Дело № 5.2-315/17
П О С Т А Н О В Л Е Н И Е
13 июля 2017 года г. <АДРЕС>
Мировой судья судебного участка № 2 Кировского судебного района г. Ярославля Шустрова О.В., рассмотрев административное дело в отношении
˂Наименование учреждения˃ «<ОБЕЗЛИЧЕНО>», ИНН <НОМЕР>, дата регистрации: <ДАТА2>, юрид. адрес: г<АДРЕС>, ранее к административной ответственности не привлекавшегося,
В совершении административного правонарушения, предусмотренного ст. 13.11 КоАП РФ,
У С Т А Н О В И Л :
По результатам проверки соблюдения требований законодательства о защите персональных данных в отношении ˂Наименование учреждения˃ «<ОБЕЗЛИЧЕНО>» Прокуратурой <АДРЕС> района г. Ярославля <ДАТА3> было вынесено постановление по делу об административном правонарушении, предусмотренном ст. 13.11 КоАП РФ, по факту нарушения ˂Наименование учреждения˃ «<ОБЕЗЛИЧЕНО>» требований ФЗ № 152-ФЗ «О защите персональных данных».
В постановлении указано, что управлением Роскомнадзора по Ярославской области в период с <ДАТА4> по <ДАТА5> проведена плановая выездная проверка в отношении ˂Наименование учреждения˃ «<ОБЕЗЛИЧЕНО>».
Из Акта Управления Роскомнадзора по Ярославской области № А-76/6/66-нд/113 от 26.05.2017 года следует, что при проведении проверки соблюдения ˂Наименование учреждения˃ «<ОБЕЗЛИЧЕНО>» обязательных требований в области обработки персональных данных были выявлены нарушения требований Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" (далее - Федеральный закон 152-ФЗ).
В ходе проверки Управлением Роскомнадзора по Ярославской области выявлено, что ˂Наименование учреждения˃ «<ОБЕЗЛИЧЕНО>» осуществляет обработку персональных данных лиц, с которым не находится в каких-либо правовых отношениях, обработка персональных данных осуществляется в программе ИСПДн «СБиС 2.4.445».
При исследовании ИСПДн «СБиС 2.4.445» обнаружен факт обработки персональных данных <ФИО1>, не являющейся работником ˂Наименование учреждения˃ «<ОБЕЗЛИЧЕНО>».
˂Наименование учреждения˃ «<ОБЕЗЛИЧЕНО>» обрабатывает следующие категории персональных данных ˂ФИО˃: фамилия, имя, отчество, возраст, дата рождения, пол, адрес (по регистрации), паспортные данные, табельный номер, дата принятия на работу, дата увольнения.
Из объяснений директора ˂Наименование учреждения˃ «<ОБЕЗЛИЧЕНО>», полученных прокуратурой 13.06.2017 г., следует что по состоянию на 13.06.2017 г. данные нарушения не устранены, так как не представляется возможным технически удалить персональные данные ˂ФИО˃ из бухгалтерской программы ИСПДн «СБиС 2.4.445». Согласия ˂ФИО˃ на обработку и хранение ее персональных данных в ˂Наименование учреждения˃ «<ОБЕЗЛИЧЕНО>» не имеется.
В суде представитель Прокуратуры Кировского района ˂ФИО˃ доводы, изложенные в Постановлении, поддержала в полном объеме. Вопрос о виде и размере наказания оставила на усмотрение суда.
˂Наименование учреждения˃ «<ОБЕЗЛИЧЕНО>» своего представителя в суд не направило, о месте и времени рассмотрения дела уведомлено.
Выслушав объяснения участников процесса, исследовав материалы дела, суд приходит к следующему выводу.
Статья 13.11 КоАП РФ предусматривает наступление административной ответственности за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).
Согласно п. 1 ст. 3 Федерального Закона 152-ФЗ персональные данные - это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
В силу п. 3 ст. 3 Федерального закона 152-ФЗ обработка персональных данных - это любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
В соответствии с пп. 1 п. 1 ст. 6 Федерального закона 152-ФЗ обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается с согласия субъекта персональных данных на обработку его персональных данных.
В судебном заседании установлено, что ˂Наименование учреждения˃ «<ОБЕЗЛИЧЕНО>» с <ДАТА9> по <ДАТА10> ненадлежащим образом выполняет предусмотренную законом обязанность по обработке персональных данных ˂ФИО˃
Согласно п. 1 ст. 24 Федерального закона 152-ФЗ лица, виновные в нарушении требований настоящего Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность.
Согласно пп. 6 п. 1 ст. 18.1 Федерального закона 152-ФЗ оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам могут, в частности, относится ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
В соответствии с п. 2 ст. 3 Федерального закона 152-ФЗ оператором является, в том числе, юридическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Согласно п. 1 ст. 3 Федерального закона 152-ФЗ персональные данные - это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Судом установлено, что ˂Наименование учреждения˃ «<ОБЕЗЛИЧЕНО>», являясь оператором, не представило доказательств ознакомления работников с положениями Российской Федерации о персональных данных.
Из объяснений директора ˂Наименование учреждения˃ «<ОБЕЗЛИЧЕНО>», имеющихся в материалах дела, следует, что при приеме на работу лиц, в должностные обязанности которых входит непосредственное осуществление обработки персональных данных, ознакомление с положениями законодательства не осуществляется.
Таким образом, в действиях юридического лица ˂Наименование учреждения˃ «<ОБЕЗЛИЧЕНО>» усматриваются признаки административного правонарушения, ответственность за которое предусмотрена ст. 13.11 КоАП РФ по признакам: «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)».
Вина ˂Наименование учреждения˃ «<ОБЕЗЛИЧЕНО>» подтверждается постановлением по делу об административном правонарушении, выпиской из ЕГРЮЛ, положением об обработке персональных данных, актом проверки от <ДАТА11>, приказом о приеме на работу, приказом о проведении проверки, скрин-шотами, иными материалами дела.
При назначении наказания суд учитывает характер, обстоятельства совершенного правонарушения, степень вины, данные о правонарушителе,
Руководствуясь ст.ст.13.11,29.9 КоАП РФ, мировой судья
П О С Т А Н О В И Л :
Признать ˂Наименование учреждения˃ «<ОБЕЗЛИЧЕНО>» виновным в совершении административного правонарушения, предусмотренного ст. 13.11 КоАП РФ и назначить наказание в виде предупреждения.
Постановление может быть обжаловано в Кировский районный суд г. Ярославля через судебный участок №2 Кировского района г. Ярославля в десятидневный срок с момента получения через мирового судью.
Мировой судья О.В. Шустрова
Источник: http://2kir.jrs.msudrf.ru/modules.php?name=sud_delo&op=sd&number=2064737&delo_id=1500001
Согласие
Обязанность оператора
категорий:
Невыполнение Оператором требования Роскомнадзора об удалении персональных данных субъекта
Направление платежных квитанций в незапечатанном виде
Неуведомление Управления Роскомнадзора об изменении лица, ответственного за обработку персональных
Форма согласия, размещение приказа о зачислении на стенде
Обработка персональных данных без согласия законных представителей обучающихся и работников
Публикация информации, содержащей персональные данные в мессенджере
Обработка отпечатков пальцев рук работников
Не назначено лицо, ответственное за организацию обработки персональных данных
Предоставление доступа к специальной категории персональных данных пациентов
Обработка персональных данных работников в объеме, превышающем допустимый