ПОСТАНОВЛЕНИЕ № 5-223/2017

по делу об административном правонарушении

31 июля 2017 года                                             Город Самара

            Мировой судья судебного участка № 13 Кировского судебного района г.Самары Самарской области Русакова О.Т., с участием помощника прокурора Кировского района г.Самары А.Н., представителя <ОБЕЗЛИЧЕНО> Ф.А., рассмотрев дело № 5-223/2017 об административном правонарушении, предусмотренном ст.13.11 КоАП РФ, в отношении должностного лица - генерального директора <ОБЕЗЛИЧЕНО>  И.А., <ДАТА2> рождения, зарегистрированной по адресу: <АДРЕС>

УСТАНОВИЛ:

            Прокуратурой <АДРЕС> района г. Самара в период с <ДАТА3> по <ДАТА4> проведена проверка исполнения законодательства в сфере защиты прав субъектов персональных данных <ОБЕЗЛИЧЕНО> В ходе проведения проверки выявлены нарушения требований ч.ч.1,3 ст.6, ч.4 ст.9, ч.2 ст.18.1, ч.4 ст.21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», а именно на странице официального сайта <ОБЕЗЛИЧЕНО> (режим доступа <ОБЕЗЛИЧЕНО> при вводе персональных данных (имя, контактный телефон, е-mail адрес, адрес) отсутствует форма о согласии пользователя сайта на обработку его персональных данных в целях направления в адрес организации заявки на звонок консультанта. При выборочном осмотре личных дел работников и соискателей обнаружена анкета соискателя, которая содержит поле «Фактический состав семьи», предназначенное для внесения сведений о родственниках (степень родства, ФИО, дата рождения, место работы, телефон). Согласие на обработку персональных данных физических лиц, указанных в анкете оператором в ходе проверки не представлено, равно как и иных оснований для осуществления обработки указанных сведений. Документ, определяющий политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных на официальном сайте Управления (режим доступа: /ссылка на сайт/) не обнаружен. Также проверкой установлено, что <ОБЕЗЛИЧЕНО> поручило осуществлять обработку персональных данных третьему лицу (ООО «П***») в целях исполнения условий договора от <ДАТА6><НОМЕР> на услуги по подбору персонала и кадровое обслуживание. В договоре, заключенном между <ОБЕЗЛИЧЕНО> и ООО «П***» не определен перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, не установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также не указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона <НОМЕР>. Таким образом, в ходе проверки установлено несоблюдение <ОБЕЗЛИЧЕНО> требований ч.3 ст.6 Федерального закона <НОМЕР>. Лицом, ответственным за организацию обработки персональных данных в <ОБЕЗЛИЧЕНО> является генеральный директор организации И.А. (приказ от <ДАТА7><НОМЕР>). Таким образом в действиях должностного лица усматривается состав административного правонарушения, предусмотренного ст.13.11 КоАП РФ.

В судебном заседании представитель <ОБЕЗЛИЧЕНО>  Ф.А., действующий на основании доверенности, вину в совершенном правонарушении не признал, суду пояснил, что <ОБЕЗЛИЧЕНО> не было включено Генеральной прокуратурой Российской Федерации в реестр проведения плановой выездной проверки, размещаемый на официальном сайте Генеральной прокуратуры Российской Федерации в сети «Интернет» в срок до 31 декабря текущего календарного года, как это предусмотрено ст. 9 Федерального закон от <ДАТА8> N 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля». А в соответствии с ч. 2 ст. 20 Федерального закона от <ДАТА8> N 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» это является грубым нарушением требований к организации и проведению проверок, допущение которых влечет недействительность результатов проверки. В связи с чем полагает, что в соответствии со ст. 24.5 КоАП РФ производство по делу об административном правонарушении в отношении генерального директора  И.А. должно быть прекращено в виду наличия обстоятельства, исключающего производство по делу об административном правонарушении. Согласно ст. 4 Федерального закона от <ДАТА9> N 209-ФЗ «О развитии малого и среднего предпринимательства в Российской Федерации» <ОБЕЗЛИЧЕНО> является малым предприятием, что подтверждается приложенными к настоящим возражениям сведениями о среднесписочной численности работников на <ДАТА10> за предшествующий календарный год, бухгалтерской (финансовой) отчетностью за 2015 и 2016 г.г. При вынесении постановления необходимо учесть наличие у  И.А. следующих смягчающих обстоятельств, предусмотренных ст. 4.2 КоАП РФ: добровольное прекращение противоправного поведения; предотвращение вредных последствий административного правонарушения; добровольное исполнение до вынесения постановления по делу об административном правонарушении предписания об устранении допущенного нарушения. Учитывая вышеизложенное, и то, что административное правонарушение совершено  И.А. впервые, и отсутствует причинение вреда или возникновение угрозы причинения вреда жизни и здоровью людей, объектам животного и растительного мира, окружающей среде, объектам культурного наследия (памятникам истории и культуры) народов Российской Федерации, безопасности государства, угрозы чрезвычайных ситуаций природного и техногенного характера, а также отсутствие имущественного ущерба, полагает, что в соответствии со ст.ст. 3.4 и 4.1.1 КоАП РФ, должна быть произведена замена административного наказания в виде административного штрафа, предусмотренного ст. 13.11 КоАП РФ, на предупреждение.

  Помощник прокурора Кировского района г. Самары  А.Н. в судебном заседании пояснила, что в соответствии с п. 20 ч. 3.1 ст. 1 Федерального закона от 26.12.2008 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» (далее - Федеральный закон № 294-ФЗ) положения настоящего Федерального закона, устанавливающие порядок организации и проведения проверок, не применяются также при осуществлении государственного контроля и надзора за обработкой персональных данных. В этой связи порядок, установленный статьями 9 (организация и проведение плановой проверки), 13.3 (единый реестр проверок), 14 (порядок организации проверки) не распространяется на проверки, проводимые Управлением Роскомнадзора по <АДРЕС> области, в сфере соблюдения законодательства о защите персональных данных. Таким образом, выводы <Ф.И.О.1> о незаконности проведенной Управлением Роскомнадзора по <АДРЕС> области проверки в отношении ЗАО «А***р» опровергаются нормами федерального законодательства. Кроме того, сведения о проверках, проводимых Управлением Роскомнадзора по <АДРЕС> области в рамках осуществления государственного контроля и надзора за обработкой персональных данных, содержатся в плане деятельности Управления Роскомнадзора по <АДРЕС> области в 2017г., утвержденном приказом Управления от 14.11.2016 № 179 и размещенном на официальном сайте Управления (режим доступа: <ОБЕЗЛИЧЕНО>). Так, информация о проведении государственного контроля (надзора) за соответствием деятельности ЗАО «А***р» как оператора, осуществляющего обработку персональных данных, требованиям законодательства Российской Федерации в области персональных данных содержится в разделе 5 означенного плана. С учетом изложенного, Управление Роскомнадзора по <АДРЕС> области при проведении плановой выездной проверки по контролю за соблюдением требований законодательства Российской Федерации в области персональных данных в отношении ЗАО «А***р» действовало в рамках имеющихся полномочий с соблюдением требований федерального законодательства. Просила признать юридическое лицо виновным в совершении административного правонарушения, предусмотренного ст. 13.11 КоАП РФ в редакции КоАП РФ <НОМЕР> от <ДАТА12>, действовавшей на дату правонарушения, вступившую в законную силу <ДАТА13> и назначить наказание в виде административного штрафа.

Мировой судья, выслушав помощника прокурора <АДРЕС> района <АДРЕС>       А.Н., заслушав пояснения представителя <ОБЕЗЛИЧЕНО>  Ф.А., исследовав материалы дела, приходит к следующему.

Положениями ст. 23 Конституции РФ предусмотрено, что каждый гражданин имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия согласно ч. 1 ст. 24 Конституции РФ не допускается.

В соответствии со ст.24.1 КоАП РФ задачами производства по делам об административных правонарушениях являются всестороннее, полное, объективное и своевременное выяснение обстоятельств каждого дела, разрешение его в соответствии с законом, обеспечение исполнения вынесенного постановления, а также выявление причин и условий, способствовавших совершению административных правонарушений.

В силу ст.26.2 КоАП РФ доказательствами по делу об административном правонарушении являются любые фактические данные, на основании которых судья, орган, должностное лицо, в производстве которых находится дело, устанавливают наличие или отсутствие события административного правонарушения, виновность лица, привлекаемого к административной ответственности, а также иные обстоятельства, имеющие значение для правильного разрешения дела. Эти данные устанавливаются протоколом об административном правонарушении, иными протоколами, предусмотренными настоящим Кодексом, объяснениями лица, в отношении которого ведется производство по делу об административном правонарушении, показаниями потерпевшего, свидетелей, заключениями эксперта, иными документами, а также показаниями специальных технических средств, вещественными доказательствами.

Согласно ст.26.11 КоАП РФ судья, члены коллегиального органа, должностное лицо, осуществляющие производство по делу об административном правонарушении, оценивают доказательства по своему внутреннему убеждению, основанному на всестороннем, полном и объективном исследовании всех обстоятельств дела в их совокупности. Никакие доказательства не могут иметь заранее установленную силу.

Согласно ч. 1 ст. 1 Федерального закона от 27.07.2006г. № 152- ФЗ «О персональных данных» (далее - Федеральный закон № 152- ФЗ) настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее - государственные органы), органами местного самоуправления, иными муниципальными органами (далее - муниципальные органы), юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.

В силу п. 3 ст. 3 Федерального закона от 27.07.2006г. № 152- ФЗ «О персональных данных» обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

В соответствии с п. 2 ст. 3  Федерального закона от 27.07.2006г. № 152- ФЗ «О персональных данных» оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Положениями п. 1 ч. 1 ст. 6 Федерального закона от 27.07.2006г. № 152- ФЗ установлено, что обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом и допускается в случае, если обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.

В силу ч.1 ст.9 Федерального закона № 152-ФЗ субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.

Согласно ч.3 ст.9 Федерального закона № 152-ФЗ обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия иных оснований, предусмотренных настоящим Федеральным законом возлагается на оператора.

В соответствии с ч.2 ст.18.1 Федерального закона № 152-ФЗ оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

Согласно ч.3 ст.6 Федерального закона № 152-ФЗ оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.

Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных), образует состав административного правонарушения, предусмотренного ст. 13.11 КоАП РФ.

Объективная сторона административного правонарушения, предусмотренного ст.13.11 КоАП РФ, выражается в нарушении установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).

Согласно Положению об Управлении Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по <АДРЕС> области, утвержденного Приказом Роскомнадзора от <ДАТА15><НОМЕР> Управление обладает полномочиями в сфере персональных данных,  в том числе ведет реестр операторов, осуществляющих обработку персональных данных.

Мировым судьей установлено, что Прокуратурой <АДРЕС> района г. Самара в период с <ДАТА3> по <ДАТА4> проведена проверка исполнения законодательства в сфере защиты прав субъектов персональных данных <ОБЕЗЛИЧЕНО> В ходе проведения проверки выявлены нарушения требований ч.ч.1,3 ст.6, ч.4 ст.9, ч.2 ст.18.1, ч.4 ст.21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», а именно на странице официального сайта <ОБЕЗЛИЧЕНО> (режим доступа <ОБЕЗЛИЧЕНО> при вводе персональных данных (имя, контактный телефон, е-mail адрес, адрес) отсутствует форма о согласии пользователя сайта на обработку его персональных данных в целях направления в адрес организации заявки на звонок консультанта. При выборочном осмотре личных дел работников и соискателей обнаружена анкета соискателя, которая содержит поле «Фактический состав семьи», предназначенное для внесения сведений о родственниках (степень родства, ФИО, дата рождения, место работы, телефон). Согласие на обработку персональных данных физических лиц, указанных в анкете оператором в ходе проверки не представлено, равно как и иных оснований для осуществления обработки указанных сведений. Документ, определяющий политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных на официальном сайте Управления (режим доступа: /ссылка на сайт/) не обнаружен. Также проверкой установлено, что <ОБЕЗЛИЧЕНО> поручило осуществлять обработку персональных данных третьему лицу (ООО «П***») в целях исполнения условий договора от <ДАТА6><НОМЕР> на услуги по подбору персонала и кадровое обслуживание. В договоре, заключенном между <ОБЕЗЛИЧЕНО> и ООО «П***» не определен перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, не установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также не указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона № 152-ФЗ. Таким образом, в ходе проверки установлено несоблюдение <ОБЕЗЛИЧЕНО> требований ч.3 ст.6 Федерального закона № 152-ФЗ. Лицом, ответственным за организацию обработки персональных данных в <ОБЕЗЛИЧЕНО> является генеральный директор организации  И.А. (приказ от <ДАТА7><НОМЕР>). Таким образом, в действиях должностного лица усматривается состав административного правонарушения, предусмотренного ст.13.11 КоАП РФ (в редакции <НОМЕР> от <ДАТА12>, действовавшей на дату правонарушения, вступившей в законную силу <ДАТА13>)

Вина И.А. в совершении административного правонарушения, предусмотренного ст.13.11 КоАП РФ, подтверждается следующими доказательствами, исследованными мировым судьей:

- постановлением заместителя прокурора Кировского района г. Самары               <Ф.И.О.2> о возбуждении дела об административном правонарушении в отношении юридического лица - <ОБЕЗЛИЧЕНО> от <ДАТА16>,

- копией приказа о проведении плановой выездной проверки от <ДАТА17><НОМЕР>

- уведомлением о проведении плановой выездной проверки <ОБЕЗЛИЧЕНО> от <ДАТА17>;

- копией приказа о внесении изменений в приказ от <ДАТА17><НОМЕР> «О проведении плановой выездной проверки» от <ДАТА19><НОМЕР>

- актом проверки <ОБЕЗЛИЧЕНО> от <ДАТА20>, согласно которому в ходе проведения проверки выявлены нарушения требований ч.ч.1,3 ст.6, ч.4 ст.9, ч.2 ст.18.1, ч.4 ст.21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;

- справкой о результатах плановой выездной проверки <ОБЕЗЛИЧЕНО>

- предписанием об устранении выявленного нарушения от <ДАТА20>;

- копией образца заявления о согласии на передачу персональных данных третьим лицам;

- копией образца согласия на обработку персональных данных;

- копией договора <НОМЕР> на услуги по подбору персонала и кадровое обслуживание от <ДАТА6>;

- копией дополнительного соглашения <НОМЕР> к договору на услуги по подбору персонала и кадровое обслуживание от <ДАТА23> г.;

- копией дополнительного соглашения <НОМЕР> к договору на услуги по подбору персонала и кадровое обслуживание от <ДАТА24> г.;

- копией дополнительного соглашения <НОМЕР> к договору на услуги по подбору персонала и кадровое обслуживание от <ДАТА25> г.;

- копией дополнительного соглашения <НОМЕР> к договору на услуги по подбору персонала и кадровое обслуживание от <ДАТА26> г.;

- копией дополнительного соглашения <НОМЕР> к договору на услуги по подбору персонала и кадровое обслуживание от <ДАТА27> г.;

- копией дополнительного соглашения <НОМЕР> к договору на услуги по подбору персонала и кадровое обслуживание от <ДАТА28> г.;

- скриншотами страниц /К***/ корпорация;

- приказом <НОМЕР> от <ДАТА7> о назначении на генерального директора  И.А. ответственной за обработку персональных данных в <ОБЕЗЛИЧЕНО>

- приказом ООО «П***» <НОМЕР> от <ДАТА29>

- приказом <НОМЕР> от <ДАТА30> о назначении на должность генерального директора <ОБЕЗЛИЧЕНО>  И.А.

Таким образом, оценивая относимость, допустимость, достоверность каждого доказательства в отдельности, а также достаточность и взаимную связь доказательств и в их совокупности, мировой судья приходит к выводу о том, что в действиях ответственного за обработку персональных данных  И.А. содержатся признаки состава административного правонарушения, предусмотренного ст.13.11 КоАП РФ (в редакции <НОМЕР> от <ДАТА12>) - нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).

При назначении административного наказания мировой судья учитывает характер совершенного административного правонарушения, личность виновного лица, обстоятельства смягчающие и отягчающие административную ответственность.

Обстоятельством, смягчающим административную ответственность в соответствии со ст.4.2 КоАП РФ, мировой судья признает совершение  И.А. подобного административного правонарушения впервые.

Обстоятельств, отягчающих административную ответственность в соответствии со ст.4.3 КоАП РФ, мировым судьей  не установлено. 

Обстоятельств, исключающих производство по делу об административном правонарушении, мировым судьей не установлено.

На основании изложенного и руководствуясь ст.ст. 23.1, 29.7, 29.9, 29.10, 29.11 КоАП РФ, мировой судья

ПОСТАНОВИЛ:

Признать И.А. виновной в совершении административного правонарушения, предусмотренного ст.13.11 КоАП РФ, и назначить ей наказание в виде предупреждения.

Постановление может быть обжаловано в Кировский районный суд г. Самары через мирового судью судебного участка № 13 Кировского судебного района г. Самары в течение 10 суток со дня вручения или получения копии постановления.

Мировой судья                                                                                            О.Т.Русакова

Источник: http://13.sam.msudrf.ru/modules.php?name=sud_delo&op=sd&number=75619024&case_number=5-223/2017&delo_id=1500001