Решение по административному делу

Дело № 5-1157/16-9

П О С Т А Н О В Л Е Н И Е

по делу об административном правонарушении

г. Смоленск                                                      «15» ноября 2016 года

Мировой судья судебного участка № 9 в г. Смоленске<ФИО1>

при секретаре <ФИО2>,

рассмотрев материалы дела об административном правонарушении в отношении <ФИО3>, <ДАТА2> рождения, уроженца <АДРЕС>,  зарегистрированного по адресу: г<АДРЕС>, заместителя директора филиала «<АДРЕС> по безопасности <АДРЕС>), привлекаемого по ст. 13.11 КоАП РФ,

У с т а н о в и л:

 В отношении <ФИО3> представлено постановление о возбуждении дела об административном правонарушении от 25.10.2016 года, из которого следует, что 25.10.2016<ДАТА>  Прокуратурой Промышленного района г. Смоленска установлено, что <ФИО3>, являясь должностным лицом - заместителем директора филиала «<АДРЕС> по безопасности, при осуществлении деятельности нарушил нормы действующего законодательства о персональных данных, тем самым совершил административное правонарушение, предусмотренное ст.13.11  КоАП РФ.

 Привлекаемый <ФИО3>, в присутствии своего представителя <ФИО4>, в ходе судебного заседания   вину в совершении административного правонарушения не оспаривал, суду пояснил, что в настоящее время нарушения законодательства о персональных данных устранены. Просит строго не наказывать.

 Помощник  прокурора Промышленного района г. Смоленска <ФИО5> в ходе судебного заседания подтвердила доводы, изложенные в постановлении о возбуждении дела об административном правонарушении от 25.10.2016 года, и пояснила суду, что Прокуратурой Промышленного района г. Смоленска установлено следующее.  Приказом филиала «<АДРЕС> от 20.11.2015 № 148-ахд «О введении режима обработки и защиты персональных данных» утверждено и введено в действие Положение об обработке персональных данных филиала «<АДРЕС> которое регламентирует порядок и последовательность обработки персональных данных, их хранение и уничтожение, порядок допуска к обработке персональных данных, порядок передачи, порядок работы с материальными носителями информации, содержащими персональные данные. Между тем, согласно листам ознакомления следует, что сотрудники Ярцевского участка (16 человек), Центрального отделения (12 человек), Дорогобужского участка (9 человек), Починковского участка Южного отделения (8 человек), Озернинского участка (7 человек), Ельнинского и Глинковского участка Центрального отделения (6 человек), Холм-Жирковского участка Центрального отделения (5 человек), Велижского участка (4 человека), Духовщинского участка (2 человека), Верхнеднепровского участка (2 человека), Отдела технического контроля и режимов потребления (2 человека, начальник отдела не ознакомлен) ознакомлены с режимом обработки и защиты персональных данных в филиале «<АДРЕС> лишь 10 октября 2016 года (спустя десять месяцев после его издания), сотрудники Западного отделения (8 человек) и Краснинского участка Западного отделения (2 человека) ознакомлены с указанным приказом только в сентябре 2016 года, что является нарушением п.6 ч.1 ст.18.1 Закона. Кроме того, в филиале «<АДРЕС> отсутствуют сведения о реализации Плана мероприятий по защите персональных данных на 2015-2017 годы, утвержденного заместителем директора филиала «<АДРЕС> 14.01.2015. Так, пунктом 5 указанного Плана предусмотрено повышение квалификации сотрудников в области защиты персональных данных, которое должно проводиться постоянно. Информация о том, реализуется ли данное мероприятие на практике, в какой форме и каким образом отсутствует. Кроме того, в филиале «<АДРЕС> отсутствуют сведения и подтверждающие документы об осуществлении внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора, что является нарушением п. 4 ч. 1 ст. 18.1 Закона. Также установлено, что на официальном сайте АО «<АДРЕС> (ссылка) в рамках сервиса «Электронный счет» осуществляет сбор персональных данных граждан с использованием информационно­-телекоммуникационной сети Интернет (в части реализованной возможности скачать и заполнить размещенной на сайте бланк заявления с дальнейшем направлением его на адрес электронной почты <почта>. Поля бланка заявления, предназначенные для заполнения, предусматривают получение следующих персональных данных граждан: фамилии, имени, отчества, паспортных данных (серия, номер паспорта, сведения о выдаче), адрес, контактный телефон, номер лицевого счета, свидетельство о праве собственности, адрес электронной почты. Однако, на сайте АО «<АДРЕС> отсутствуют документы, определяющие политику в отношении персональных данных и (или) сведения о реализуемых требованиях к защите персональных данных (в нарушение ч. 2 ст. 18.1 Закона. Кроме того установлено, что в нарушение требований ч. 2 ст. 5,  ч. 4 ст. 21 Закона хранение резюме работников осуществляется в личных делах сотрудников. Пояснения относительно порядка работы с резюме претендентов, не получивших должность, не предоставлены. В то же время из справки руководителя отдела по работе с персоналом следует, что уничтожения документов в филиале не производилось, Положение об уничтожении не разработано. В филиале «<АДРЕС> используется модель угроз от 01.07.2015, которая является типовой для информационных системах персональных данных Энергосбытовых компаний и не рассчитана для конкретных информационных системах персональных данных используемых в Филиале. В нарушение пп. б п. 9 приказа ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» (далее - приказ) на основании совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак не определены с учетом типа актуальных угроз требуемый класс используемого средства криптографической защиты информации. Также, в нарушение п. 13 Постановления Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», п.п. 16-17 вышеуказанного приказа в филиале «<АДРЕС> не назначен работник, ответственный за обеспечение безопасности персональных данных в информационной системе. Просит привлечь <ФИО3> к административной ответственности по ст.13.11  КоАП РФ.

 Заслушав  привлекаемого и его представителя, помощника прокурора Промышленного района г.Смоленска <ФИО5>, изучив представленные письменные материалы, мировой судья приходит к следующему.

 Согласно статье 2.1 КоАП РФ административным правонарушением признается противоправное, виновное действие (бездействие) физического или юридического лица, за которое КоАП РФ или законами субъектов Российской Федерации об административных правонарушениях установлена административная ответственность.

 Согласно ст.13.11 КоАП РФ, нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.

 Объектом данных административных правонарушений являются общественные отношения, складывающиеся в области защиты информации. Объективная сторона правонарушений состоит в нарушении норм федерального законодательства, регулирующих вопросы работы с информацией о гражданах (персональными данными).

  Положениями ст. 23 Конституции РФ предусмотрено, что каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия согласно ч. 1 ст. 24 Конституции РФ не допускается.

 Согласно п. 1 ст. 3 Федерального закона от 27.07.2006 года N 152-ФЗ "О персональных данных" персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

 В соответствии со ст. 7 Федерального закона "О персональных данных" операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

 В соответствии п. 2 ст. 3 Федерального закона "О персональных данных" оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. При этом операторами указанные органы и лица являются независимо от включения в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор.

 Согласно ч. 1 ст. 9 Федерального закона "О персональных данных" субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

 В судебном заседании установлено, что Прокуратурой Промышленного района г. Смоленска проведена проверка по обращению начальника УФСБ России по Смоленской области о нарушении законодательства  о персональных данных филиалом «<АДРЕС> По итогам проверки   установлено следующее.

 Приказом филиала «<АДРЕС> от 20.11.2015 № 148-ахд «О введении режима обработки и защиты персональных данных» утверждено и введено в действие Положение об обработке персональных данных филиала «<АДРЕС> которое регламентирует порядок и последовательность обработки персональных данных, их хранение и уничтожение, порядок допуска к обработке персональных данных, порядок передачи, порядок работы с материальными носителями информации, содержащими персональные данные.

 Между тем, согласно листам ознакомления следует, что сотрудники Ярцевского участка (16 человек), Центрального отделения (12 человек), Дорогобужского участка (9 человек), Починковского участка Южного отделения (8 человек), Озернинского участка (7 человек), Ельнинского и Глинковского участка Центрального отделения (6 человек), Холм-Жирковского участка Центрального отделения (5 человек), Велижского участка (4 человека), Духовщинского участка (2 человека), Верхнеднепровского участка (2 человека), Отдела технического контроля и режимов потребления (2 человека, начальник отдела не ознакомлен) ознакомлены с режимом обработки и защиты персональных данных в филиале «<АДРЕС> лишь 10 октября 2016 года (спустя десять месяцев после его издания), сотрудники Западного отделения (8 человек) и Краснинского участка Западного отделения (2 человека) ознакомлены с указанным приказом только в сентябре 2016 года, что является нарушением п. 6 ч. 1 ст. 18.1 Закона.

 Кроме того, в филиале «<АДРЕС> отсутствуют сведения о реализации Плана мероприятий по защите персональных данных на 2015-2017 годы, утвержденного заместителем директора филиала «<АДРЕС> 14.01.2015г. Так, пунктом 5 указанного Плана предусмотрено повышение квалификации сотрудников в области защиты персональных данных, которое должно проводиться постоянно. Информация о том, реализуется ли данное мероприятие на практике, в какой форме и каким образом отсутствует.

 Кроме того, в филиале «<АДРЕС> отсутствуют сведения и подтверждающие документы об осуществлении внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора, что является нарушением п. 4 ч. 1 ст. 18.1 Закона.

 Также установлено, что на официальном сайте АО «<АДРЕС> (ссылка) в рамках сервиса «Электронный счет» осуществляет сбор персональных данных граждан с использованием информационно­-телекоммуникационной сети Интернет (в части реализованной возможности скачать и заполнить размещенной на сайте бланк заявления с дальнейшем направлением его на адрес электронной почты <почта>. Поля бланка заявления, предназначенные для заполнения, предусматривают получение следующих персональных данных граждан: фамилии, имени, отчества, паспортных данных (серия, номер паспорта, сведения о выдаче), адрес, контактный телефон, номер лицевого счета, свидетельство о праве собственности, адрес электронной почты. Однако, на сайте АО «<АДРЕС> отсутствуют документы, определяющие политику в отношении персональных данных и (или) сведения о реализуемых требованиях к защите персональных данных (в нарушение ч. 2 ст. 18.1 Закона.

 Установлено, что в нарушение требований ч. 2 ст. 5,  ч. 4 ст. 21 Закона хранение резюме работников осуществляется в личных делах сотрудников. Пояснения относительно порядка работы с резюме претендентов, не получивших должность, не предоставлены.

 В то же время из справки руководителя отдела по работе с персоналом следует, что уничтожения документов в филиале не производилось, Положение об уничтожении не разработано. В филиале «<АДРЕС> используется модель угроз от 01.07.2015г., которая является типовой для информационных системах персональных данных Энергосбытовых компаний и не рассчитана для конкретных информационных системах персональных данных используемых в Филиале. В нарушение пп. б п. 9 приказа ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» (далее - приказ) на основании совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак не определены с учетом типа актуальных угроз требуемый класс используемого средства криптографической защиты информации.

 В нарушение п. 13 Постановления Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», п.п. 16-17 вышеуказанного приказа в филиале «<АДРЕС> не назначен работник, ответственный за обеспечение безопасности персональных данных в информационной системе. 

 Ответственность за организацию защиты персональных данных в в филиале «<АДРЕС> возложена на должностное лицо - заместителя директора филиала «<АДРЕС> по безопасности <ФИО3>

 Вина <ФИО3> в совершении административного правонарушения подтверждается следующими доказательствами, имеющимися в деле: постановлением о возбуждении дела об административном правонарушении от 25.10.2016 года, актом по результатам проверки от 25.10.2016 года, личными пояснениями привлекаемого   и другими доказательствами по делу

 Таким образом, вина привлекаемого в совершении административного правонарушения, предусмотренного ст. 13.11 КоАП РФ, нашла свое подтверждение в судебном заседании.

 При назначении административного наказания мировой судья учитывает характер совершенного правонарушения, личность виновного, его имущественное положение, обстоятельства смягчающие и отягчающие административную ответственность.

 Обстоятельств, отягчающих административную ответственность, по делу не установлено. Смягчающими обстоятельствами являются признание вины, устранение  нарушений.

 На основании изложенного, руководствуясь ст.13.11, ст.ст.29.9, 29.10 КоАП РФ, мировой судья

П о с т а н о в и л:

 Признать должностное лицо - заместителя директора филиала «<АДРЕС> <ФИО3> виновным в совершении административного правонарушения, предусмотренного ст.13.11  КоАП РФ, и подвергнуть его административному наказанию в виде предупреждения.

 Постановление может быть обжаловано в Промышленный районный суд г.Смоленска через мирового судью судебного участка № 9 в г.Смоленске в течение 10 суток со дня вручения или получения копии постановления.

Мировой судья                                                                 <ФИО1>

Источник:http://9.sml.msudrf.ru/modules.php?name=sud_delo&op=sd&number=9686913&delo_id=1500001