Дело N 5-191/2020 13 марта 2020 года
ПОСТАНОВЛЕНИЕ
о назначении административного наказания
Мировой судья судебного участка N 4 Октябрьского судебного района г. <АДРЕС> <ФИО1>, расположенный по адресу: <АДРЕС>, ул. <АДРЕС> каб. 401, рассмотрев протокол об административном правонарушении и материалы, поступившие из управления Роскомнадзора по <АДРЕС> области и Ненецкому автономному округу (г.Архангельск, пр. <АДРЕС> а/я 280) в отношении юридического лица - муниципального бюджетного учреждения дополнительного образования муниципального образования «Город <АДРЕС> «<ОБЕЗЛИЧЕНО>», расположенного по адресу: г. <АДРЕС>, пр. <АДРЕС> к.2, ОГРН <НОМЕР>, ИНН <НОМЕР>,
установил:
муниципальный бюджетного учреждения дополнительного образования муниципального образования «Город <АДРЕС> «<ОБЕЗЛИЧЕНО>» ( далее по тексту МБУ ДО «ДПЦ «Радуга») нарушило требования ч.4 ст. 9 Закона <НОМЕР> "О персональных данных", чем совершило правонарушение, предусмотренное ч.2 ст. 13.11 КоАП РФ.
В судебное заседание не явился представитель МБУ ДО «ДПЦ «Радуга», о времени и месте рассмотрения дела уведомлён надлежащим образом. В удовлетворении ходатайства об отложении дела слушанием в связи с нахождением директора в отпуске отказано.
Исследовав материалы дела, мировой судья приходит к следующему.
В силу ч. 2 ст. 13.11 Кодекса РФ об административных правонарушениях обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, - влечет наложение административного штрафа на граждан в размере от трех тысяч до пяти тысяч рублей; на должностных лиц - от десяти тысяч до двадцати тысяч рублей; на юридических лиц - от пятнадцати тысяч до семидесяти пяти тысяч рублей.
На основании Плана деятельности Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по <АДРЕС> области и Ненецкому автономному округу (далее - Управление) на 2020 год, утвержденного приказом Управления от 20.11.2019 <НОМЕР>, размещенного на сайте в сети «Интернет» http://29.rkn.gov.ru/, и приказа Управления от 17.12.2019 <НОМЕР> в отношении МБУ ДО «ДПЦ «Радуга» в период с 13 января 2020 г. по 07 февраля 2020 г. была проведена плановая выездная проверка соблюдения обязательных требований законодательства РФ в области обработки персональных данных.
В соответствии с ч.1 ст. 3 Федеральным законом от <ДАТА6> Закона <НОМЕР> под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Согласно п. 2 ст. 3 Закона <НОМЕР> оператор это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
В соответствии с п. 3 ст. 3 Закона <НОМЕР> обработка персональных данных это любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
МБУ ДО «ДПЦ «Радуга» является оператором, осуществляющим обработку персональных данных на территории <АДРЕС> области, и включено в реестр операторов, общедоступный по адресу в сети Интернет: http://wvvw.pd.rkn.gov.ru, регистрационная запись под <НОМЕР>.
07.02.2020 в 11 час. 00 мин. по результатам плановой выездной проверки и анализа представленных документов было установлено, что МБУ ДО «ДПЦ «Радуга» осуществляет обработку персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ в области персональных данных.
В ходе проверки комиссией Управления было выявлено (факт выявления отражен в п.3.1.3 Приложения <НОМЕР> к Акту проверки <НОМЕР> от 07.02.2020), что с целью исполнения своих обязанностей, возложенных как на работодателя и страхователя законодательством Российской Федерации, МБУ ДО «ДПЦ «Радуга» поручило третьему лицу - муниципальному казенному учреждению муниципального образования «Город <АДРЕС> «Центр бухгалтерского и экономического обслуживания» (далее - МКУ «ЦБиЭО»), обработку персональных данных своих работников, заключив 01.11.2016 Договор <НОМЕР> о передаче функций по ведению бюджетного (бухгалтерского) учета, планированию финансово-хозяйственной деятельности и формированию бюджетной, бухгалтерской, финансовой и иной отчетности.
Предметом данного договора в части, касающейся задач плановой проверки Управления, согласно «Распределению функций между Заказчиком и Исполнителем в рамках исполнения настоящего договора» (Приложение <НОМЕР> к договору от 01.11.2016 <НОМЕР>), является начисление заработной платы, пособий по временной нетрудоспособности и других выплат работникам МБУ ДО «ДПЦ «Радуга», формирование платежных поручений, реестров на зачисление заработной платы сотрудникам Заказчика в банк, обработка заявлений сотрудников Заказчика на предоставление стандартных налоговых вычетов, формирование карточек налогового учета, подготовка справок о заработной плате, расчетных листков сотрудников и прочие обязанности, возлагаемые законодательством на работодателя.
В ходе проверки установлено, что МБУ ДО «ДПЦ «Радуга» при приеме нового работника заключает с ним срочный/бессрочный трудовой договор, издает приказ о приеме на работу информирует личное дело на бумажных носителях, а затем в рамках вышеуказанного договора передает в МКУ «ЦБиЭО» в электронном виде сведения по работнику посредством загрузки сканобразов его документов (паспорт, приказ о приеме на работу, заявление о перечислении денежных средств на банковскую карту, ИНН, СНИЛС, Согласие на обработку персональных данных) через удаленный доступ в информационную систему персональных данных (ИСПДн)
МКУ «ЦБиЭО» «1С:Предприятие 8.3» (информационную базу программы - «Документооборот государственного учреждения»). В качестве подтверждения сделаны скриншоты страниц ИСПДн, отражающие факт передачи скан-образов документов работника <ФИО2>, принятой на работу 19.08.2019, и вновь принятого работника ˂ФИО˃ по приказу (распоряжению) о приеме работника на работу от 09.01.2020 <НОМЕР>л/с (последняя передача данных 13.01.2020 подтверждается скриншотами ИСПДн).
В соответствии с ч. 1 ст.9 Закона <НОМЕР> согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.
Согласно ч.3 ст.6 Закона <НОМЕР> оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора.
Дополнительно при передаче персональных данных работника работодатель должен соблюдать требования, предъявляемые статьей 88 ТК РФ от <ДАТА12> <НОМЕР>.
В соответствии со ст. 88 ТК РФ при передаче персональных данных работника работодатель должен не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных ТК РФ или иными федеральными законами.
Согласно положениям ч.4 ст.9 Закона <НОМЕР> в случаях, предусмотренных федеральным законом (в данном случае - ст.88 ТК РФ), обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. При этом частью 4 статьи 9 Закона <НОМЕР> установлены требования к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, в случаях, предусмотренных федеральным законом, когда обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных.
Согласие в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, предусмотренных федеральным законом, должно включать в себя, в частности: фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе; фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных); наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных; цель обработки персональных данных; перечень персональных данных, на обработку которых дается согласие субъекта персональных данных; наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу; перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных; срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом; подпись субъекта персональных данных.
При этом обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство, наличия оснований, указанных в пунктах 2-11 части 1 статьи 6 Закона <НОМЕР>, возлагается на Оператора, что определено ч. 3 ст. 9 вышеуказанного закона.
МБУ ДО «ДПЦ «Радуга» утверждена форма согласия, являющаяся приложением к «Положению о защите, хранении, обработке и передаче персональных данных (далее - ПДн) работников обработки МБУ ДО «ДПЦ «Радуга» от 30.08.2019.
Оператором представлены копии письменных согласий работников на обработку персональных данных, включая работников <ФИО2>, ˂ФИО˃.
Однако подписывая данную форму, работники дают согласие МБУ ДО «ДПЦ «Радуга» на обработку ПДн, перечень которых представлен в типовой форме, которая предполагает общее согласие на обработку ПДн в целом без указания каких-либо целей обработки вообще и в частности цели, связанной с передачей ПДн работника в МКУ «ЦБиЭО» для ведения бухгалтерского, налогового и бюджетного учетов, формирования и предоставления бухгалтерской, бюджетной и налоговой отчетности, в том числе для начисления заработной платы и всех причитающихся выплат в рамках заключенного договора.
В качестве подтверждения получения согласия работников на передачу их ПДн в МКУ «ЦБиЭО» для вышеуказанной цели Оператор также представил еще одну типовую форму согласия, являющуюся приложением к Договору о передаче функций по ведению бюджетного (бухгалтерского) учета, планированию финансово-хозяйственной деятельности и формированию бюджетной, бухгалтерской, финансовой и иной отчетности от 01.11.2016 <НОМЕР>, которую также подписывают работники - «Согласие на обработку и передачу персональных данных».
Из содержания данной формы следует, что работник МБУ ДО «ДПЦ «Радуга», подписывая эту форму, дает согласие МКУ «ЦБиЭО» на обработку данной организацией своих ПДн и передачу их в государственные органы. Анализ данной формы показал, что, во-первых, данный документ не соответствует требованиям, предъявляемым именно к работодателю (МБУ ДО «ДПЦ «Радуга»), который не должен сообщать ПДн работника третьей стороне без письменного согласия работника, соответственно, согласие должно быть дано работником именно работодателю на передачу его ПДн третьему лицу. Такое согласие отсутствует. Во-вторых, типовая форма «Согласие на обработку и передачу персональных данных» не содержит цель обработки - ведение бухгалтерского, налогового и бюджетного учетов, формирования и предоставления бухгалтерской, бюджетной и налоговой отчетности, в том числе начисление заработной платы и всех причитающихся выплат.
На основании вышеизложенного прихожу к выводу об отсутствии у Оператора письменного согласия субъектов ПДн - работников на передачу их ПДн в МКУ «ЦБиЭО» в случае, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных.
Таким образом, выявлен факт обработки МБУ ДО «ДПЦ «Радуга» персональных данных работников, а именно, их передача в МКУ «ЦБиЭО» в отсутствие письменного согласия субъектов персональных данных в случае, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных.
МБУ ДО «ДПЦ «Радуга» нарушены требования части 4 статьи 9 Закона <НОМЕР> в части обработки персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных.
Соответственно, в действиях МБУ ДО «ДПЦ «Радуга» содержится состав административного правонарушения, ответственность за совершение которого предусмотрена ч.2 ст. 13.11 Кодекса Российской Федерации об административных правонарушениях в части обработки персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных.
Вина учреждения в совершении административного правонарушения подтверждается протоколом об административном правонарушении, актом проверки, справкой о порядке и результатах проведенной проверки, другими письменными материалами дела.
Санкция ст. 13.11 ч. 3 КоАП РФ предусматривает административное наказание в виде предупреждение или наложение административного штрафа на граждан в размере от семисот до одной тысячи пятисот рублей; на должностных лиц - от трех тысяч до шести тысяч рублей; на индивидуальных предпринимателей - от пяти тысяч до десяти тысяч рублей; на юридических лиц - от пятнадцати тысяч до тридцати тысяч рублей.
При назначении административного наказания суд учитывает характер и степень общественной опасности совершенного правонарушении, данные о лице, привлекаемом к административной ответственности, отсутствие смягчающих и отягчающих административную ответственность обстоятельств, считает возможным назначить наказание в виде предупреждения.
Исходя из оценки конкретных обстоятельств по настоящему делу, не усматривается обстоятельств, свидетельствующих о малозначительности совершенного административного правонарушения, поскольку в данном случае существенная угроза охраняемым общественным отношениям заключается не в наступлении каких-либо материальных последствий правонарушения, а в пренебрежительном отношении юридического лица к охраняемым законом отношениям в области персональных данных.
На основании ст. ст. 4.1, 29.9, 29.10 Кодекса РФ об административных правонарушениях, мировой судья
постановил:
муниципальное бюджетное учреждение дополнительного образования муниципального образования «Город <АДРЕС> «<ОБЕЗЛИЧЕНО>» признать виновным в совершении административного правонарушения, предусмотренного ч. 2 ст. 13.11 КоАП РФ и подвергнуть административному наказанию в виде предупреждения.
Постановление может быть обжаловано в течение 10 суток в <АДРЕС> районный суд г. <АДРЕС> с момента вручения либо получения копии постановления.
Мировой судья <ФИО1>
Источник: http://4okt.arh.msudrf.ru/modules.php?name=sud_delo&op=sd&number=24355463&case_number=23232275&delo_id=1500001
Согласие
Предоставление
Часть 2 статьи 13.11 Кодекса РФ об АП
категорий:
Обработка ее персональных данных, полученных незаконным путем
Размещение в еженедельнике, а также на сайте персональных данных гражданки без согласия
Передача персональных данных несовершеннолетних без согласия их законных представителей
Нарушения при обработке персональных данных
Множество нарушений федерального закона «О персональных данных»
Нарушения законодательства в области персональных данных в обществе
Обработка биометрии работника без его согласия
Передача персональных данных работников без их письменного согласия
Размещение на сайте Думы скан-копий документов с персональными данными
Хранение документов, содержащих персональные данные субъектов без их письменного согласия
Отсутствие сведений в форме согласия
Обработка персональных данных при оказании услуг без письменного согласия