Дело № 5-22/2018

ПОСТАНОВЛЕНИЕ

по делу об административном правонарушении

г. Североуральск                                               17 января 2017 г.

Мировой судья судебного участка № 1 Североуральский судебного района Свердловской области (юридический адрес: 624480, Свердловская область, город Североуральск, улица Свердлова, дом 46) Башкова С.А., исполняя обязанности мирового судьи судебного участка № 2 Североуральский судебного района Свердловской области, рассмотрев дело об административном правонарушении, предусмотренном ч. 6 ст. 13.11 Кодекса Российской Федерации об административных правонарушениях,  в отношении 

˂Наименование учреждения˃, ИНН НОМЕР, ОГРН НОМЕР, юридический адрес: Свердловская обл., г. Североуральск, <АДРЕС>,

УСТАНОВИЛ:

Мировому судье поступило дело об административном правонарушении, предусмотренном ч. 6 ст. 13.11 Кодекса Российской Федерации об административных правонарушениях в отношении ˂Наименование учреждения˃ (далее ˂Наименование учреждения˃).

Постановление о возбуждении дела об административном правонарушении вынесено заместителем прокурора г. Североуральска о том, что при проверке информации СМИ под заголовком «<ОБЕЗЛИЧИНО>», размещенной 20.10.2017 на сайте газеты «<ОБЕЗЛИЧИНО>» (<АДРЕС>) Прокуратурой г. Североуральска проведена проверка деятельности ˂Наименование учреждения˃ по факту разглашения врачебной тайны и установлено, что 14.10.2017 корреспондентом газеты «<ОБЕЗЛИЧИНО>» <ФИО1> на полу помещения прачечной бывшего здания стационара ˂Наименование учреждения˃, расположенному по адресу: г. Североуральск, <АДРЕС>, обнаружены десятки читаемых медицинских документов (истории родов, диспансерные книжки 1989 года) пациентов <ОБЕЗЛИЧИНО> отделения ˂Наименование учреждения˃ (ранее ˂Наименование учреждения˃), в которых содержалась информация о ФИО, адресе, месте работы, диагнозе граждан и прочая информация <ОБЕЗЛИЧИНО>.

В постановлении о возбуждении дела об административном правонарушении представитель ˂Наименование учреждения˃ пояснений не представил.

В судебном заседании старший помощник прокурора г. Североуральска ˂ФИО˃ доводы постановления поддержала, просила привлечь ˂Наименование учреждения˃ к административной ответственности.

Защитник ˂Наименование учреждения˃ <ФИО2>, действующая на основании доверенности, указала, что данные архивные документы подлежали уничтожению в связи с окончанием их срока хранения, о чем составлен акт об уничтожении от <ДАТА4>, но фактически ответственными лицами уничтожены не были. В настоящее время нарушение устранено. Просила прекратить производство по делу в связи с истечением срока давности. 

Изучив материалы дела об административном правонарушении, мировой судья приходит к следующему:

Данное дело подсудно мировому судье,  обстоятельств, исключающих производство по делу нет, для рассмотрения по существу имеется достаточно материалов, постановление об административном правонарушении вынесено должностным лицом прокуратуры, осуществляющей надзор за исполнением законодательства, при  непосредственном обнаружении достаточных данных, указывающих на наличие события административного правонарушения.

Часть  6 ст. 13.11 Кодекса Российской Федерации об административных правонарушениях предусматривает ответственность за невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении данных, при отсутствии признаков уголовно наказуемого деяния.

Отношения, связанные с обработкой персональных данных, регулируются Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных).

Согласно статье 3 названного Федерального закона персональными данными признается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обработкой персональных данных является любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Как следует из выписки из ЕГРЮЛ (по состоянию на 16.01.2018) основной вид деятельности ˂Наименование учреждения˃ - 86.10 Деятельность больничных организаций.

Согласно части 1 статьи 13 Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении, составляют врачебную тайну. Не допускается разглашение сведений, составляющих врачебную тайну, в том числе после смерти человека, лицами, которым они стали известны при обучении, исполнении трудовых, должностных, служебных и иных обязанностей

В соответствии с частью 1 статьи 79 закона № 323-ФЗ медицинская организация обязана соблюдать врачебную тайну, в том числе конфиденциальность персональных данных, используемых в медицинских информационных системах. В силу части 4 статьи 92 Федерального закона от 21.11.2011 № 323-ФЗ сведения о лицах, которые участвуют в оказании медицинских услуг, и о лицах, которым оказываются медицинские услуги, относятся к информации ограниченного доступа и подлежат защите в соответствии с законодательством Российской Федерации. При этом медицинские организации, медицинские работники и фармацевтические работники несут ответственность в соответствии с законодательством Российской Федерации за нарушение прав в сфере охраны здоровья, причинение вреда жизни и (или) здоровью при оказании гражданам медицинской помощи.

Согласно   подп. 4 п. 1 ст. 79 Федерального закона от 21.11.2011 № 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации" медицинская организация обязана соблюдать врачебную тайну, в том числе конфиденциальность персональных данных, используемых в медицинских информационных системах.

 Таким образом, правоотношения в указанной сфере урегулированы также Законом о персональных данных.

˂Наименование учреждения˃ состоит в реестре операторов, осуществляющих обработку персональных данных, Роскомнадзора за номером НОМЕР на основании приказа НОМЕР от 23.12.2015.

В соответствии с частью 7 статьи 5, части 4 статьи 21 Закона о персональных данных хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом. В случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено иным договором (соглашением).

В силу  части 1 статьи 19 Закона о персональных данных Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Особенности обработки персональных данных без использования средств автоматизации установлены Постановлением Правительства РФ от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации". В силу п. 13 указанного Постановления обработка персональных данных без использования средств автоматизации должна осуществляться таким образом, чтобы в отношении каждой категории данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку данных либо имеющих к ним доступ.

В силу пункта 15 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, при хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.

Проверкой, проведенной прокуратурой г. Североуральска, установлено, что в нарушение вышеуказанных норм оператором - ˂Наименование учреждения˃ не приняты достаточные меры по уничтожению персональных данных либо их обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей.

В судебное заседание представителем ˂Наименование учреждения˃ представлены документы, устанавливающие порядок обработки и хранения персональных данных, их дальнейшее уничтожение, а также перечень лиц, ответственных за реализацию указанных мер, представлен акт об уничтожении ранее использованных персональных данных (документов отделений ˂Наименование учреждения˃ за период <ДАТА>). При этом ˂Наименование учреждения˃, формально подготовив соответствующие документы к уничтожению, фактически продолжило их хранить, не обеспечив надлежащим образом несанкционированный доступ к ним, что в дальнейшем привело к передаче (распространению, доступу) персональных данных пациентов <ОБЕЗЛИЧИНО> отделения ˂Наименование учреждения˃ посторонним лицам.

Таким образом, в судебном заседании установлено, что ˂Наименование учреждения˃ действительно допустило нарушение требований законодательства Российской Федерации в области персональных данных при обработке персональных данных без использования средств автоматизации обязанности (хранение, уничтожение), исключающих несанкционированный к ним доступ, что повлекло случайный доступ к персональным данным, о чем свидетельствует факт обнаружения 14.10.2017 корреспондентом газеты «<ОБЕЗЛИЧИНО>» <ФИО1> на полу помещения прачечной бывшего здания стационара ˂Наименование учреждения˃, расположенному по адресу: г. Североуральск, <АДРЕС>, десятков читаемых медицинских документов, в которых содержалась информация о фамилиях, именах, отчествах, адресе, месте работы, диагнозе граждан и прочая информация, составляющая в том числе врачебную тайну.

Суд квалифицирует действия ˂Наименование учреждения˃ по ч. 6 ст. 13.11 Кодекса Российской Федерации об административных правонарушениях -  невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих <ОБЕЗЛИЧИНО> к ним доступ, если это повлекло случайный доступ к персональным данным, их копирование, предоставление при отсутствии признаков уголовно наказуемого деяния.

Доводы представителя ˂Наименование учреждения˃ об истечении срока исковой давности для привлечения к административной ответственности судом не отклоняются, поскольку основная деятельность ˂Наименование учреждения˃ направлена на оказание медицинских услуг гражданам и регулируется Федеральным законом от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации», в том числе в целях соблюдения врачебной тайны и обработки персональных данных.

В соответствии со ст. 4.5 Кодекса Российской Федерации об административных правонарушениях давность привлечения к административной ответственности за нарушение законодательства Российской Федерации об охране здоровья граждан составляет один год со дня совершения административного правонарушения.

При назначении административного  наказания  мировой судья учитывает характер совершенного административного правонарушения, личность виновного, его имущественное положение, в том числе обстоятельства смягчающие и отягчающие административную ответственность.

Учитывая изложенное и руководствуясь ст. ст.   29.9 ч. 1, 29.10 Кодекса Российской Федерации об административных правонарушениях мировой судья

ПОСТАНОВИЛ:

˂Наименование учреждения˃, ИНН НОМЕР, ОГРН НОМЕР, признать виновным в совершении административного правонарушения, предусмотренного ч. 6 ст. 13.11 Кодекса  Российской Федерации об административных правонарушениях, и назначить административное наказание в виде административного штрафа в размере 25 000 (двадцать пять тысяч) рублей.

Разъяснить ˂Наименование учреждения˃, что административный штраф должен быть уплачен не позднее 60 дней со дня вступления настоящего постановления в законную силу, а копия документа, свидетельствующая об уплате, направлена мировому судье.

Уплата административного штрафа может быть рассрочена мировым судьей на срок до трёх месяцев при наличии заявления лица, в отношении которого вынесено постановление.

Лицо, не уплатившее административный штраф, привлекается к административной ответственности в соответствии с ч. 1 ст. 20.25 Кодека Российской Федерации об административных правонарушениях.

Постановление может быть обжаловано в течение десяти суток со дня вручения или получения копии постановления в Североуральский городской суд через мирового судью.

<ОБЕЗЛИЧИНО>

Мировой судья                              <ОБЕЗЛИЧИНО>                                            С.А. Башкова

Источник: http://2sur.svd.msudrf.ru/modules.php?name=sud_delo&op=sd&number=164723698&case_number=162438199&delo_id=1500001