Дело № 5-1577/15-71

П О С Т А Н О В Л Е Н И Е

по делу об административном правонарушении

05 ноября 2015 года                                                   гор. Киров

Мировой судья судебного участка № 71 Первомайского судебного района г. Кирова Половникова Е.А., рассмотрев в помещении судебного участка, расположенного по адресу: г. Киров, ул. Преображенская, д. 3, в открытом судебном заседании дело об административном правонарушении, предусмотренном ст. 13.11 КоАП РФ в отношении директора ООО ««Наименование организации» ФИО1, <ДАТА2>,  

У С Т А Н О В И Л:

Прокуратурой Первомайского района г. Кирова по материалам проверки Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Кировской области от 26.08.2015, проведена проверка исполнения законодательства о защите персональных данных  ООО ««Наименование организации»», расположенного по адресу: <АДРЕС> в ходе которой установлено, что  ООО «Наименование организации» допускаются нарушения требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и постановления Правительства Российской Федерации о 15.09.2008 № 678 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

Как установлено по результатам проверки, наличие договоров оператора с третьими лицами на обработку персональных данных показало, что между «Наименование организации» и ООО «В***» заключён агентский договор **** от <ДАТА6>, по которому ООО «В***» обязуется принимать от населения плату за жилищно-коммунальные услуги по платёжным документам, содержащим персональные данные собственников (нанимателей) помещений, осуществлять сбор и передачу счетов-квитанций ООО «Наименование организации».

В соответствии с ч. 3 ст. 6 Закона оператор вправе поручить обработку персональных данных другому лицу на основании заключаемого с этим лицом договора. При этом в поручении оператора должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке.

Условиями данного договора не предусмотрено обязательство банка о соблюдении конфиденциальности полученных данных при обработке;

Между ООО «Наименование организации» и КОГБУЗ «*** центр» заключён договор **** от <ДАТА7> об оказании платных медицинских услуг. В рамках данного договора ООО «Наименование организации» передало КОГБУЗ «*** центр» список сотрудников для прохождения медицинского осмотра с указанием фамилии, имени, отчества сотрудника, год рождения, должность, номер медицинского полиса.

Между ООО «Наименование организации» и ООО «Ю***» <ДАТА8> заключён договор **** об осуществлении коллекторских действий, по которому ООО «Ю***» вправе совершать действия, направленные на взыскание задолженности в отношении (физических и юридических лиц) указанных в прилагаемом к договору Реестре должников.

Между ООО «Наименование организации» и ОАО «Сбербанк России» заключен договор **** от <ДАТА9>, предметом которого является оказание банком услуг по зачислению на счет оператора денежных средств с банковских счетов плательщиков или предоставленных ими без открытия банковского счета.

Данными договорами не установлена обязанность «В***», КОГБУЗ «*** центр, ООО «Ю***», ОАО «Сбербанк России» соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, таким образом, нарушены требования ч. 3 ст. 6 Закона

Вопреки требованиям ч. 4 ст. 21 Закона у оператора отсутствуют локальные акты, устанавливающие сроки хранения материальных носителей, как на бумажных, так и в электронном виде. Уничтожение документов, содержащих персональные данные, после достижения цели не производится

В нарушение требований п. 6 Положения лица, осуществляющие обработку персональных данных без использования средств автоматизации, не проинформированы о категориях обрабатываемых персональных данных, а также о правилах осуществления такой обработки.

ООО «Наименование организации» не соблюдены условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ, что является нарушением п. 15 Положения.

Приказом директора от <ДАТА10> оператор определил места хранения материальных носителей персональных данных. В ходе проверки были выявлены такие места хранения материальных носителей персональных данных, не учтенные приказом, как открытые стеллажи в кабинете директора, открытые шкафы в кабинете бухгалтерии.

У оператора отсутствуют локальные акты, определяющие все места хранения персональных данных (материальных носителей) и устанавливающие перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ, нарушающие п. 13 постановления.

Кроме того, вопреки ч. 3 ст. 18 Закона нарушены требования при обработке персональных данных, полученных от третьих лиц.

Так в ходе проверки установлено, что ООО «Наименование организации» получило от АО «***КО» список жильцов, зарегистрированных по адресу : г. Киров, ул. <АДРЕС>, 20, содержащий персональные данные. Оператором представлен протокол общего собрания собственников помещения в многоквартирном доме от <ДАТА11>, о принятии решения заключить договор управления многоквартирным домом с ООО ««Наименование организации». Договор управления многоквартирным домом по вышеуказанному адресу ООО «*** сервис» не заключало.

Оператором не представлено доказательств извещения собственников, зарегистрированных по адресу: г. Киров, ул. <АДРЕС>, 20, о начале обработки их персональных данных.

Руководство текущей деятельностью ООО ««Наименование организации» осуществляется директором.

Действия  ФИО2  квалифицированы по ст. 13.11 КоАП РФ.

ФИО2 в судебное заседание не явилась по неизвестной суду причине,  надлежащим образом о дате, месте и времени судебного заседания извещалась судом заказной корреспонденцией, ходатайств об отложении суду не представила, об уважительности причин неявки суд не информировала, в связи с чем, суд счел возможным рассмотреть дело об административном правонарушении в отсутствие лица, привлекаемого к административной ответственности.

Помощник прокурора Первомайского района ФИО3 доводы, изложенные в постановлении поддержала, полагала , что вина ФИО2 в совершении административного правонарушения полностью подтверждается собранными по делу доказательствами.

Виновность ФИО2 в совершении административного правонарушения подтверждается:

- постановлением о возбуждении производства по делу об административном правонарушении от <ДАТА12> года;

- актом проверки ООО ««Наименование организации» от 26.08.2015 года ****, подтверждающим обстоятельства административного правонарушения;

- приказом **** от <ДАТА14> о проведении внеплановой выездной проверки ООО ««Наименование организации» врио руководителя Роскомнадзора О.В.;

 - предписанием Роскомадзора об устранении выявленных нарушений **** от 26.08.2015 года;

- копией агентского договора **** от 10.02.2010, по которому ООО «В***» обязуется принимать от населения плату за жилищно-коммунальные услуги по платежным документам, содержащим персональные данные собственников (нанимателей) помещений, осуществлять сбор и передачу счетов-квитанций ООО «Наименование организации». Условиями договора не установлена обязанность «В***» соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке;

-фотоматериалами, подтверждающими, что места хранения материальных носителей персональных данных являются открытые стеллажи, расположенные в помещениях не оборудованных для этих целей.

Согласно п. 1 ст. 3 Федерального закона от 27.07.2006 года № 152-ФЗ «О персональных данных» персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

В соответствии со ст. 7 Федерального закона «О персональных данных» операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

В соответствии п. 2 ст. 3 Федерального закона «О персональных данных» оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. При этом операторами указанные органы и лица являются независимо от включения в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор.

Согласно ч. 1 ст. 9 Федерального закона «О персональных данных» субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

Положениями ст. 21 Федерального закона «О персональных данных» определено, что в случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, непревышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами (ч. 4 ст. 21).

В соответствии с ч. 3 ст. 18 Федерального закона «О персональных данных», если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 настоящей статьи, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных информацию

Согласно п. 6 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства РФ от 15.09.2008 № 687 (далее -Положение) лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии).

Пунктом 13 Положения определено, что обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

Согласно п. 14 Положения необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

В соответствии с п. 15 Положения при хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.

Согласно ст. 2.4 КоАП РФ административной ответственности подлежит должностное лицо в случае совершения им административного правонарушения в связи с неисполнением либо ненадлежащим исполнением своих служебных обязанностей. Кроме того, согласно примечанию к ст. 2.4 КоАП РФ, совершившие административные правонарушения в связи с выполнением организационно-распорядительных или административно-хозяйственных функций руководители и другие работники иных организаций, несут административную ответственность как должностные лица.

В судебном заседании установлено, что ФИО1 являясь директором ООО ««Наименование организации» нормы федерального законодательства, регулирующих вопросы работы с информацией о гражданах (персональными данными)

В соответствии со ст. 13.11 КоАП РФ нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных), влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.

Таким образом, суд приходит к мнению о наличии в действиях ФИО1 состава административного правонарушения, предусмотренного ст. 13.11 КоАП РФ, то есть нарушения установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).

Обстоятельств, смягчающих и отягчающих административную ответственность, суд не установлено.

Учитывая, что из представленных материалов следует, что  ФИО1 впервые привлекается к административной ответственности, суд приходит к мнению о применении в отношении ФИО1 административного наказания в виде предупреждения.

На основании изложенного и руководствуясь ст.ст. 3.4, 13.11, 29.10 КоАП РФ, мировой судья,

П О С Т А Н О В И Л :

Признать ФИО1 виновной в совершении административного правонарушения, предусмотренного ст. 13.11 КоАП РФ.

Назначить ФИО1 административное наказание в виде предупреждения.

Постановление может быть обжаловано в Первомайский районный суд г. Кирова в течение 10 суток со дня вручения или получения постановления путем подачи жалобы через мирового судью.

Мировой судья                                                       Е.А. Половникова

Источник: http://71.kir.msudrf.ru/modules.php?name=sud_delo&op=sd&number=7614939&delo_id=1500001