Решение по административному делу
ДЕЛО №5-227/2017
П О С Т А Н О В Л Е Н И Е
о привлечении к административной ответственности
г. Мценск 18 июля 2017 года
Мировой судья судебного участка №3 г. Мценска и Мценского района Орловской области Климова М.Ю., рассмотрев материалы дела об административном правонарушении по ст.13.11 КоАП РФ в отношении должностного лица:
Г.П., <ДАТА2>,
У С Т А Н О В И Л:
прокуратурой Мценского района Орловской области в период с 29.06.2017 по 30.06.2017 проведены мероприятия систематического наблюдения на предмет выявления в сети «Интернет» нарушения законодательства РФ в области персональных данных. Мероприятия проводились в отношении операторов персональных данных, являющихся учреждениями и организациями, действующими на территории Мценского района Орловской области.
В судебном заседании Г.П. вину признала, просила назначить минимальное наказание.
Помощник прокурора А.А. в судебном заседании постановление поддержал, просил привлечь Г.П. к административной ответственности.
Федеральным законом №152-ФЗ от 27.07.2006 «О персональных данных» установлен порядок сбора, хранения, использования или распространения информации о гражданах (персональных данных).
В соответствии с п. 1 ст. 3 Федерального закона №152-ФЗ от 27.07.2006 «О персональных данных» персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
В соответствии с п. 2 ст. 3 Федерального закона №152-ФЗ от 27.07.2006 «О персональных данных» оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
В соответствии с п. 3 ст. 3 Федерального закона №152-ФЗ от 27.07.2006 «О персональных данных» обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
В соответствии с п. 4 ст. 3 Федерального закона №152-ФЗ от 27.07.2006 «О персональных данных» автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
В своей непосредственно осуществляемой деятельности, МБДОУ г. Мценска «Детский сад №*» для выполнения предусмотренных Уставом задач получает и обрабатывает информацию, относящуюся прямо или косвенно к физическим лицам, которая накапливается в так называемом «личном деле» воспитанника МБДОУ г. Мценска «Детский сад №*», являющимся совокупностью данных о воспитаннике и его законных представителях, представленных в виде материальных носителей информации -соответствующих документов (или их заверенных копий). Порядок ведения личных дел установлен локальным актом МБДОУ г. Мценска «Детский сад №*», в соответствии с которым личное дело ведётся на каждого воспитанника МБДОУ г. Мценска «Детский сад №*» с момента зачисления в МБДОУ г. Мценска «Детский сад №*» до отчисления воспитанника из МБДОУ г. Мценска «Детский сад №*» в связи с прекращением образовательных отношений, правовые, организационные и экономические основыкоторых регулируются отдельными актами в сфере системы образования и осуществления образовательной деятельности в Российской Федерации. \ При проверке личныхдел воспитанников, мест их хранения, соблюдения порядка формирования и доступа к ним, а также использования, прекращения использования и уничтожения, установлено следующее.
В нарушение требований ч. 1 ст. 18.1 Федерального закона №152-ФЗ от 27.07.2006 «О персональных данных», со стороны МБДОУ г. Мценска «Детский сад №*» не приняты надлежащие меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных федеральным законодательством, а именно:
- в учреждении отсутствует документ, определяющий обработку персональных данных воспитанников и законных представителей, в котором были бы закреплены условия и порядок обработки персональных данных этих лиц в соответствии с уставной деятельностью и способы обработки персональных данных, в том числе осуществление сбора персональных данных воспитанников и их законных представителей с использованием информационно-телекоммуникационных сетей (включая данные из личных
страниц «социальных сетей»);
- в учреждении отсутствует документ, определяющий места хранения материальных носителей персональных данных и лиц, ответственных за обеспечение сохранности мест хранения материальных носителей персональных данных;
- в учреждении отсутствует документ, определяющий категории автоматизированных файлов персональных данных, перечень которых и порядок сдачи на хранение не разработан, в том числе в отношении файлов персональных данных, которые не подвергаются автоматизированной обработке;
- в учреждении отсутствует документ, определяющий порядок и условия временного прекращения обработки персональных данных (блокирования персональных данных), уничтожения персональных данных, способ обезличивания персональных данных в случае их распространения в установленных законодательством случаях, в том числе с согласия субъекта персональных данных или его законного представителя.
В нарушение требований ч. 2 ст. 18.1 Федерального закона №152-ФЗ от 27.07.2006 «О персональныхданных», со стороны МБДОУ г. Мценска «Детский сад №*» не приняты надлежащие меры по опубликованию или обеспечению иным образом неограниченного доступа к документам, определяющим политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных и о порядке осуществления сбора персональных данных воспитанников и их законных представителей с использованием информационно-телекоммуникационных сетей (в том числе данных из личных страниц«социальных сетей»), возможность доступа к указанным документам с использованием средст соответствующей информационно-телекоммуникационной сети, не реализована.
Наряду с этим, проверкой установлено, что накопление персональных данных в отношении субъектов персональных данных — детей и их законных представителей — производится способом, который не обеспечивает надлежащей защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Так, содержащие персональные данные материальные носители хранятся в кабинете логопеда, который в настоящее время отсутствует в учреждении, кабинет не используется никем, персональными данными пользуется то лицо, которое назначается соответствующим приказом, однако согласно данных реестра операторов персональных данных Роскомнадзора ответственным лицом является <ФИО1>, бывшая работница учреждения, в настоящее время ответственное лицо не назначено, в Роскомнадзор такие сведения не представлялись.
При этом, порядок доступа к вычислительным машинам и машинным носителям, используемых в деятельности МБДОУ г. Мценска «Детский сад №*» для обработки персональных данных, не определён, формирование работниками автоматизированных файлов персональных данных, а также файлов персональных данных, которые не подвергаются автоматизированной обработке, производится на рабочих местах, в отношении которых не установлены ограничения по осуществлению порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).
Перечень машинных носителей персональных данных воспитанников, их законных представителей и порядок сдачи их на хранение в случае отпуска, больничного, увольнения, не разработан.
Статьёй 13.11 КоАП РФ установлена административная ответственность за нарушения, связанные с непринятием надлежащих мер к исполнению установленных Федеральным законом №152-ФЗ от 27.07.2006 «О персональных данных» требований к осуществлению порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).
Как следует из материалов проверки, акта проверки от 29.06.2017, объяснений й Галины Павловны, являющейся должностным лицом МБДОУ г. Мценска «Детский сад №*», в должности заведующей МБДОУ г. Мценска «Детский сад №*» с 01.07.2001, инкриминируемое административное правонарушение выражено в непринятии учреждением в течение периода времени с момента поступления и до настоящего времени предписанных Федеральным законом №152-ФЗ от 27.07.2006 «О персональных данных» мер, направленных на обеспечение надлежащей деятельности по сбору, хранению, использованию или распространению информации о гражданах (персональных данных).
Таким образом, в действиях должностного лица Г.П. содержится состав административного правонарушения, предусмотренного ст.13.11 КоАП РФ, а именно нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).
При назначении наказания суд учитывает характер совершенного правонарушения, обстоятельства смягчающие и отягчающие наказание. Г.П. совершено правонарушение в области информации Смягчающим обстоятельством следует признать признание вины и совершение правонарушения впервые, отягчающих обстоятельств судом не установлены.
На основании изложенного, руководствуясь ст.29.10, 13.11 Кодекса РФ об административных правонарушениях, суд
П О С Т А Н О В И Л :
Признать Г.П. виновной в совершении административного правонарушения, предусмотренного ст. 13.11 КоАП РФ и назначить наказание в виде предупреждения.
Постановление может быть обжаловано в Мценский районный суд Орловской области в течение 10 суток с момента получения копии постановления.
Мировой судья М.Ю. Климова
Источник: http://3mcen.orl.msudrf.ru/modules.php?name=sud_delo&op=sd&number=25244967&delo_id=1500001
Принятие мер, предусмотренных законом
Локальные акты оператора
Политика
Порядок хранения
категорий:
Нарушение законодательства Российской Федерации в области персональных данных
Хранение документов, содержащих пдн в сейфе, ключ от которого находится в свободном доступе
Оператором не исполняются требования федерального закона "О персональных данных"
Нарушение оператором требований законодательства обработки персональных данных
Отсутствие документов в соответствии с законодательством о персональных данных
Незаконная обработка персональных данных родителей обучающихся
Отсутствие политики, не подано уведомление в реестр операторов
Отсутствие в свободном доступе (в.т.ч. на сайте) Политики в отношении обработки персональных данных