ не опубликованы документы, определяющие политику в отношении обработки персональных данных, содержащие сведения о реализуемых ˂Наименование организации˃ требованиях к защите персональных данных.

Таким образом, ˂Наименование организации˃ производится сбор персональных данных граждан с использованием информационно-телекоммуникационной сети в нарушение требований ч. 2 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных является административным правонарушением, ответственность за которое предусмотрена ч. 3 ст. 13.11 Кодекса Российской Федерации об административных правонарушениях. У юридического лица - ˂Наименование организации˃ - имелась возможность для соблюдения правил и норм, предусмотренных законодательством Российской Федерации, но данным лицом не были приняты все зависящие от него меры по их соблюдению. Таким образом, в нарушение обязанности, установленной ч. 2 ст. 18.1 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», ˂Наименование организации˃ не опубликованы документы, определяющие политику в отношении обработки персональных данных и сведения о реализуемых требованиях к защите персональных данных.

Доводы ˂Наименование организации˃ о том, что документ, определяющий его политику в отношениях обработки персональных данных «Политика обработки персональных данных» опубликован на основной странице интернет сайта ˂Наименование организации˃, расположенный по адресу: ˂Ссылка на страницу сайта˃ и, любое лицо может ознакомиться с документом  (адрес страницы в сети интернет: ˂Ссылка на страницу сайта˃) мировой судья признает несостоятельными. Поскольку сведений о том, что данный документ был размещен на сайте ˂Наименование организации˃ в период проведения мероприятий систематического наблюдения в сети Интернет, несмотря на направленный запрос, Обществом не представлено.

Вина ˂Наименование организации˃ подтверждается протоколом об административном правонарушении № <НОМЕР> от <ДАТА13>, докладной запиской отдела по защите прав субъектов персональных данных и надзора в сфере информационных технологий от 03.07.2017 № 288-дп; скриншотом страницы ˂Ссылка на страницу сайта˃ от 03.07.2017г. Приведенные доказательства согласуются между собой, не содержат противоречий и соответствуют фактическим обстоятельствам дела, поэтому мировой судья руководствуется ими при вынесении постановления.

При указанных обстоятельствах действия ˂Наименование организации˃ мировой судья квалифицирует по ст. 13.11 ч. 3 КоАП РФ - невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных.

Обстоятельств, смягчающих и отягчающих административную ответственность виновного лица, не установлено.

В соответствии с ч. 1 ст. 3.1 КоАП РФ административное наказание является установленной государством мерой ответственности за совершение административного правонарушения и применяется в целях предупреждения совершения новых правонарушений, как самим правонарушителем, так и другими лицами.

Принимая во внимание обстоятельства произошедшего, отсутствие смягчающих и отягчающих административную ответственность обстоятельств, мировой судья считает возможным назначить ему минимальное наказание, предусмотренное санкцией статьи.

На основании изложенного и руководствуясь ст. ст. 29.7, 29.9, 29.10 КоАП РФ, мировой судья

п о с т а н о в и л:

˂Наименование организации˃ признать виновным в совершении административного правонарушения, предусмотренного ст. 13.11 ч. 3 КоАП РФ, и назначить наказание в виде административного штрафа в размере 15 000 (Пятнадцати тысяч) рублей.

Реквизиты по уплате административного штрафа: УФК по Архангельской области и Ненецкому автономному округу (Управление Роскомнадзора  по Архангельской области и Ненецкому автономному округу), Банк получателя: Отделение <АДРЕС>.

 В соответствии со ст. 32.2 ч. 1 КоАП РФ, административный штраф должен быть уплачен лицом, привлеченным к административной ответственности, не позднее 60 дней со дня вступления постановления о наложении административного штрафа в законную силу либо со дня истечения срока отсрочки или срока рассрочки, предусмотренных статьей 31.5 КоАП РФ.

В соответствии со ст. 31.5 КоАП РФ при наличии обстоятельств, вследствие которых исполнение постановления о назначении административного наказания в виде административного штрафа невозможно в установленные сроки, судья может отсрочить исполнение постановления на срок до одного месяца. С учетом материального положения лица, привлеченного к административной ответственности, уплата административного штрафа может быть рассрочена судьей на срок до трех месяцев.

При отсутствии документа, свидетельствующего об уплате административного штрафа, и информации об уплате административного штрафа в Государственной информационной системе о государственных и муниципальных платежах, по истечении срока, указанного в ч. 1 ст. 32.2 КоАП РФ, судья направляет в течение десяти суток постановление о наложении административного штрафа с отметкой о его неуплате судебному приставу-исполнителю для исполнения в порядке, предусмотренном федеральным законодательством.

Кроме того, судебный пристав-исполнитель в отношении лица, не уплатившего административный штраф, составляет протокол об административном правонарушении, предусмотренного ч. 1 ст. 20.25 КоАП РФ, санкция которого предусматривает наказание штрафа в двукратном размере суммы неуплаченного административного штрафа, но не менее одной тысячи рублей, либо административный арест на срок до пятнадцати суток, либо обязательные работы на срок до пятидесяти часов.

Постановление может быть обжаловано в Котласском городском суде Архангельской области в течение 10 суток со дня его вынесения, а лицом, в отношении которого ведется производство по делу об административном правонарушении, - в течение 10 суток со дня вручения или получения его копии постановления.

Мировой судья  -   Ю.В. Рядовикова

Источник: http://1ktl.arh.msudrf.ru/modules.php?name=sud_delo&op=sd&number=11090587&delo_id=1500001