Дело № 5-513/2019                                     07 июня  2019 года

29MS0040-01-2019-002763-48

ПОСТАНОВЛЕНИЕ

о назначении административного наказания

 Мировой судья судебного участка № 3 Октябрьского судебного района города Архангельска Евсюкова Т.Р., находящийся по адресу: г. Архангельск, ул. Суворова, д. 11, рассмотрев в открытом судебном заседании в г. Архангельске материал об административном правонарушении, поступивший из Управления Роскомнадзора по Архангельской области и Ненецкому автономному округу (г. Архангельск, пр. Троицкий, д. 45, а/я 280), в отношении ˂Наименование учреждения˃, ИНН ˂Номер˃, ОГРН ˂Номер˃, юридический адрес: ˂Адрес˃,

у с т а н о в и л:

˂Наименование учреждения˃ допустило обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных. При этом, эти действия не содержат уголовно наказуемого деяния. Ответственность за данное правонарушение предусмотрена ч. 2 ст. 13.11 КоАП РФ.

В судебном заседании защитник  ˂Наименование учреждения˃ ˂ФИО˃ вину учреждения в совершенном правонарушении признал, просил о снижении штрафа.

Заслушав  защитника, исследовав материалы дела, мировой судья приходит к следующему.

Исследовав материалы дела, мировой судья приходит к следующему.

В силу ч. 2 ст. 13.11 Кодекса РФ об административных правонарушениях обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, - влечет наложение административного штрафа на граждан в размере от трех тысяч до пяти тысяч рублей; на должностных лиц - от десяти тысяч до двадцати тысяч рублей; на юридических лиц - от пятнадцати тысяч до семидесяти пяти тысяч рублей.

В период с 08 апреля 2019 года по 08 мая 2019 года   проведена плановая выездная проверка соблюдения обязательных требований законодательства РФ в области обработки персональных данных в отношении ˂Наименование учреждения˃.

Порядок проведения плановой выездной проверки определен Правилами организации и осуществления государственного контроля и надзора за обработкой персональных данных, Утвержденными постановлением Правительства Российской Федерации от 13.02.2019 № 146.

В соответствии с ч.1 ст. 23 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее - Закона № 152-ФЗ) уполномоченным органом по защите прав субъектов персональных данных является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.

Постановлением Правительства РФ от 16.03.2009 № 228 утверждено Положение о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, в соответствии с абз. 2 п. 1 которого Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) является уполномоченным федеральным органом исполнительной власти по защите прав субъектов персональных данных.

На основании п.п. 6, 7.1.4.1 Положения об Управлении, утвержденного Приказом Роскомнадзора от 25.01.2016 № 44, Управление осуществляет функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных на территории Архангельской области и Ненецкого автономного округа.

Согласно п.9 ч. 3 ст. 23 Закона № 152-ФЗ уполномоченный орган по защите прав субъектов персональных данных имеет право привлекать к административной ответственности лиц, виновных в нарушении Закона № 152-ФЗ.

В соответствии с ч.1 ст. 3 Закона № 152-ФЗ, под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Согласно п. 2 ст. 3 Закона № 152-ФЗ оператор это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

В соответствии с п. 3 ст. 3 Закона № 152-ФЗ обработка персональных данных это любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

˂Наименование учреждения˃ является оператором, осуществляющим обработку персональных данных на территории Архангельской области, и включено в общедоступный реестр операторов по адресу: http://www.pd.rkn.gov.ru с регистрационной записью.

08 мая 2019 года в 11 час. 27 мин. по результатам плановой выездной проверки и анализа представленных документов   установлено, что ˂Наименование учреждения˃ осуществляет обработку персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ в области персональных данных.

В ходе проверки было выявлено (факт выявления отражен в п.3.1.2.3 Приложения №2 к Акту проверки №А-29/4/17-нд/35 от 08.05.2019), что в целях бронирования и оформления авиационных билетов для своих работников ˂Наименование учреждения˃ заключен Договор о корпоративном обслуживании от 02.03.2016 №88-Н11-16 с ˂Наименование организации˃ на оказание услуг по выполнению авиаперевозок, бронированию и оформлению авиабилетов.

В соответствии с п. 3.1 указанного договора ˂Наименование организации˃ оказывает ˂Наименование учреждения˃ услугу по оформлению авиабилетов в порядке, предусмотренном Приложением № 1 к договору. В Приложении № 1 пунктом 1 определено, что ˂Наименование организации˃ производит оформление авиабилетов на основании заявки установленного образца согласно Приложению №1.4 к договору. Формой заявки предусмотрены поля для внесения фамилии, имени, отчества, серии и номера паспорта, даты рождения пассажира.  

Представленная в качестве примера Оператором заявка от 27.03.2019 предусматривает передачу персональных данных работника ˂ФИО˃ в ˂Наименование организации˃ с целью оформления авиабилетов в объеме: ФИО, паспортные данные, дата, месяц, год рождения данного работника. В качестве подтверждения сделаны скриншоты направленной на адрес электронной почты: ˂Адрес электронной почты˃ ˂Наименование организации˃ заявки № 32 на оформление авиабилетов на работника ˂ФИО˃, дата отправления - 27.03.2019 в 16.26 со служебного адреса электронной почты секретаря ˂ФИО˃

Обработка персональных данных, не предусмотренная действующим законодательством, в том числе, предоставление персональных данных работников третьим лицам, в соответствии со ст. 88 ТК РФ требует письменного согласия субъекта.

В ходе проверки было представлено согласие ˂ФИО˃ на обработку персональных данных (дата подписания 01.08.2017) (являющееся типовым согласием), которое не содержит цель обработки персональных данных, предусматривающую согласие работника на передачу его персональных   данных   ˂Наименование организации˃ с   целью   оформления авиабилетов работнику ˂Наименование учреждения˃.

Вместе с тем, иных доказательств, подтверждающих наличие письменного согласия либо иных законных оснований на передачу персональных данных работника третьей стороне (˂Наименование организации˃) Оператором представлено не было.

Таким образом, у Оператора отсутствует письменное согласие субъекта персональных данных - ˂ФИО˃ на передачу его персональных данных ˂Наименование организации˃ в случае, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных.

˂Наименование учреждения˃ нарушены требования абзаца 2 статьи 88 Трудового кодекса Российской Федерации и части 4 статьи 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Также в ходе проверки 08.05.2019 в 11 час. 27 мин. было установлено (факт выявления отражен в п.3.1.2.8 Приложения №2 к Акту проверки №А-29/4/17-нд/35 от 08.05.2019), что на официальном сайте ˂Наименование учреждения˃ в сети Интернет URL страница: ˂Ссылка на страницу сайта˃ размещены персональные данные работников в целях информационного обеспечения доступа неограниченного круга лиц к информации о деятельности Оператора, а на Портале органов власти Архангельской области ˂Ссылка на страницу сайта˃   информация о работниках в целях информационного обеспечения доступа сотрудников органов власти Архангельской области к справочной информации о работниках Оператора. На официальном сайте Оператора размещены сведения о работниках в объеме: фамилия, имя, отчество, наименование отдела, наименование должности, служебный абонентский номер телефона и адрес электронной почты, а на Портале органов власти Архангельской области сведения о работниках ˂Наименование учреждения˃ в объеме: фамилия, имя, отчество, место работы, должность, адрес электронной почты, номер
служебного телефона.     

В соответствии с положениями ч.1 ст.6 Закона № 152-ФЗ обработка персональных данных, осуществляемая ˂Наименование учреждения˃, должна осуществляться с соблюдением принципов и правил, предусмотренных заказанным законом. В случаях, предусмотренных п.2-11 ч.1 указанной статьи Закона №152-ФЗ определены условия, при наступлении которых обработка персональных данных допускается без согласия субъекта персональных данных, если иное не установлено законодательством Российской Федерации.

Раскрытие персональных данных субъекта может осуществляться либо в силу федерального закона, либо с согласия этого лица.

На основании п.п. 10, 11 ч.1 ст. 6 Закона № 152-ФЗ обработка персональных данных допускается в случаях, когда осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством РФ и когда доступ неограниченного круга лиц к персональным данным предоставлен субъектом персональных данных.

Вместе с тем, в соответствии с ч. 1 ст. 8 № 152-ФЗ в целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). Условием, при котором сведения о субъекте персональных данных могут быть включены в общедоступные источники, является письменное согласие этого субъекта, если иное не предусмотрено федеральным законом (требования к письменному согласию установлены ч.4 CT.9 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»).

Представленные Оператором согласия субъектов персональных данных являются типовыми. В качестве подтверждения взята копия согласия ˂ФИО˃, принятого на работу 05.04.2019 (приказ о приеме на работу от 05.04.2019 № 6), которое не содержит такую цель обработки персональных данных, как размещение персональных данных на Портале органов власти Архангельской области для информационного обеспечения доступа сотрудников органов власти Архангельской области к справочной информации о работниках Оператора.

Согласно письменным пояснениям Оператора от 16.04.2019 №253-04/2019 заявления о согласии работника на размещение его персональных данных в общедоступных источниках брались у работников, принятых в ˂Наименование учреждения˃ до 2016 года. Данной типовой формой Оператором было определено, что к общедоступным информационным источникам относятся: сайт правительства Архангельской области, корпоративный портал правительства Архангельской области, информационно-справочные ресурсы (телефонный справочник, корпоративная электронная почта и т.п.), информационные стенды учреждения.

С 2016 года вновь принимаемые работники заполняют только типовую форму согласия, утвержденную вместе с Положением об обработке персональных данных работников ˂Наименование учреждения˃ от 27.03.2015.

Таким образом, доказательства наличия законных оснований или получение письменных согласий работников ˂Наименование учреждения˃ на размещение их персональных данных в общедоступных источниках в ходе проверки представлены не были, что является нарушением ч.1 ст.8 Закона №152-ФЗ.                       

Согласно пояснениям Оператора от 19.04.2019 № 272-04/2019 каждые две недели администратор сайта ˂Ссылка на адрес сайта˃ (работник отдела разработки информационных систем) запрашивает у специалиста по кадрам выписку из актуального штатного расписания, на основе которой обновляет данные о сотрудниках на сайте.

Информацию по работникам ˂Наименование учреждения˃ на Портале органов власти Архангельской области размещает сам Оператор.

Оператор, осуществляя размещение на официальном сайте ˂Наименование учреждения˃ ˂Ссылка на страницу сайта˃ , а также включение в общедоступный источник - на корпоративном Портале органов власти Архангельской области по адресу ˂Ссылка на страницу сайта˃   персональных данных работников в отсутствие их письменного согласия, чем нарушает ч. 1 ст.8 Закона №152-ФЗ.

Таким образом, размещение персональных данных сотрудников в отсутствие согласия в  письменной форме субъекта персональных данных на официальном сайте ˂Наименование учреждения˃ по адресу ˂Ссылка на страницу сайта˃  и в общедоступном источнике на Портале органов власти Архангельской области ˂Ссылка на страницу сайта˃   является нарушением ч. 1 ст. 8 Закона №152-ФЗ и требует получения письменного согласия в соответствии с ч.4 ст.9 Закона №152-Ф. ˂Наименование учреждения˃ нарушены требования части 1 статьи 8 и части 4 статьи 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Вина учреждения в  совершении  административного правонарушения подтверждается протоколом об административном правонарушении, скриншотами интернет-страниц официального сайта ˂Наименование учреждения˃, а также Портала органов власти Архангельской области и типовой формой согласия на обработку персональных данных, другими письменными материалами дела.

Мировой судья при назначении административного наказания учитывает характер совершенного правонарушения, обстоятельства дела, обстоятельства, смягчающие ответственность (признание вины)   и считает возможным назначить ˂Наименование учреждения˃ административное наказание в виде административного штрафа.

Исходя из оценки конкретных обстоятельств по настоящему делу, не усматривается обстоятельств, свидетельствующих о малозначительности совершенного административного правонарушения, поскольку в данном случае существенная угроза охраняемым общественным отношениям заключается не в наступлении каких-либо материальных последствий правонарушения, а в пренебрежительном отношении юридического лица   к охраняемым законом отношениям в области персональных данных.

Оснований для снижения штрафа также не имеется.

На основании ст.ст. 4.1, 29.9, 29.10 Кодекса РФ об административных правонарушениях, мировой судья

п о с т а н о в и л:

признать ˂Наименование учреждения˃ виновным в совершении административного правонарушения, предусмотренного ч. 2 ст. 13.11 КоАП РФ и подвергнуть его административному наказанию в виде административного штрафа в размере пятнадцати тысяч рублей.

Штраф следует перечислить на р/сч 401018105000000103 в Отделение  Архангельск г. Архангельск, получатель - УФК по Архангельской области и НАО (Управление Роскомнадзора по Архангельской области и Ненецкому автономному округу: г. Архангельск, пр. Троицкий, д. 45), КБК 096 1 16 900 40 046000 140, БИК 041117001, ИНН 2901126362, КПП 290101001, ОКТМО 11701000, УИН 09600000000018397703, предоставив квитанцию об уплате штрафа в канцелярию мирового судьи судебного участка № 3 Октябрьского судебного района г.Архангельска.

Постановление может быть обжаловано в Октябрьский  районный суд г. Архангельска через мирового судью судебного участка № 3 Октябрьского судебного района г. Архангельска в течение десяти суток со дня вручения или получения копии постановления.

Мировой судья                                               Т.Р. Евсюкова

Источник: http://3okt.arh.msudrf.ru/modules.php?name=sud_delo&op=sd&number=20401800&delo_id=1500001