Судебная практика

ПОСТАНОВЛЕНИЕ

25 апреля 2017                                                                город Калуга

Мировой судья судебного участка № 50 Калужского судебного района Калужской области Буковский Р.Г.,  рассмотрев дело об административном правонарушении по ст. 13.11 Кодекса РФ об административных правонарушениях в отношении ООО «Наименование», расположенного по адресу<АДРЕС>, ИНН <НОМЕР>, ОГРН <НОМЕР>, дата регистрации <ДАТА2>,

УСТАНОВИЛ:

23.03.2017 года при проведении прокуратурой г. Калуги проверки было установленочто ООО «Наименование», расположенное по адресу<АДРЕС>, осуществляя деятельность, в том числе по оказанию курьерских услуг, не соблюдает требования Федерального закона от 27.07.2006 года № 152-ФЗ «О персональных данных», а именно: ООО «Наименование» не представило в уполномоченный орган уведомление о намерении осуществлять обработку персональных данных, не представлены документы, определяющие политику в отношении обработки персональных данных, не обеспечен неограниченный доступ к указанным документам, не представлено подтверждение осуществления внутреннего контроля соответствия обработки персональных данных требованиям к их защите; не представлены документы, подтверждающие ознакомление сотрудников, осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных; не предоставлены документы, подтверждающие назначение оператором лица, ответственного за организацию обработки персональных данных, отсутствуют сведения, подтверждающие факт информирования сотрудников об обработке ими персональных данных, обработка которых осуществляется без средств автоматизации, отсутствуют локальные акты оператора, определяющие перечень лиц, осуществляющих обработку либо имеющих к ним доступ, не утвержден перечень мер, направленных на соблюдение условий, обеспечивающих сохранность всех персональных данных и исключающих несанкционированный к ним доступ, не определен перечень лиц, ответственных за реализацию указанных мер, то есть ООО «Наименование» совершило административное правонарушение, предусмотренное статьи 13.11 Кодекса Российской Федерации об административных правонарушениях (в ред. Федерального закона  от 22.06.2007 N 116-ФЗ).

   Представитель прокуратуры г. Калуги - ФИО.1 в суде постановление о возбуждении дела об административном правонарушении  поддержал и просил привлечь ООО «Наименование» к административной ответственности за совершение административного правонарушения, предусмотренного ст. 13.11 КоАП РФ.

Законный представитель ООО «Наименование»  ФИО.2 в суде вину Общества в совершении административного правонарушения, предусмотренного ст. 13.11 КоАП РФ признал, указав, что выявленные нарушения закона устранены на момент рассмотрения дела в суде.   

Изучив материалы дела, выслушав явившихся лиц, нахожу событие административного правонарушения, предусмотренного ст. 13.11 КоАП РФ и вину ООО «Наименование» в его совершении установленными. Административная ответственность по ст.13.11 КоАП РФ предусмотрена за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). В соответствии со ст. 3 ФЗ «О персональных данных» от 27.07.2006 года № 152-ФЗ персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных). В силу статьи 6 комментируемого закона обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается с согласия субъекта персональных данных на обработку его персональных данных. Согласно статье 22 ФЗ «О персональных данных» оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных. На основании статьи 19 № 152-ФЗ «О персональных данных» оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. Обеспечение безопасности персональных данных достигается, в частности: определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных; применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных; применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации; оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных; учетом машинных носителей персональных данных; обнаружением фактов несанкционированного доступа к персональным данным и принятием мер; восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных; контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

В соответствии с ч. 1 ст. 18.1 ФЗ «О персональных данных» от 27.07.2006 года обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам могут, в частности, относиться: назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных; издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений; применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона; осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора; оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом; ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников. Согласно ч. 2 ст. 18.1 ФЗ «О персональных данных» оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети. В силу ч. 3 и 4 ст. 18.1 комментируемого Закона правительство Российской Федерации устанавливает перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами. Оператор обязан представить документы и локальные акты, указанные в части 1 настоящей статьи, и (или) иным образом подтвердить принятие мер, указанных в части 1 настоящей статьи, по запросу уполномоченного органа по защите прав субъектов персональных данных. В соответствии с п.п. 1 ч. 4 ст. 22.1 комментируемого Закона лицо, ответственное за организацию обработки персональных данных, в частности, обязано осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных. Согласно п. 6 Постановления Правительства РФ от 15.09.2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии). В силу п. 13 и п. 15 комментируемого Постановления Правительства РФ от 15.09.2008 года № 687 обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором

Вина ООО «Наименование» подтверждается достаточной совокупностью доказательств по делу: - постановлением о возбуждении дела об административном правонарушении от 05.04.2017 года, согласно которому 23.03.2017 года при проведении Прокуратурой города Калуги проверки было установлено, что ООО «Наименование», расположенное по адресу<АДРЕС>, осуществляя деятельность, в том числе по оказанию курьерских услуг, не соблюдает требования Федерального закона от 27.07.2006 года № 152-ФЗ «О персональных данных», а именно: ООО «Наименование» представило в уполномоченный орган уведомление о намерении осуществлять обработку персональных данных, не представлены документы, определяющие политику в отношении обработки персональных данных, не обеспечен неограниченный доступ к указанным документам, не представлено подтверждение осуществления внутреннего контроля соответствия обработки персональных данных требованиям к их защите; не представлены документы, подтверждающие ознакомление сотрудников, осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных; не предоставлены документы, подтверждающие назначение оператором лица, ответственного за организацию обработки персональных данных, отсутствуют сведения, подтверждающие факт информирования сотрудников об обработке ими персональных данных, обработка которых осуществляется без средств автоматизации, отсутствуют локальные акты оператора, определяющие перечень лиц, осуществляющих обработку либо имеющих к ним доступ, не утвержден перечень мер, направленных на соблюдение условий, обеспечивающих сохранность всех персональных данных и исключающих несанкционированный к ним доступ, не определен перечень лиц, ответственных за реализацию указанных мер, с письменными объясняли ФИО2 о признании наличия выявленных недостатков;

-  заключением о результатах проведения совместного мероприятия представителя <ОБЕЗЛИЧЕНО>, <ОБЕЗЛИЧЕНО> и <ОБЕЗЛИЧЕНО> от 23.03.2017 года, в соответствии с которым ООО «Наименование», расположенное по адресу<АДРЕС>, осуществляя деятельность, в том числе по оказанию курьерских услуг, не соблюдает требования Федерального закона от 27.07.2006 года № 152-ФЗ «О персональных данных», а именно: ООО «Наименование» представило в уполномоченный орган уведомление о намерении осуществлять обработку персональных данных, не представлены документы, определяющие политику в отношении обработки персональных данных, не обеспечен неограниченный доступ к указанным документам, не представлено подтверждение осуществления внутреннего контроля соответствия обработки персональных данных требованиям к их защите; не представлены документы, подтверждающие ознакомление сотрудников, осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных; не предоставлены документы, подтверждающие назначение оператором лица, ответственного за организацию обработки персональных данных, отсутствуют сведения, подтверждающие факт информирования сотрудников об обработке ими персональных данных, обработка которых осуществляется без средств автоматизации, отсутствуют локальные акты оператора, определяющие перечень лиц, осуществляющих обработку либо имеющих к ним доступ, не утвержден перечень мер, направленных на соблюдение условий, обеспечивающих сохранность всех персональных данных и исключающих несанкционированный к ним доступ, не определен перечень лиц, ответственных за реализацию указанных мер;

-заключением от 23.03.2017 года, согласно которому ООО «Наименование» осуществляет обработку персональных данных субъектов персональных данных методом смешанной (автоматизированной и неавтматизированной) обработки с целью предоставления курьерских услуг, не представило в уполномоченный орган уведомление о намерении осуществлять обработку персональных данных, не определены угрозы безопасности персональных данных при их обработке в информационных системах организации, не определен уровень защищенности персональных данных, не установлены правила доступа к персональным данным, не реализованы меры по обеспечению безопасности персональных данных;

-приказом <НОМЕР> от <ДАТА2>, согласно которым генеральным директором ООО «Наименование» является фио.2;

уставом ООО «Наименование», согласно которому основным видом деятельности ООО «Наименование» является, в том числе и оказание курьерских услуг. Исследованные судом доказательства вины МУП «Наименование» допустимы, достаточны, соответствуют требованиям ст.26.2 КоАП РФ, согласуются между собой, взаимно дополняя друг друга, в связи с чем, оснований сомневаться в фактических данных, содержащихся в них, у суда нет. Нарушений закона при составлении протокола об административном правонарушении, а равно производстве по делу, влекущих признание за собой недопустимыми исследованных судом доказательств, а также прекращение производства по делу, не имеется.

Приводимые ссылки фио2 по существу сводящие к устранению выявленных 23.03.2017 года нарушений законодательства об обработке персональных данных на 25.04.2017 года, основанием для прекращения производства по делу не является.

При назначении наказания мировой судья учитывает характер и обстоятельства совершения административного правонарушения.

Обстоятельств, смягчающих и отягчающих административную ответственность, у ООО «Наименование», по делу нет. 

Руководствуясь ст.ст. 29.7, 29.9, 29.10 и 29.11 Кодекса РФ об административных правонарушениях, мировой судья

ПОСТАНОВИЛ:

Признать ООО «Наименование» виновным в совершении административного правонарушения, предусмотренного ст. 13.11 Кодекса РФ об административных правонарушениях (в ред. Федерального закона  от 22.06.2007 N 116-ФЗ), и подвергнуть административному наказанию в виде административного штрафа в размере 5000 (пять тысяч) рублей.

Получатель: УФК по Калужской области (Прокуратура Калужской области)

ИНН:   4027020160 КПП: 402701001 Расчетный счет:  40101810500000010001 в ГРКЦ ГУ Банка России по Калужской области г. Калуга

БИК: 042908001

КБК: 41511690010016000140 ОКТМО 29701000 Постановление может быть обжаловано в Калужский районный суд Калужской области в течение 10 суток с момента вручения или получения копии мотивированного постановления через мирового судью судебного участка №50 Калужского судебного района Калужской области. 

Мировой судья  подпись- Мотивированное постановление составлено 28 апреля 2017 года<ДАТА>

Копия верна:

Мировой судья                                 Р.Г. Буковский

Источник:http://50.klg.msudrf.ru/modules.php?name=sud_delo&op=sd&number=6854532&case_number=6484620&delo_id=1500001

Информация по делу
Статьи
ст. 13.11 КоАП РФ
Суд
Судебный участок № 50 Калужского судебного района Калужской области
Судья
Буковский Р.Г.
Дата решения
2017-04-25
Категории
Принятие мер, предусмотренных законом
Обязанность оператора
Другие дела из подобных
категорий:

Нарушение порядка ведения личных дел муниципальных служащих

Политика отсутствует на сайте

Отсутствие локальных актов и ознакомления с ними работников

Непринятие мер по выполнению обязанностей, предусмотренных ФЗ "О персональных данных"

Нет политики на сайте и согласия

Обществом не проведено ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных

Запрашиваемые документы для проверки находятся в стадии разработки

В деятельности администрации выявлены нарушения

Невыполнение обязанностей, предусмотренных законом, непринятие локальных актов

Неправомерная обработка персональных данных собственников квартир при направлении квитанций

Невыполнение оператором обязанности по обеспечению неограниченного доступа к политике в отношении обработки персональных данных

Невыполнение обязанностей, предусмотренных законом

Отсутствие локального нормативного акта, определяющего порядок хранения и использования персональных данных работников, их передачи, с которым работники должны быть ознакомлены под роспись; не определены лица, имеющие право доступа к персональным данным

Не разработан и не принят локальный акт, устанавливающий порядок хранения и использования персональных данных работников организации

Карточки формы Т2 хранятся на стеллажах,отсутствует стойка, трудовые книжки работников, документы строгой отчетности хранятся в шкафу при отсутствии замка. Медицинские карточки лежат на столе лечащего врача; в личных карточках работников заполняется графа национальность