Дело 5-888/18
ПОСТАНОВЛЕНИЕ
по делу об административном правонарушении
г. Москва 31 июля 2018 года
Резолютивная часть постановления объявлена 30 июля 2018 года.
Постановление в полном объеме изготовлено 31 июля 2018 года.
Мировой судья судебного участка № 312 Останкинского района г. Москвы Дзержинская Виктория Николаевна, рассмотрев материалы дела об административном правонарушении, предусмотренном ч. 2 ст. 13.11 Кодекса Российской Федерации об административных правонарушениях (далее - КРФоАП), в отношении
˂Наименование учреждения˃ (далее – ˂Наименование учреждения˃), сведений о привлечении к административной ответственности за совершение однородных правонарушений в материалах дела не имеется,
УСТАНОВИЛ:
˂Наименование учреждения˃ в 12 час. 00 мин. 26.06.2018 г. по адресу: XX (Филиал ˂Наименование учреждения˃) совершило обработку персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных.
Правонарушение совершено при следующих обстоятельствах.
Останкинской межрайонной прокуратурой г. Москвы, в период с 18.06.2018 по 02.07.2018, проведена проверка соблюдения филиалом, расположенным по адресу: XX законодательства о персональных данных.
В ходе проверки установлено, что согласно указанному положению о филиале Диспансером осуществляется первичная специализированная медико-санитарная помощь по основному профилю психиатрия, а также и профилактике, диагностике, лечению, медицинской реабилитации и диспансерному наблюдению лиц, страдающих психическими расстройствами.
При постановке на учет или первичном обращении сотрудниками Диспансера на каждого пациента, в том числе несовершеннолетнего, заводится медицинская карта в соответствии с Инструкцией по заполнению учетной формы № 025/у-04 «Медицинская карта амбулаторного больного», утвержденной Приказом Министерства здравоохранения и социального развития РФ от 22.11.2004 № 255, содержащая персональные данные подучетных лиц: ФИО, дата рождения, пол, домашний адрес, номер телефона, место работы (учебы - для несовершеннолетних), группа крови и инвалидность, наличие льгот, полис ОМС, СНИЛС, диагноз, паспорт серия, номер) и другие.
При изучении медицинских карт установлено, что сотрудниками филиала в нарушение требований п. 1 ч. 1 ст. 6, ч. 1 ст. 9 Закона 152-ФЗ, не во всех случаях берется письменное согласие пациентов, в том числе несовершеннолетних лиц и их родителей (законных представителей, на обработку персональных данных)
Указанное согласие отсутствует в медицинских картах несовершеннолетних К., Ш., К., Ф., Д.
При этом все вышеуказанные сведения о лицах, получающих медицинскую помощь, заносятся в единую электронную базу «Медкарта». В последующем амбулаторные карты формируются в печатном виде, при повторном обращении несовершеннолетних или проведении плановых осмотров персональные данные уточнятся, изменяются. Также указанные сведения заносятся в электронный регистр в системе ЕМИАС и иные электронные базы, содержащие персональные данные в филиалах и Учреждении. Согласно приказу от 02.03.2018 № 118 ответственным за осуществление ввода данных в электронные ресурсы сервиса ЕМИАС, иные электронные базы в диспансере назначена заведующая по хозяйственной части Б.
Изложенное свидетельствует, что обработка персональных данных осуществляется без письменного согласия субъекта персональных данных.
Кроме того, согласно сведениям официального Интернет-сайта Роскомнадзора Больница приказом от 16.06.2011 № 474 включена в реестр операторов обработки персональных данных.
Защитник представитель ˂Наименование учреждения˃ П. в судебное заседание явился, вину Учреждения в совершении правонарушения, предусмотренного ч. 2 ст. 13.11 КРФоАП, признал, представил письменные пояснения, указал, что администрацией учреждения на основании постановления о возбуждении дела об административном правонарушении от 02.07.2018 г. были приняты меры к недопущению указанных в постановлении нарушений, виновные должностные лица были привлечены к ответственности. Просил назначить минимальное наказание, предусмотренное санкций ч. 2 ст. 13.11 КРФоАП.
Защитники ˂Наименование учреждения˃» Б., Н. в судебное заседание явились, поддержали вышеизложенные пояснения.
Помощник Останкинского межрайонного прокурора г. Москвы А. в судебном заседании поддержал постановление о возбуждении дела об административном правонарушении по основаниям, изложенным в постановлении, просил признать ˂Наименование учреждения˃ виновным в совершении административного правонарушения, предусмотренного ч. 2 ст. 13.11 КРФоАП и назначить наказание в пределах санкции названной статьи.
Суд, выслушав защитников, помощника прокурора, исследовав материалы дела, находит, что в факт совершения правонарушения, нашел свое подтверждение в судебном заседании по следующим основаниям.
В соответствии с п. 2.4 Положения о филиале ˂Наименование учреждения˃, утвержденного приказом от 18.10.2017 по 20.12.2007 № 564, ˂Наименование учреждения˃ является филиалом больницы, расположенной по адресу: XX на основании Устава, утвержденного приказом Департамента здравоохранения города Москвы от 16.08.2017 № 579.
Согласно ч. 1 ст. 1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Закон № 152-ФЗ), настоящим законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее - государственные органы), органами местного самоуправления, иными муниципальными органами (далее - муниципальные органы), юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.
Согласно ч. 3 ст. 3 Закона № 152-ФЗ под обработкой персональных данных подразумевается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
В силу п. 2 ст. 3 Закона № 152-ФЗ оператором является государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Руководствуясь п. 1 ч. 1 ст. 6 Закона № 152-ФЗ обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом, и допускается в случае, если обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку персональных данных.
На основании ч. 1 ст. 9 Закона № 152-ФЗ субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе.
Вина ˂Наименование учреждения˃ в совершении административного правонарушения помимо его собственного признания подтверждается следующими исследованными в судебном заседании доказательствами:
- решением о проведении проверки от 15.06.2018 г. № 370 (л.д. 1);
- Уставом ˂Наименование учреждения˃ (л.д. 15-21),
- Положением о филиале ˂Наименование учреждения˃ (л.д. 28-33);
- лицензия № ЛО-77-01-015813 от 26.03.2018 г. на осуществление медицинской деятельности (л.д. 34-37);
- приказ «О введении электронных регистров в системе ЕМИАС и иных электронных баз, содержащих персональные данные, в филиалах ˂Наименование учреждения˃ от 18.10.2017 г. № 5640ОД (л.д. 76-78);
- копия медицинской карты К. (л.д. 82-89);
- копия медицинской карты Д. (л.д. 90-98);
- копия медицинской карты Ф. (л.д. 99-127);
- копия медицинской карты К. (л.д. 128-177);
- копия медицинской карты Ш. (л.д. 178-194);
- объяснениями Н. от 02.07.2018 г. (л.д. 195-196);
- актом проверки исполнения законодательства об охране жизни и здоровья несовершеннолетних филиалом ˂Наименование учреждения˃ от 02.07.2018 г., из которого усматривается, что обработка персональных данных осуществляется без письменного согласия субъекта персональных даных (л.д. 197-198);
- скриншотом с сайта Роскомнадзора (л.д. 199-200).
При рассмотрении дела были также исследованы сведения из Единого государственного реестра юридических лиц (л.д. 38-73), свидетельство о постановке на учет в налоговом органе юридического лица серии 77 № ˂Номер˃ (л.д. 74), свидетельство о постановке на учет российской организации в налоговом органе по месту ее нахождения серии 77 № ˂Номер˃ (л.д. 75),
Объектом правонарушения являются общественные отношения, складывающиеся в области защиты информации.
Предметом правонарушения является порядок сбора, хранения, использования или распространения информации о гражданах (персональных данных). Данный порядок определяет Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных», устанавливая принципы и условия обработки персональных данных, обеспечивающие в том числе порядок реализации права субъекта данных на согласие; порядок осуществления иных прав субъекта персональных данных, включая право на доступ субъекта к своим персональным данным; права субъекта данных при обработке его персональных данных; право на обжалование действий или бездействия оператора; обязанности оператора по обработке персональных данных.
Объективная сторона правонарушений состоит в нарушении норм федерального законодательства, регулирующих вопросы сбора и обработки работы с информацией о гражданах (персональными данными).
Таким образом, мировой судья, исследовав все обстоятельства дела в их совокупности и оценив собранные доказательства, приходит к выводу, что ˂Наименование учреждения˃ совершило обработку персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, и признает его виновным в совершении правонарушения, предусмотренного ч. 2 ст. 13.11 КРФоАП.
При назначении наказания мировой судья учитывает характер совершенного правонарушения, конкретные обстоятельства дела, данные о личности правонарушителя, в связи с чем считает возможным назначить минимальное наказание, предусмотренное санкцией ч. 2 ст. 13.11 КРФоАП.
На основании изложенного и руководствуясь ст. ст. 29.9-29.11 КРФоАП,
ПОСТАНОВИЛ:
˂Наименование учреждения˃ признать виновным в совершении административного правонарушения, предусмотренного ч. 2 ст. 13.11 Кодекса Российской Федерации об административных правонарушениях, на основании которой назначить ему наказание в виде административного штрафа в размере 15000 (пятнадцать тысяч) рублей.
Сумму административного штрафа надлежит внести или перечислить по следующим реквизитам:
Получатель платежа: УФК по г. Москве (Прокуратура города Москвы, л/с 04731443380),
ИНН: 7705019420,
КПП: 770501001,
ОКТМО: 45381000,
Банк получателя – Главное управление Банка России по Центральному федеральному округу г. Москвы (ГУ Банка России по ЦФО),
БИК банка получателя: 044525000,
Номер счета получателя: 40101810045250010041.
Согласно ч. 1 ст. 32.2 КРФоАП административный штраф должен быть уплачен лицом, привлеченным к административной ответственности, не позднее шестидесяти дней со дня вступления постановления о наложении административного штрафа в законную силу, за исключением случая, предусмотренного частью 1.1 настоящей статьи, либо со дня истечения срока отсрочки или срока рассрочки, предусмотренных статьей 31.5 настоящего Кодекса.
В подтверждение оплаты административного штрафа квитанция (копия) должна быть представлена в судебный участок до истечения указанного срока.
В соответствии со ст. 20.25 КРФоАП, неуплата административного штрафа в указанный срок влечет наложение административного штрафа в двукратном размере суммы неуплаченного административного штрафа, но не менее одной тысячи рублей либо административный арест на срок до пятнадцати суток либо обязательные работы на срок до пятидесяти часов.
Постановление может быть обжаловано в Останкинский районный суд г. Москвы через мирового судью судебного участка № 312 Останкинского района г. Москвы в течение 10 суток со дня вручения или получения копии постановления.
Мировой судья В.Н.Дзержинская |
Источник: http://mos-sud.ru/services/servicetext/servicetextas/?id=12048289&year=2018
Часть 2 статьи 13.11 Кодекса РФ об АП
категорий:
Отсутствие согласия на обработку персональных данных пациентов
Размещение на сайте органа МСУ информации, содержащей персональные данные работников
Хранение документов, содержащих персональные данные субъектов без их письменного согласия
Обнаружение в ходе мониторинга средств массовой информации на Интернет-ресурсе наличия базы данных
Утечка данных пациентов лаборатории
Размещение на сайте персональных данных должника
Наличия базы данных в сети, содержащей персональные данные пользователей и клиентов Интернет-ресурса
Предоставление неправомерного доступа к информационным системам персональных данных
Неуведомление Роскомнадзора об обработке персональных данных
Обработка персональных данных, указанных в договоре, без согласия
Отсутствие согласия пациента на обработку персональных данных