Судебная практика

Решение по административному делу

Адрес судебного участка №58 Унечского судебного района Брянской области: 243300, Брянская область, г.Унеча, ул.Иванова, д.9 Дело №5-674/2015

П О С Т А Н О В Л Е Н И Е

г.Унеча                                                                06 октября 2015 года

Мировой судья судебного участка №58 Унечского судебного района Брянской области Шпаков А.В., при секретаре ФИО, с участием помощника прокурора Унечского района ФИО, защитника ФИО,рассмотрев в открытом судебном заседании административное дело, в отношении

 НАИМЕНОВАНИЕ <АДРЕС>, ИНН <НОМЕР>, ОРГН 1023201042105, зарегистрирована в качестве юридического лица <ДАТА2>, юридический адрес, 243300,  <АДРЕС> область <АДРЕС>  <АДРЕС>,  по обвинению в совершении административного правонарушения, предусмотренного  ст.13.11  КоАП РФ,

У С Т А Н О В И Л :

  В суд с постановлением о привлечении к административной ответственности по ст.13.11 КоАП РФ  юридического лица - НАИМЕНОВАНИЕ <АДРЕС> обратился прокурор  <АДРЕС> района,  в котором указал, что в период с <ДАТА3> по <ДАТА4> Управлением Роскомнадзора по <АДРЕС> области проведена плановая выездная проверка в отношении НАИМЕНОВАНИЕ <АДРЕС>, г. <АДРЕС>, пл. <АДРЕС>, д.1 в ходе которой выявлен ряд нарушений законодательства о защите персональных данных.

 НАИМЕНОВАНИЕ <АДРЕС> (далее НАИМЕНОВАНИЕ) является оператором, осуществляющим обработку персональных данных (ПДн). Зарегистрировано <ДАТА5> в Реестре операторов персональных данных за <НОМЕР>, представив <ДАТА6> уведомление об обработке (о намерении осуществлять обработку) персональных данных, а также информационное письмо о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных от <ДАТА7> в уполномоченный орган по защите прав субъектов персональных данных на территории <АДРЕС> области.

 В соответствии с ч. 3 ст. 22 Федерального закона от <ДАТА8> N 152-ФЗ "О персональных данных" уведомление, предусмотренное частью 1 настоящей статьи, направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. Уведомление должно содержать следующие сведения: 1) наименование (фамилия, имя, отчество), адрес оператора; 2) цель обработки персональных данных; 3) категории персональных данных; 4) категории субъектов, персональные данные которых обрабатываются; 5) правовое основание обработки персональных данных; 6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных; 7) описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств; 7.1) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты; 8) дата начала обработки персональных данных; 9) срок или условие прекращения обработки персональных данных; 10) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки; 11) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

 Уведомление об обработке (о намерении осуществлять обработку) персональных данных от <ДАТА6>, а также информационное письмо о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных от <ДАТА7>,содержат неполные и недостоверные сведения, в частности:

-  в поле «правовое основание обработки персональных данных» отсутствуют следующие сведения о нормативно-правовых актах: Федеральный закон от <ДАТА9> <НОМЕР> «О муниципальной службе в Российской Федерации», Федеральный закон от <ДАТА10> <НОМЕР> «О трудовых пенсиях в Российской Федерации», Федеральный закон от <ДАТА11> <НОМЕР> «О государственном банке данных о детях, оставшихся без попечения родителей» и другие нормативно-правовые акты, указанные в представленных пояснениях;

- в поле «категории персональных данных» не указаны сведении об обработке биометрических персональных данных, такие как цвет глаз, цвет волос, которые указываются в анкете ребенка, оставшегося без попечения родителей;

- в поле «сведения о наличии шифровальных (криптографических) средств и наименования этих средств» отсутствует информация о Крипто-Про CSP 3.6, ООО «КРИПГО ПРО», <НОМЕР>, Континент-АП 3,5 ООО «Код безопасности», VPN-Key-TLS, ОАО «Сбербанк России» <НОМЕР>.

 Таким образом, в нарушение требований ч. 3 ст. 22 Федерального закона от <ДАТА8> N 152-ФЗ "О персональных данных" <НАИМЕНОВАНИЕ> представила в уполномоченный орган уведомление об обработке персональных данных, а также информационное письмо о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных от <ДАТА7> которые содержали неполные сведения.

  Согласно п. 13 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного Постановлением Правительства РФ от <ДАТА12> N 687 (далее Положение) обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

 При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный  к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором, (п. 15 Положения).

 В нарушение вышеуказанных требований в Администрации по состоянию на <ДАТА13> не определены места и сроки хранения документов, содержащих персональные данные. Документы о назначении ответственных лиц за их хранение отсутствуют.

 В соответствии с ч. 7 ст. 5 Федерального закона от <ДАТА8> N 152-ФЗ "О персональных данных", хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

 В соответствии с ч. 4. ст. 21 Федерального закона от <ДАТА8> N 152-ФЗ "О персональных данных" в случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.

 В нарушение требований ч. 4. ст. 21 Федерального закона от <ДАТА8> N 152-ФЗ "О персональных данных" в подразделениях < НАИМЕНОВАНИЕ>(отдел отчёта и отчётности, комиссии по делам несовершеннолетних и защите и прав, отдел по жилищно-коммунальному и дорожному хозяйству) документы, содержащие персональные данные, которые достигли цели обработки, не уничтожались.

 НАИМЕНОВАНИЕ осуществляет обработку персональных данных муниципальных служащих, работников не относящихся к должностям муниципальной службы, лиц участвующих в конкурсе на замещение вакантных должностей муниципальной службы, граждан при оказании муниципальных услуг, несовершеннолетних оставшихся без попечения родителей, родителей несовершеннолетних, граждан, изъявившим желание стать опекунами.

 Обработка персональных данных осуществляется автоматизированным и неавтоматизированным способом.

 В соответствии с ч. 1 ст. 18.1 Федерального закона от <ДАТА8> N 152-ФЗ "О персональных данных" оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами.

В нарушение вышеуказанных требований Положение о персональных данных, утвержденное постановлением Администрации от <ДАТА14> <НОМЕР>, содержит только условия и порядок обработки персональных данных работников при ведении кадрового учета. Других условий обработки персональных данных, в том числе при оказании различных муниципальных услуг, данное Положение не определяет.

 Кроме этого отсутствуют локальные акты, определяющие порядок обработки персональных данных субъектов персональных данных в информационных системах, сроки обработки и хранения персональных данных.

 Внутренний контроль и (или) аудит соответствия обработки персональных данных требованиям законодательства в сфере персональных данных Администрацией не проводится.

 Администрация осуществляет обработку персональных данных работников, как с использованием средств автоматизации, так и без таковой, в том числе осуществляет передачу персональных данных третьим лицам на основании:

1) Договора от <ДАТА15> <НОМЕР> «О порядке выпуска и обслуживания международных карт Visa (Classic, Gold), MasterCart (Standart) для работников Предприятия (Организации), заключенного с Брянским ОСБ <НОМЕР> Сбербанка России.

 <НАИМЕНОВАНИЕ> сформированные реестры (содержат следующие категории персональных данных: Ф.И.О., номер расчетного счета, сумма) передает в электронном виде с использованием информационной системы персональных данных «Сбербанк Бизнес Онлайн» в Брянское ОСБ <НОМЕР> Сбербанка России.

 Согласно ч. 3 ст. 6 Федерального закона от <ДАТА8> N 152-ФЗ "О персональных данных" оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом.

 В нарушение требований ч. 3 ст. 6 Федерального закона от <ДАТА8> N 152-ФЗ "О персональных данных" в договоре с Брянским ОСБ <НОМЕР> Сбербанка России не определен перечень действий (операций) с персональными данными, цели обработки, не установлена обязанность соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке. Также не указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона от <ДАТА8> N 152-ФЗ "О персональных данных".

 В соответствии ч. 4 ст. 9 Федерального закона от <ДАТА8> N 152-ФЗ "О персональных данных" в случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности: 1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе; 2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных); 3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных; 4) цель обработки персональных данных; 5) перечень персональных данных, на обработку которых дается согласие объекта персональных данных; 6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу; 7) перечень действий с персональными данными, на совершение вторых дается согласие, общее описание используемых оператором способов обработки персональных данных; 8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом; 9) подпись  субъекта персональных данных.

 Согласие на обработку персональных данных сотрудника НАИМЕНОВАНИЕ <ФИО1> оформлено с нарушением требований ч. 4 ст. 9 Федерального закона от <ДАТА8> N 152-ФЗ "О персональных данных".

 Согласие <ФИО1> на обработку её персональных данных не содержит следующей информации: 1) не полно указан перечень персональных данных, на обработку которых дается согласие субъекта персональных данных. Отсутствуют следующие категории персональных данных: гражданство, пол, социальное положение, номер телефона, сведения о членах семьи; 2) не указано наименование и адрес лица, осуществляющего обработку персональных данных по поручению оператора (Брянское отделение <НОМЕР> Сбербанка России); 3) не указан конкретный срок, в течение которого действует согласие субъекта персональных данных (75 лет).

 Сектором по делам семьи, социальной и демографической политики НАИМЕНОВАНИЕ осуществляется учет и подготовка граждан, выразивших желание стать опекунами или попечителями над совершеннолетним недееспособным или не полностью дееспособным гражданином. Гражданин, желающий принять в свою семью на воспитание ребенка, оставшегося без попечения родителей предъявляет специалисту сектора по делам семьи паспорт или иной документ, удостоверяющий личность, а также документы, предусмотренные п. 4 Постановления Правительства РФ от <ДАТА16> <НОМЕР> «Об отдельных вопросах осуществления опеки и попечительства в отношении совершеннолетних недееспособных или не полностью дееспособных граждан». С граждан берется согласие на обработку персональных данных.

 Согласие на обработку персональных данных <ФИО2> (копия прилагается), оформлено с нарушением требований ч. 4 ст. 9 Федерального закона от <ДАТА8> <НОМЕР> «О персональных данных».

 Согласие <ФИО2> на обработку её персональных данных не содержит следующей информации: 1) не указана цель обработки персональных данных: 2) срок, в течение которою действует согласие субъекта персональных данных, указан не верно (неопределенный срок).

 Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных), влечёт административную ответственность, предусмотренную ст. 13.11 КоАП РФ.

 Таким образом, в действиях юридического лица -  <АДРЕС>  усматривается состав административного правонарушения, предусмотренный ст. 13.11 КоАП РФ.

 В судебном  заседании защитник ФИО пояснила, что вину признает полностью, выявленные недостатки устраняются. Суд, выслушав заключение помощника прокурора Унечского района ФИО полагавшего необходимым юридическому лицу  назначить административное наказание по ст.13.11 КоАП РФ  в виде административного штрафа в размере 5000 рублей,   пришел к следующему.

  Вина юридического лица -   <НАИМЕНОВАНИЕ>  <АДРЕС>  в административном правонарушении доказана  полностью  материалами дела, а именно: постановлением о возбуждении дела об административном правонарушении от <ДАТА17>,  актом проверки от <ДАТА18> (л.д.13); справкой о результатах плановой, выездной проверки  НАИМЕНОВАНИЕ <АДРЕС>  (л.д.18-24),  предписанием об устранении выявленного нарушения от <ДАТА18> (л.д.26-31) и другими материалами дела.                                      

 При назначении наказания юридическому лицу - НАИМЕНОВАНИЕ <АДРЕС> суд учитывает  характер совершенного им административного правонарушения, имущественное и финансовое положение юридического лица, обстоятельств, смягчающих административную ответственность, и обстоятельств, отягчающие административную ответственность мировой судья не усматривает.

 На основании ст.ст.4.1, 29.9 и 29.10  Кодекса РФ об административных правонарушениях,

П О С Т А Н О В И Л :

 НАИМЕНОВАНИЕ <АДРЕС> района , ИНН <НОМЕР>, ОРГН 1023201042105, зарегистрирована в качестве юридического лица <ДАТА2>, юридический адрес, 243300,  <АДРЕС> область <АДРЕС>  <АДРЕС>,  признать виновной в совершении административного правонарушения, предусмотренного ст.13.11 КоАП РФ и назначить административное наказание в виде административного штрафа в размере 5000 рублей.

 Разъяснить администрации <АДРЕС> района,  что  в соответствии с ч.1, ч.3 и  ч.5 ст. 32.2 КоАП РФ административный штраф должен быть уплачен лицом, привлеченным к административной ответственности, не позднее шестидесяти дней со дня вступления постановления о наложении административного штрафа в законную силу либо со дня истечения срока отсрочки или срока рассрочки, предусмотренных статьей 31.5  настоящего Кодекса.

Сумма административного штрафа вносится или переводится лицом, привлеченным к административной ответственности, в кредитную организацию, в том числе с привлечением банковского платежного агента или банковского платежного субагента, осуществляющих деятельность в соответствии с Федеральным законом  "О национальной платежной системе", организацию федеральной почтовой связи либо платежному агенту, осуществляющему деятельность в соответствии с Федеральным законом от <ДАТА19> N 103-ФЗ "О деятельности по приему платежей физических лиц, осуществляемой платежными агентами".

При отсутствии документа, свидетельствующего об уплате административного штрафа, и информации об уплате административного штрафа в Государственной информационной системе о государственных и муниципальных платежах, по истечении срока, указанного в части 1 настоящей статьи, судья, орган, должностное лицо, вынесшие постановление, направляют в течение десяти суток постановление о наложении административного штрафа с отметкой о его неуплате судебному приставу-исполнителю для исполнения в порядке, предусмотренном федеральным законодательством. Кроме того, должностное лицо федерального органа исполнительной власти, структурного подразделения или территориального органа, иного государственного органа, рассмотревших дело об административном правонарушении, либо уполномоченное лицо коллегиального органа, рассмотревшего дело об административном правонарушении, составляет протокол об административном правонарушении, предусмотренном частью 1 статьи 20.25 настоящего Кодекса, в отношении лица, не уплатившего административный штраф. Протокол об административном правонарушении, предусмотренном частью 1 статьи 20.25 настоящего Кодекса, в отношении лица, не уплатившего административный штраф по делу об административном правонарушении, рассмотренному судьей, составляет судебный пристав-исполнитель.

     Постановление  может быть обжаловано в течение десяти суток со дня вручения или получения копии постановления в <АДРЕС> районный суд через судебный участок <НОМЕР> <АДРЕС> судебного района <АДРЕС> области.

Мировой судья                                                       А.В. Шпаков

  • р/с по зачислению доходов УФК по <АДРЕС> области 40101810300000010008 в Отделение Брянск, БИК 041501001;

- реквизиты администратора доходов: Прокуратура <АДРЕС> области

  • л/счет 04271435280
  • ИНН <НОМЕР>
  • К1111325701001
  • ОКТМО 15701000
  • КБК 415 1 16 90010 01 6000 140 «Прочие поступления от денежных взысканий (штрафов) и иных сумм в возмещение ущерба, зачисляемые в федеральный бюджет»

    Источник:http://58.brj.msudrf.ru/modules.php?name=sud_delo&op=sd&number=663507&delo_id=1500001

Информация по делу
Статьи
ст. 13.11 КоАП РФ
Суд
Мировой судья судебного участка №58 Унечского судебного района Брянской области
Судья
Шпаков А.В.
Дата решения
2015-10-06
Категории
Поручение обработки
Уведомление
Согласие
Обязанность оператора
Неожиданные решения
Порядок хранения
Другие дела из подобных
категорий:

Несоответствие формы согласия требованиям закона, поручение обработки без согласия субъекта, обработка избыточных данных

Размещение на сайте статьи, содержащей персональные данные субъекта

Отсутствие политики и согласий на распространение

Предоставление характеристики третьему лицу

Невыполнение образовательной организацией некоторых обязанностей, предусмотренных законом

Публикация в газете статьи, содержащей персональные данные субъекта без его согласия

Несоблюдение Оператором обязательных требований при заключении договора аутсорсинга

Нарушения законодательства о персональных данных в процессе деятельности образовательного учреждения

Направление субъекту персональных данных письма рекламного характера без его предварительного согласия

Хранение оригиналов паспортов иностранных граждан

Невыполнение обязанности по соблюдению условий, обеспечивающих сохранность персональных данных

Обработка персональных данных физических лиц - соискателей с нарушением законодательства

Размещение персональных данных члена профсоюза в социальной сети "Одноклассники"

Отсутствие политики на сайте образовательной организации

Невыполнение Оператором обязательных требований законодательства в области персональных данных