по делу № 5-302/2017
П О С Т А Н О В Л Е Н И Е
19 июня 2017 года город Тула
Мировой судья судебного участка №60 Привокзального судебного района города Тулы, расположенного по адресу: г.Тула, пос.Менделеевский, ул.Пионерская, дом №10 «а», Рублевская Татьяна Александровна,
с участием помощника прокурора Привокзального района г.Тулы ФИО,
рассмотрев материалы дела об административном правонарушении, предусмотренном ст.13.11 КоАП РФ, в отношении юридического лица
Общества с ограниченной ответственностью «Поликлиника Вирмед», расположенного по адресу: <…>, сведений о привлечении к административной ответственности по главе 13 КоАП РФ не имеется,
установил:
прокуратурой Привокзального района г.Тулы на основании обращения заместителя руководителя Управления Роскомнадзора по Тульской области А. о нарушении законодательства Российской Федерации в сфере обработки персональных данных со стороны ООО «Поликлиника Вирмед» была проведена проверка соблюдения требований законодательства о персональных данных в ООО «Поликлиника Вирмед». В ходе проверки выявлены нарушения указанного законодательства, которые выразились в следующем. В анкете для соискателя на вакантную должность указываются сведения с предыдущих мест работы, данная информация не указана в Уведомлении, было выявлена обработка фотографий работников путем размещения их на интернет - ресурсе (Акт изготовления скриншотов от 15.03.2017 г.). Также была выявлена обработка такой категории персональных данных, как свидетельство о рождении. Однако вышеперечисленные категории персональных данных не указаны Оператором в реестре операторов, осуществляющих обработку персональных данных в Уведомлении, все выше перечисленное является нарушением ч.3 ст.22 Федерального закона от 27.07.2006г. №152-ФЗ «О персональных данных». В форме анкеты для соискателя на вакантную должность и личной карточки работника выявлено наличие поля «сведения о родственниках», однако в Уведомлении в пункте категории субъектов персональных данных эта категория субъектов персональных данных не представлена, что является нарушением ч.3 ст.22 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных». На сайте оператора www.virmedtula.ru размещена информация о медицинских работниках (Фотография, Ф.И.О., Должность), что подтверждено актом изготовления скриншотов от 16.03.2017 г. Однако данная информация не отражена в уведомлении в разделе место нахождения баз данных, содержащих персональные данные граждан Российской Федерации, что является нарушением ч.3 ст.22 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных». В анкете кандидата для соискателя: - в форме анкеты предусмотрено поле сведения о близких родственников, в котором указывается: ФИО, год рождения, Степень родства, место учебы, работы, для обработки такого объема информации о родственниках работников необходимо иметь согласие на обработку; - форма анкеты не содержит сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъектов персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных. В договоре на оказание платных медицинских услуг (№<…>) было выявлено наличие формы согласия на обработку персональных данных, в которой указано, что срок обработки персональных данных, полученных в рамках этого договора - бессрочный, что является нарушением ч.4 ст.9 Федерального Закона «О персональных данных» от 27.07.2006 г. №152-ФЗ. В договоре на оказание платных медицинских услуг в форме согласия на обработку персональных данных в категориях персональных данных, обрабатываемых, указан полис Обязательного Медицинского Страхования, однако в соответствии с информацией, размещенной на официальном интернет портале Фонда Обязательного Медицинского Страхования Тульской области ООО «Поликлиника Вирмед» не является участников программы обязательного медицинского страхования, данная информация свидетельствует о нарушении ч.5 ст.5 Федерального закона «О персональных данных» от 27.07.2006 г. №152-ФЗ, однако в ходе проверки не была выявлена обработка такой категории персональных данных. Вышеуказанные выявленные нарушения свидетельствуют о наличии в действиях юридического лица ООО «Поликлиника Вирмед» административного правонарушения, ответственность за которое предусмотрена ст.13.11 КоАП РФ.
В судебное заседание юридическое лицо ООО «Поликлиника Вирмед» явку своего представителя не обеспечило. О месте и времени рассмотрения дела было извещено надлежащим образом, о чем свидетельствует имеющееся в материалах дела сообщение оператора связи. Главный врач ООО «Поликлиника Вирмед» К. предоставила мировому судье письменное ходатайство, в котором просила рассмотреть дело в отсутствие представителя юридического лица, ввиду занятости. С нарушениями согласна, вину признала полностью, в содеянном раскаялась.
В соответствии с ч.2 ст.25.1 КоАП РФ с учетом разъяснений, содержащихся в Постановлении Пленума Верховного Суда РФ от 19.12.2013 года №40 «О внесении изменений в постановление Пленума Верховного Суда Российской Федерации от 24 марта 2005 года №5 «О некоторых вопросах, возникающих у судов при применении Кодекса Российской Федерации об административных правонарушениях», мировой судья счел возможным рассмотреть настоящее дело в отсутствие не явившегося правонарушителя.
Помощник прокурора Привокзального района г.Тулы ФИО в судебном заседании показал, что прокуратурой Привокзального района г.Тулы на основании обращения заместителя руководителя Управления Роскомнадзора по Тульской области А. о нарушении законодательства Российской Федерации в сфере обработки персональных данных со стороны ООО «Поликлиника Вирмед» была проведена проверка соблюдения требований законодательства о персональных данных в ООО «Поликлиника Вирмед». В ходе проверки выявлены нарушения указанного законодательства, которые выразились в следующем. В анкете для соискателя на вакантную должность указываются сведения с предыдущих мест работы, данная информация не указана в Уведомлении, было выявлена обработка фотографий работников путем размещения их на интернет - ресурсе (Акт изготовления скриншотов от 15.03.2017 г.). Также была выявлена обработка такой категории персональных данных, как свидетельство о рождении. Однако вышеперечисленные категории персональных данных не указаны Оператором в реестре операторов, осуществляющих обработку персональных данных в Уведомлении, все выше перечисленное является нарушением ч.3 ст.22 Федерального закона от 27.07.2006г. №152-ФЗ «О персональных данных». В форме анкеты для соискателя на вакантную должность и личной карточки работника выявлено наличие поля «сведения о родственниках», однако в Уведомлении в пункте категории субъектов персональных данных эта категория субъектов персональных данных не представлена, что является нарушением ч.3 ст.22 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных». На сайте оператора www.virmedtula.ru размещена информация о медицинских работниках (Фотография, Ф.И.О., Должность), что подтверждено актом изготовления скриншотов от 16.03.2017 г. Однако данная информация не отражена в уведомлении в разделе место нахождения баз данных, содержащих персональные данные граждан Российской Федерации, что является нарушением ч.3 ст.22 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных». В анкете кандидата для соискателя: - в форме анкеты предусмотрено поле сведения о близких родственников, в котором указывается: ФИО, год рождения, Степень родства, место учебы, работы, для обработки такого объема информации о родственниках работников необходимо иметь согласие на обработку; - форма анкеты не содержит сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъектов персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных. В договоре на оказание платных медицинских услуг (№<…>) было выявлено наличие формы согласия на обработку персональных данных, в которой указано, что срок обработки персональных данных, полученных в рамках этого договора - бессрочный, что является нарушением ч.4 ст.9 Федерального Закона «О персональных данных» от 27.07.2006 г. №152-ФЗ. В договоре на оказание платных медицинских услуг в форме согласия на обработку персональных данных в категориях персональных данных, обрабатываемых Одера гора, указан полис Обязательного Медицинского Страхования, однако в соответствии с информацией, размещенной на официальном интернет портале Фонда Обязательного Медицинского Страхования Тульской области ООО «Поликлиника Вирмед» не является участников программы обязательного медицинского страхования, данная информация свидетельствует о нарушении ч.5 ст.5 Федерального закона «О персональных данных» от 27.07.2006 г. №152-ФЗ, однако в ходе проверки не была выявлена обработка такой категории персональных данных. Вышеуказанные выявленные нарушения свидетельствуют о наличии в действиях юридического лица ООО «Поликлиника Вирмед» административного правонарушения, ответственность за которое предусмотрена ст.13.11 КоАП РФ. При назначении наказания просил учесть, что юридическое лицо ООО «Поликлиника Вирмед» впервые привлекается к административной ответственности, вину в совершенном административном правонарушении признало, в содеянном раскаялось, в связи с чем просил юридическому лицу ООО «Поликлиника Вирмед» назначить минимальное наказание, предусмотренное санкцией статьи.
Исследовав письменные материалы дела об административном правонарушении, мировой судья приходит к выводу о том, что вина юридического лица ООО «Поликлиника Вирмед» в совершении административного правонарушения, предусмотренного ст.13.11 КоАП РФ, доказана и подтверждается собранными и исследованными в судебном заседании письменными доказательствами:
- постановлением о возбуждении производства об административном правонарушении от 26.05.2017 года с отражением даты, времени и места совершения административного правонарушения;
- письменными объяснениями С. от 26.05.2017 года;
- копией письма в адрес Прокурора Тульской области из Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Тульской области о возбуждении дела об административном правонарушении от 29.03.2017 года №<…>;
- копией акта проверки ООО «Поликлиника Вирмед» <…> от 29.03.2017 г.;
- копией предписания об устранении выявленного нарушения от 29.03.2017 г. №<…>;
- копией акта приема-передачи (представления) документов от 01.03.2017 г.;
- справкой о результатах плановой выездной проверки Общества с ограниченной ответственностью «Поликлиника Вирмед» за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных;
- копией Договора на оказание платных медицинских услуг №<…> от 12.12.2016 г.;
- копией приказа №<…> от 03.04.2017 г. «Об утверждении формы анкеты для соискателя на вакантную должность»;
- копией Анкеты для соискателя на вакантную должность;
- копией приказа №<…> от 03.04.2017 г. «Об утверждении формы договора на оказание платных медицинских услуг»;
- копией Договора на оказание платных медицинских услуг №<…> от 23.05.2017 г.;
- копией выписки из Единого государственного реестра юридических лиц по состоянию на 01.06.2017 г.
Мировой судья признает допустимыми и достоверными доказательствами вины юридического лица ООО «Поликлиника Вирмед» вышеперечисленные письменные доказательства по делу.
Постановление о возбуждении производства об административном правонарушении от 26.05.2015 года составлено должностным лицом, уполномоченным в соответствии с ч.1 ст.28.3 КоАП РФ на его составление. Форма и содержание постановления соответствуют требованиям ст.28.2 КоАП Российской Федерации.
В соответствии со ст.2 Федерального закона от 27.07.2006 года №152-ФЗ «О персональных данных» целью данного Закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
В соответствии с п.2 ст.3 Федерального закона от 27.07.2006 года №152-ФЗ «О персональных данных» оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
На основании ч.5 ст.5 Федерального закона содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
В соответствии с п.1 ч. ст.6 Федерального закона обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
В силу ч.3 ст.6 данного Федерального закона Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта. Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.
Согласно ст.7 Федерального закона операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
На основании ч.4 ст.9 данного Федерального закона в случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности: - фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе; - фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных); - наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных; -цель обработки персональных данных; - перечень персональных данных, на обработку которых дается согласие субъекта персональных данных; - наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу; - перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных; - срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом; - подпись субъекта персональных данных.
В силу ст.13.11 КоАП РФ нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) - влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.
Всесторонне, полно, объективно исследовав все обстоятельства дела, оценив собранные по делу доказательства в их совокупности, с точки зрения их относимости, допустимости, достоверности, мировой судья считает доказанной вину юридического ООО «Поликлиника Вирмед» в совершении административного правонарушения и квалифицирует его действия по ст.13.11 КоАП РФ, как нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).
Обстоятельствами, в силу ст.4.2 КоАП РФ смягчающими административную ответственность юридического лица ОО «Поликлиника Вирмед», мировой судья признает впервые привлечение к административной ответственности, признание вины, раскаяние в содеянном. В соответствии со ст.4.3 КоАП РФ обстоятельств, отягчающих административную ответственность юридического лица ООО «Поликлиника Вирмед», мировой судья по делу не усматривает.
При определении юридическому лицу ООО «Поликлиника Вирмед» меры наказания мировой судья в силу ч.ч.1, 3 ст.4.1 КоАП РФ учитывает характер совершенного им административного правонарушения, имущественное и финансовое положение юридического лица, обстоятельства, смягчающие административную ответственность, отсутствие обстоятельств, отягчающих административную ответственность юридического лица, конкретные обстоятельства дела и приходит к выводу о возможности назначения юридическому лицу ООО «Поликлиника Вирмед» административного наказания в виде административного штрафа, размер которого определяет в минимальном размере, предусмотренном санкцией статьи.
На основании изложенного и руководствуясь ст.ст.13.11; 29.9- 29.10 КоАП РФ, мировой судья,
постановил:
признать виновным юридическое лицо Общество с ограниченной ответственностью «Поликлиника Вирмед» в совершении административного правонарушения, предусмотренного ст.13.11 КоАП РФ, и назначить ему наказание в виде административного штрафа в размере 5 000 (пять тысяч) рублей, сумму штрафа перечислить по следующим реквизитам:
Наименование: УФК по Тульской области (Прокуратура Тульской области);
Расчетный счет: 40101810700000010107;
ИНН: 7107030843;
КПП: 710701001;
Банк получателя: отделение Тула г.Тула;
Лицевой счет: 04661338760;
БИК 047003001;
КБК: 41511690010016000140 - административный штраф;
ОКТМО: 70701000;
Статус (08).
Разъяснить юридическому лицу Обществу с ограниченной ответственностью «Поликлиника Вирмед», что в соответствии со ст.32.2 КоАП РФ: административный штраф должен быть уплачен лицом, привлеченным к административной ответственности, не позднее шестидесяти дней со дня вступления постановления о наложении административного штрафа в законную силу либо со дня истечения срока отсрочки или срока рассрочки, предусмотренных статьей 31.5 настоящего Кодекса (ч.1). Сумма административного штрафа вносится или перечисляется лицом, привлеченным к административной ответственности, в кредитную организацию, в том числе с привлечением банковского платежного агента или банковского платежного субагента, осуществляющих деятельность в соответствии с Федеральным законом «О национальной платежной системе», организацию федеральной почтовой связи либо платежному агенту, осуществляющему деятельность в соответствии с Федеральным законом от 3 июня 2009 года №103-ФЗ «О деятельности по приему платежей физических лиц, осуществляемой платежными агентами».
При отсутствии документа, свидетельствующего об уплате административного штрафа, и информации об уплате административного штрафа в Государственной информационной системе о государственных и муниципальных платежах, по истечении срока, указанного в части 1 настоящей статьи, судья, орган, должностное лицо, вынесшие постановление, направляют в течение десяти суток постановление о наложении административного штрафа с отметкой о его неуплате судебному приставу-исполнителю для исполнения в порядке, предусмотренном федеральным законодательством. Кроме того, должностное лицо федерального органа исполнительной власти, структурного подразделения или территориального органа, иного государственного органа, рассмотревших дело об административном правонарушении, либо уполномоченное лицо коллегиального органа, рассмотревшего дело об административном правонарушении, составляет протокол об административном правонарушении, предусмотренном частью 1 статьи 20.25 настоящего Кодекса, в отношении лица, не уплатившего административный штраф. Протокол об административном правонарушении, предусмотренном частью 1 статьи 20.25 настоящего Кодекса, в отношении лица, не уплатившего административный штраф по делу об административном правонарушении, рассмотренному судьей, составляет судебный пристав-исполнитель.
Постановление может быть обжаловано в апелляционном порядке в Привокзальный районный суд города Тулы путем подачи мировому судье апелляционной жалобы в течение 10 суток с момента получения копии постановления.
Мировой судья (подпись) Рублевская Т.А.
http://mirsud.tularegion.ru/officework/dectextsas/?id=1370543
Обязанность оператора
категорий:
Хранение персональных данных (личных дел безработных граждан, карточек учета)
В деятельности ИП выявлены нарушения при обработке персональных данных
Нарушения в деятельности медицинской организации
В ТСЖ не выполняются требования законодательства о персональных данных
При сборе персональных данных на сайте не размещена политика
Нарушение порядка обработки персональных данных субъектов без использования средств автоматизации
Отсутствие политики, не подано уведомление в реестр операторов
Невыполнение требований Роскомнадзора по устранению нарушений законодательства
Непринятие оператором мер, предусмотренных законодательством