дело № 4 - 260/2017
ПОСТАНОВЛЕНИЕ
о назначении административного наказания
25 мая 2017 года город Архангельск
Мировой судья судебного участка № 5 Октябрьского судебного района г. Архангельска Кораблина Е.А., находящийся по адресу: г. Архангельск, ул. Суворова, д.11, рассмотрев дело об административном правонарушении в отношении ˂Наименование учреждения˃, ОГРН <НОМЕР>, ИНН <НОМЕР>, расположенного по адресу: г. Архангельск, ул. <АДРЕС>,
УСТАНОВИЛ:
˂Наименование учреждения˃ (далее - Учреждение) допустило нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных), своими действиями совершив административное правонарушение, предусмотренное ст. 13.11 Кодекса Российской Федерации об административных правонарушениях (далее - КоАП РФ).
В судебном заседании помощник прокурора г. Архангельска обстоятельства, изложенные в постановлении, подтвердила, просила привлечь общество к ответственности за совершенное правонарушение.
Учреждение, извещенное о рассмотрении дела об административном правонарушении надлежащим образом, в судебное заседание своего законного представителя и (или) защитника не направило.
Выслушав участвующее при рассмотрении дела лицо, изучив материалы дела об административном правонарушении, мировой судья приходит к следующему.
В соответствии со ст. 13.11 КоАП РФ нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) - влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.
В судебном заседании установлено, что Учреждение является юридическим лицом, обрабатывает персональные данные работников, учащихся, их родителей, включено в общедоступный реестр операторов, осуществляющих обработку персональных данных на территории Архангельской области, регистрационный номер <НОМЕР>.
Следовательно, Учреждение должно соблюдать требования действующего законодательства РФ о соответствии обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.
В соответствии с ч. 1 ст. 6 Федерального закона «О персональных данных» (далее - Закон) обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом.
Из представленных мировому судье материалов следует, что в период с 06 марта по 03 апреля Управлением Роскомнадзора по Архангельской области и Ненецкому автономному округу проведена плановая проверка соблюдения Учреждением требований в области персональных данных.
В ходе проведенной проверки выявлены нарушения Учреждением требований Закона, а именно:
- в нарушение ч. 1 ст. 6, ч. 1 ст. 8 Закона размещая на официальном сайте по адресу ˂Ссылка на страницу сайта˃ персональные данные сотрудников и обучающихся, осуществляет обработку персональных данных сотрудников и обучающихся в отсутствие их согласия на обработку персональных данных и иных оснований, предусмотренных законодательством;
- в нарушение ч. 3 ст. 6 Закона, Учреждение в рамках договора о передаче функций по ведению бюджетного (бухгалтерского) учета, планированию финансово-хозяйственной деятельности и формированию бюджетной, бухгалтерской, финансовой и иной отчетности от 01.12.2016 № 14 поручило обработку персональных данных своих работников ˂Наименование учреждения˃, в отсутствие их согласия;
- в нарушение ч. 1 ст. 6 Закона Учреждение при рассмотрении заявления одного из родителей о приеме ребенка в летний оздоровительный лагерь осуществляет сбор и дальнейшую обработку персональных данных второго родителя в объеме: фамилия, имя, отчество, паспортные данные, место работы (должность), контактный телефон, в отсутствие его согласия на обработку персональных данных;
- в нарушение ч. 5 ст. 5 Закона, Учреждение осуществляет обработку избыточных персональных данных родителей (законных представителей) обучающихся, касающиеся их места работы и должности, по отношению к заявленным целям обработки, а именно: при подаче заявления о зачислении ребенка в ˂Наименование учреждения˃, при заполнении личной карточки обучающегося, при подаче заявления о приеме ребенка в летний оздоровительный лагерь и при заключении договора об оказании услуг по содержанию ребенка в детском оздоровительном лагере с дневным пребыванием;
- в нарушение ч. 1 ст. 10 Закона Учреждением осуществляется обработка специальной категории персональных данных, касающейся состояния здоровья обучающегося <ФИО1> (хранение в личном деле выписки из истории развития ребенка), в отсутствие согласия его родителей в письменной форме на обработку персональных данных и иных оснований, предусмотренных законодательством РФ;
- в нарушение ч. 3 ст. 6 Закона в условиях договора о передаче функций по ведению бюджетного (бухгалтерского) учета, планированию финансово-хозяйственной деятельности и формированию бюджетной, бухгалтерской, финансовой и иной отчетности от 01 декабря 2016 года № 14, заключенного Учреждением с ˂Наименование учреждения˃, не установлена обязанность ˂Наименование учреждения˃ соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных их обработке, а также не указаны требования к защите обрабатываемых персональных данных в соответствии со ст. 19 Закона о персональных данных;
- в нарушение ч. 4 ст. 21 Закона Учреждением не соблюдаются установленные требования обработки персональных данных после достижения цели обработки, а именно, не производится уничтожение материальных носителей, содержащих персональные данные граждан;
- в нарушение ч. 1 ст. 18.1 Закона Учреждением не приняты необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных меры по ознакомлению своих работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных и (или) обучение указанных работников;
- в нарушение ч. 2 ст. 18.1 Закона Учреждением не приняты меры по опубликованию или обеспечению неограниченного доступа к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных;
- в нарушение п. 5 постановления Правительства РФ от 15.09.2008 N° 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» в Учреждении в личных делах сотрудников выявлены факты фиксации на одном материальном носителе персональных данных иных сотрудников, цели обработки которых, заведомо несовместимы;
- а нарушении п. 13 постановления Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» Учреждением не определены места хранения материальных носителей, содержащих персональные данные (адрес, наименование, номер помещения, кабинета, шкафа, сейфа), позволяющие установить расположение для каждой категории обрабатываемых персональных данных (приказов по личному составу работников, приказов о предоставлении отпусков и командировок, приказов по личному составу обучающихся, протоколов соревнований, документов по присвоению спортивных разрядов, договоров гражданско-правового характера); - в нарушение п. 8 ст. 86 Трудового кодекса Российской Федерации Учреждением при обработке персональных данных в рамках трудовых отношений не соблюдаются обязательные требования в части отсутствия документов, подтверждающих ознакомление работников и их представителей с документами работодателя, устанавливающими порядок обработки персональных данных работников; - в нарушение ст. 87 Трудового кодекса Российской Федерации Учреждением при обработке персональных данных в рамках трудовых отношений не соблюдаются обязательные требования в части отсутствия документов, устанавливающих порядок хранения использования персональных данных работников. С актом проверки ознакомлен представитель Учреждения, копию акта получил, возражений при составлении акта не принес Сведений об оспаривании юридическим лицом результатов проверки в материалах дела не имеется. В адрес Учреждения Управлением Роскомнадзора по Архангельской области и Ненецкому автономному округу по результатам проверки 03 апреля 2017 года выдано предписание <НОМЕР> об устранении выявленных нарушений закона.
Таким образом, несоблюдение Учреждением установленных законодательством РФ требований в области обработки персональных данных нашло подтверждение в ходе рассмотрения настоящего дела.
Представленные по делу доказательства получены уполномоченным лицом с соблюдением установленного законом порядка.
Постановление о возбуждении дела об административном правонарушении составлено правильно в соответствии с требованиями ст. 28.2 КоАП РФ.
Анализируя представленные доказательства, мировой судья находит вину Учреждения в совершении административного правонарушения доказанной, его действия правильно квалифицированы по ст. 13.11 КоАП РФ, как нарушение установленного законом порядка сбора, хранения, использования и распространения информации о гражданах (персональных данных).
Оснований для признания совершенного правонарушения малозначительным мировой судья не усматривает, так как совершенное правонарушение посягает на основные права и свободы гражданина, закрепленные Конституцией РФ, а именно на неприкосновенность частной жизни, личную и семейную тайну.
В соответствии с ч. 3 ст. 4.1 КоАП РФ при назначении административного наказания юридическому лицу учитываются характер совершенного им административного правонарушения, имущественное и финансовое положение юридического лица, обстоятельства, смягчающие административную ответственность, и обстоятельства, отягчающие административную ответственность.
В качестве обстоятельств, смягчающих административную ответственность, мировой судья учитывает признание Учреждением своей вины, частичное исполнение предписания <НОМЕР> от 03 апреля 2017 года.
Обстоятельств, отягчающих административную ответственность, в ходе рассмотрения дела об административном правонарушении не установлено.
Учитывая характер и степень общественной опасности совершенного правонарушения, конкретные обстоятельства его совершения, тот факт, что Учреждением не впервые совершено административное правонарушение, мировой судья полагает, что цели административного наказания, установленные ст. 3.1 КоАП РФ буду достигнуты при назначении Учреждению наказания в виде административного штрафа в размере 5 000 рублей.
На основании статей 29.9, 29.10, Кодекса РФ об административных правонарушениях, мировой судья
ПОСТАНОВИЛ:
˂Наименование учреждения˃ признать виновным в совершении административного правонарушения, предусмотренного ст. 13.11 КоАП РФ, и назначить наказание в виде административного штрафа в размере 5 000 рублей.
Штраф следует перечислить по следующим реквизитам: получатель платежа: УФК по Архангельской области и Ненецкому автономному округу (Прокуратура Архангельской области) КБК 41511690010016000140, ИНН 2901052689 КПП 290101001 Банк получателя Архангельское отделение. Расчетный счет № 40101810500000010003 БИК 041117001 ОКТМО 11701000, предоставив документ, подтверждающий уплату штрафа в канцелярию мирового судьи судебного участка № 5 Октябрьского округа г. Архангельска (улица Суворова, дом 11, кабинет 201). Постановление может быть обжаловано в Октябрьский районный суд г. Архангельска непосредственно или через мирового судью судебного участка № 5 Октябрьского судебного района г. Архангельска в течение десяти суток со дня вручения или получения копии постановления.
Мировой судья Е.А. Кораблина
Источник: http://5okt.arh.msudrf.ru/modules.php?name=sud_delo&op=sd&number=11583861&delo_id=1500001
Поручение обработки
Учащиеся
Согласие
Специальные категории
Предоставление
Локальные акты оператора
Политика
Порядок хранения
Сайт
Избыточность персональных данных
Принятие мер, предусмотренных законом
Обязанность оператора
категорий:
Направление посредством сайта обращения, содержащего данные пациента
Согласия не соответствуют закону; работники не ознакомлены с положением
В заявлениях о приеме отсутствуют согласия
Сбор персональных данных посредством сайта без согласия
Оформление технического заключения с использованием персональных данных
Передача персональных данных без согласия; отсутствие документов, подтверждающих уничтожение
Несоблюдение обязательных требований законодательства РФ "О персональных данных"
Проход на территорию только по отпечатку пальца без согласия работника
Включение в договор согласий на предоставление данных в целях, не связанных с предметом договора