Дело <НОМЕР>

Резолютивная часть оглашена <ДАТА1>

ПОСТАНОВЛЕНИЕ

о назначении административного наказания

07 июля 2017 года               г.Новосибирск<АДРЕС>

Исполняющий обязанности мирового судьи первого судебного участка Советского судебного района города Новосибирска - мировой судья пятого судебного участка Советского судебного района города Новосибирска Григораш Н.В.,

при секретаре <ФИО>,

рассмотрев материалы дела об административном правонарушении, предусмотренном ст. 13.11 КоАП РФ (в редакции Федерального закона от <ДАТА3> <НОМЕР> ФЗ) в отношении ˂НАИМЕНОВАНИЕ ОРГАНИЗАЦИИ˃  ИНН <НОМЕР>, ОГРН <НОМЕР>, находящегося по адресу: город <АДРЕС>, улица <АДРЕС>, дом <НОМЕР>, офис <НОМЕР>,

УСТАНОВИЛ:

Прокуратурой <АДРЕС> района города <АДРЕС> проведена проверка по обращению руководителя Управления Роскомнадзора по Сибирскому федеральному округу о нарушении ˂НАИМЕНОВАНИЕ ОРГАНИЗАЦИИ˃  законодательства о персональных данных. В ходе проверки было установлено, что документ, определяющий политику в отношении обработки персональных данных, в нарушение требований ч.2 ст.18.1 Федерального закона от <ДАТА4> <НОМЕР> «О персональных данных» на Сайте ˂НАИМЕНОВАНИЕ ОРГАНИЗАЦИИ˃  не размещен. Таким образом, ˂НАИМЕНОВАНИЕ ОРГАНИЗАЦИИ˃  нарушило установленный законом порядок сбора, хранения, использования или распространения информации о гражданах (персональных данных) и совершило административное правонарушение, предусмотренное ст.13.11 КоАП РФ (в редакции Федерального закона от <ДАТА3> <НОМЕР> ФЗ).

В судебном заседании законный представитель ˂НАИМЕНОВАНИЕ ОРГАНИЗАЦИИ˃  - директор <ФИО1> вину в совершении административного правонарушения признал частично, пояснил, что действительно на сайте ˂НАИМЕНОВАНИЕ ОРГАНИЗАЦИИ˃  не размещена политика в отношении обработки персональных данных клиентов Mygenetics. Однако он не согласен, с тем, что ˂НАИМЕНОВАНИЕ ОРГАНИЗАЦИИ˃  осуществляет деятельность, связанную с обработкой биометрических персональных данных. ˂НАИМЕНОВАНИЕ ОРГАНИЗАЦИИ˃  оказывает услуги по анализу генетической информации из представленных образцов буккального эпителия. Полученные результаты анализа могут быть свойственны широкому кругу лиц и не дают возможности идентифицировать личность. Кроме того, клиент дает ˂НАИМЕНОВАНИЕ ОРГАНИЗАЦИИ˃ свое согласие на обработку персональных данных в форме, позволяющей подтвердить факт его получения.

Помощник прокурора <АДРЕС> района <АДРЕС> <ФИО2> в судебном заседании пояснил, что факты, изложенные в постановлении о возбуждении дела об административном правонарушении в отношении ˂НАИМЕНОВАНИЕ ОРГАНИЗАЦИИ˃  по ст. 13.11 КоАП РФ, нашли свое подтверждение в судебном заседании и просил суд привлечь к административной ответственности ˂НАИМЕНОВАНИЕ ОРГАНИЗАЦИИ˃  по ст. 13.11 КоАП РФ.

Мировой судья, выслушав законного представителя ООО «НЦГИ» - директора <ФИО1>, помощника прокурора <АДРЕС> района <АДРЕС> <ФИО2>, исследовав материалы административного дела, считает вину ˂НАИМЕНОВАНИЕ ОРГАНИЗАЦИИ˃  в совершении административного правонарушения, предусмотренного ст.13.11 КоАП РФ (в редакции Федерального закона от <ДАТА3> <НОМЕР> ФЗ) установленной следующими доказательствами:

- постановлением о возбуждении дела об административном правонарушении, в котором изложены, обстоятельства совершения ˂НАИМЕНОВАНИЕ ОРГАНИЗАЦИИ˃  административного правонарушения;

- сообщением Управления Роскомнадзора по Сибирскому федеральному округу о нарушении ˂НАИМЕНОВАНИЕ ОРГАНИЗАЦИИ˃  законодательства в области обработки персональных данных <НОМЕР> от <ДАТА>

- копией скриншота сайта ˂НАИМЕНОВАНИЕ ОРГАНИЗАЦИИ˃ ;

- выпиской из ЕГРЮЛ;

- копией решения о проведении проверки от <ДАТА>

- копией документа по установлении политики в отношении обработки персональных данных в ˂НАИМЕНОВАНИЕ ОРГАНИЗАЦИИ˃ ;

- копией публичного договора - оферты;

- копией анкеты клиента;

- копией договора возмездного оказания услуг <НОМЕР> от <ДАТА7> и другими исследованными материалами административного дела.

Совокупность собранных по делу доказательств дает суду основание признать ˂НАИМЕНОВАНИЕ ОРГАНИЗАЦИИ˃  виновным в совершении административного правонарушения. При этом суд исходит из следующего.

В соответствии со ст. 3 Федерального закона от <ДАТА4> <НОМЕР> «О персональных данных» персональные данные - любая информация относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Часть 2 статьи 5 Федерального закона «О персональных данных» устанавливает, что обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

В соответствии с ч. 7. ст. 5 Федерального закона «О персональных данных», хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Согласно части 2 статьи 18.1 Федерального закона «О персональных данных», оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

Как видно из материалов дела, документ, определяющий политику в отношении обработки персональных данных, на Сайте ˂НАИМЕНОВАНИЕ ОРГАНИЗАЦИИ˃  на момент проверки не размещен. Данное обстоятельство в судебном заседании не отрицал законный представитель ˂НАИМЕНОВАНИЕ ОРГАНИЗАЦИИ˃. При таких обстоятельствах судом установлено, что ˂НАИМЕНОВАНИЕ ОРГАНИЗАЦИИ˃  нарушило требования ч.2 ст.18.1 Федерального закона от <ДАТА8> <НОМЕР> «О персональных данных».

В соответствии с ч.1 ст. 24 Конституции РФ сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.

Согласно ч.1 ст. 11 Федерального закона «О персональных данных» сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

В силу ч. 4 ст. 9. Федерального закона «О персональных данных» в случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;

4) цель обработки персональных данных;

5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

9) подпись субъекта персональных данных.

Как следует из публичного договора - оферты и анкеты клиента биоматериал ˂НАИМЕНОВАНИЕ ОРГАНИЗАЦИИ˃  собирается и анализируется исключительно в образовательных и научно - исследовательских целях. Следовательно, обработка информации ˂НАИМЕНОВАНИЕ ОРГАНИЗАЦИИ˃  осуществляется без целей идентификации лица. Кроме того, как следует из пояснительной записки кандидата биологических наук лаборатории Фармакогеномики ИХБФМ СО РАН от <ДАТА1> <НОМЕР>-05/458 в рамках исследований проводимых ˂НАИМЕНОВАНИЕ ОРГАНИЗАЦИИ˃  исследуются 7, 16 или 28 полиморфных локусов ДНК. По результатам анализа 28 полиморфных локусов ДНК невозможно идентифицировать личность исследуемого.  

Следовательно, данные, получаемые ˂НАИМЕНОВАНИЕ ОРГАНИЗАЦИИ˃  в результате исследования не являются биометрическими.

При таких обстоятельствах суд не может согласиться с административным органом по факту того, что согласие на обработку персональных данных, которое получает ˂НАИМЕНОВАНИЕ ОРГАНИЗАЦИИ˃  влечет за собой нарушение ч.1 ст. 11 Федерального закона от <ДАТА8> <НОМЕР> «О персональных данных».

Согласно ч.1 ст. 9 Федерального закона «О персональных данных» субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.

Анализ анкеты клиента, имеющейся в материалах дела позволяет суду сделать вывод о том, что субъект персональных данных подтвердил факт получения согласия на обработку персональных данных.

Между тем, поскольку ˂НАИМЕНОВАНИЕ ОРГАНИЗАЦИИ˃  нарушило требования ч.2 ст.18.1 Федерального закона от <ДАТА8> <НОМЕР> «О персональных данных», суд усматривает в действиях ˂НАИМЕНОВАНИЕ ОРГАНИЗАЦИИ˃  наличие состава административного правонарушения, предусмотренного ст. 13.11 КоАП РФ (в редакции Федерального закона от <ДАТА3> <НОМЕР> ФЗ), а именно: нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).

Анализируя материалы дела, суд приходит к выводу о том, что запись о дате составления 

постановления о возбуждении дела об административном правонарушении <ДАТА>. сделано ошибочно. Судом установлено, что дата составления постановления о возбуждении дела об административном правонарушении <ДАТА>.  

С учетом изложенного, суд квалифицирует действия ˂НАИМЕНОВАНИЕ ОРГАНИЗАЦИИ˃  по ст. 13.11 КоАП РФ (в редакции Федерального закона от <ДАТА3> <НОМЕР> ФЗ) - нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).

При назначении административного наказания, суд руководствуется ст. 4.1. Кодекса РФ об административных правонарушениях, предусматривающей общие правила назначения административного наказания за совершение административного правонарушения, которое назначается в пределах, установленных законом, предусматривающим ответственность за данное административное правонарушение.

При назначении наказания суд учитывает характер совершенного административного правонарушения, имущественное и финансовое положение ˂НАИМЕНОВАНИЕ ОРГАНИЗАЦИИ˃ . Обстоятельство, смягчающее административную ответственность - частичное признание вины. Обстоятельства, отягчающие административную ответственность ˂НАИМЕНОВАНИЕ ОРГАНИЗАЦИИ˃  - отсутствуют.

С учетом изложенного, конкретных обстоятельств дела, суд полагает возможным назначить ˂НАИМЕНОВАНИЕ ОРГАНИЗАЦИИ˃  административное наказание в виде предупреждения.

На основании вышеизложенного, руководствуясь ст.ст. 13.11, 29.9, 29.10, КоАП РФ,

ПОСТАНОВИЛ:

˂НАИМЕНОВАНИЕ ОРГАНИЗАЦИИ˃  признать виновным в совершении административного правонарушения, предусмотренного ст. 13.11 КоАП РФ (в редакции Федерального закона от <ДАТА3> <НОМЕР> ФЗ), на основании которой подвергнуть наказанию в виде предупреждения.

Постановление может быть обжаловано и опротестовано в <АДРЕС> районный города <АДРЕС> в десятидневный срок.

Мировой судья:           подпись                             <ФИО3>

Источник: http://1sov.nsk.msudrf.ru/modules.php?name=sud_delo&op=sd&number=14741106&delo_id=1500001