Судебная практика

Решение по административному делу

   Дело № 5-8090/16

ПОСТАНОВЛЕНИЕ

по делу об административном правонарушении

г. Петропавловск-Камчатский                        7 октября 2016 года                                                                         

Мировой судья судебного участка № 3 Петропавловск-Камчатского судебного района Камчатского края Домашевская Дарья Анатольевна, исполняя обязанности мирового судьи судебного участка № 5 Петропавловск-Камчатского судебного района Камчатского края, рассмотрев в открытом судебном заседании дело об административном правонарушении по ст. 13.11 КоАП РФ в отношении юридического лица

акционерного общества «Обезличено», <ОБЕЗЛИЧЕНО>,

УСТАНОВИЛ:

 Акционерное общество «Обезличено» (далее по тексту - АО «Обезличено») нарушило установленный законом порядок сбора, хранения, использования или распространения информации о гражданах (персональных данных).

 АО «Обезличено» извещено о времени и месте рассмотрения дела об административном правонарушении, защитника или законного представителя не направили, ходатайства об отложении рассмотрения дела не представили.

 В силу положений ч. 3 ст. 25.4 КоАП РФ судьёй принято решение о рассмотрении дела в отсутствие защитника и законного представителя юридического лица, привлекаемого к административной ответственности, поскольку их неявка не препятствует всестороннему, полному, объективному и своевременному выяснению обстоятельств настоящего дела и разрешению его в соответствии с законом.

 В судебном заседании помощник прокурора г. Петропавловска-Камчатского ФИО постановление о возбуждении дела об административном правонарушении поддержал.

Выслушав объяснение прокурора, изучив материалы дела об административном правонарушении, судья приходит к следующему.

Согласно постановлению о возбуждении дела об административном правонарушении от 9 сентября 2016 года, прокуратурой г. Петропавловска-Камчатского проведена проверка по информации Управления Роскомнадзора по Камчатскому краю исполнения АО «Обезличено» законодательства Российской Федерации, регламентирующего вопросы сбора, хранения или использования персональных данных.

При проверке АО «Обезличено» выявлены следующие нарушения:

- непринятие оператором мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами;

- несоответствие содержания письменного согласия субъекта персональных данных на обработку персональных данных;

- непринятие оператором, являющимся юридическим лицом, мер по назначению лица ответственного за организацию обработки персональных данных;

- несоблюдение оператором требований по информированию лиц, осуществляющих обработку персональных данных без использования средств автоматизации;

- отсутствие у оператора места хранения персональных данных (материальных носителей) перечня лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ;

- несоблюдение оператором условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;

- отсутствие у оператора документов, подтверждающих ознакомление под роспись работников и их представителей с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их права и обязанностях в этой области  (л.д. 1-4).

Достоверность указанных в постановлении о возбуждении дела об административном правонарушении от 9 сентября 2016 года обстоятельств подтверждается:

- актом проверки от 28 июля 2016 года № А-41/3/77-нд/91, и приложениям № 1 и 2, к указанному акту, согласно которым в ходе проведенной Управлением Роскомнадзора по Камчатскому краю проверки АО «Обезличено» выявлены нарушения обязательных требований ч. 4 ст. 9, ч. 1 ст. 18.1, ч.1 ст. 22.1 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее - Федеральный закон), п.п. 6, 13, 15 постановления Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», п. 8 ст. 86 Трудового кодекса РФ (л.д. 11-14, 15-16, 24-38).

- приказом о проведении плановой выездной проверки от 27 июня 2016 года № 77-нд в отношении АО «Обезличено» (л.д. 17-21). - предписанием от 28 июля 2016 года № П-41/3/77-нд/-/1/17 должностного лица Управления Роскомнадзора, которым АО «Обезличено» предлагалось в срок до 29 августа 2016 года устранить выявленные нарушения законодательства Российской Федерации, регламентирующего вопросы сбора, хранения или использования персональных данных (л.д. 39-40). - уставом АО «Обезличено», утвержденным решением единственного акционера 22 мая 2015 года (л.д.41-51).

- договором о передаче полномочий единоличного исполнительного органа Дочернего предприятия Закрытого акционерного общества «Обезличено» управляющей компании - обществу с ограниченной ответственностью «Обезличено» (далее - Договор) от 1 сентября 2010 года, дополнительным соглашением № 10 к указанному договору, согласно которым управляющему обществу поручена обработка персональных данных сотрудников в целях бухгалтерского и кадрового учета (л.д. 53-73, 74, 75). - положением о защите персональных данных работников АО «Обезличено», предусматривающим, что обработка персональных данных работников осуществляется непосредственно Оператором (отделом кадров) (л.д. 76-84). - приложение № 1 Письменное согласие работника на получение его персональных данных у третьей стороны (л.д. 85-86). -приложение № 3 Письменное согласие работника на передачу его персональных данных третьей стороне (л.д. 87-88). - приложение № 4 Согласие на обработку персональных данных (л.д. 89-90).- приложение № 5 Акт приема-передачи документов, содержащих персональные данные работника (л.д. 91).

- листом ознакомления с Положением о защите персональных данных, в котором отсутствуют сведения об ознакомлении работников Службы безопасности и режима Общества, непосредственно осуществляющих обработку персональных данных, с Положениями законодательства РФ о персональных данных, локальными актами Оператора по вопросам обработки персональных данных (л.д. 92).

- структурой управления АО «Обезличено» и штатным расписанием (л.д. 93, 94-102). - приказом об утверждении Инструкции о контрольно-пропускном и внутри-объектовом режимах на объектах АО «Обезличено» (л.д. 103). - инструкцией о контрольно-пропускном и внутри объектовом режимах на объектах АО «Обезличено», должностной инструкции директора по безопасности и режиму Службы безопасности и режима, должностной инструкцией главного специалиста Службы безопасности и режима, из которых следует, что сотрудниками Службы безопасности и режима Общества осуществляется обработка персональных данных работников и иных лиц в целях оформления пропусков на объекты Общества, а также согласование кандидатур сотрудников при устройстве на работу в Общество (л.д. 104-118, 119-123, 124-130).

- приказом о приеме на работу <ФИО1>, заполненной формой Согласия на обработку персональных данных, заявлением о согласии работника на обработку персональных данных указанного работника (л.д. 131-133)

- приказом о приеме на работу <ФИО2>, заполненной формой Согласия на обработку персональных данных, заявлением о согласии работника на обработку персональных данных, направлением на предварительный (периодический) медицинский осмотр, заключением по результатам предварительного (периодического) медицинского осмотра указанного работника (л.д. 134-140)

- листком ознакомления с Федеральным законом от 27 июля 2006 года № 152- ФЗ «О персональных данных» (л.д. 141).

 Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Закон) регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее - государственные органы), органами местного самоуправления, иными муниципальными органами (далее - муниципальные органы), юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.

 Согласно ст. 3 Закона персональные данные - это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); распространение персональных данных - это действия, направленные на раскрытие персональных данных неопределенному кругу лиц; оператором является, в том числе, юридическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными; обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

 В соответствии с ч. 4 ст. 9 Закона в случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности: 1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе; 2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных); 3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных; 4) цель обработки персональных данных; 5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных; 6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу; 7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных; 8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом; 9) подпись субъекта персональных данных.

 В соответствии с ч. 1 ст. 22.1 Закона оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных.

 Постановлением Правительства РФ от 15 сентября 2008 года N 687 утверждено Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации". Согласно п. 6 названного Положения лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии). В силу п. 13 Положения обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ. Пунктом 15 Положения установлено, что при хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором. Согласно п. 8 ст. 86 Трудового кодекса Российской Федерации от 30.12.2001 N 197-ФЗ работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области. Согласно ч. 2 ст. 2.1 КоАП РФ юридическое лицо признается виновным в совершении административного правонарушения, если будет установлено, что у него имелась возможность для соблюдения правил и норм, за нарушение которых указанным Кодексом предусмотрена административная ответственность, но данным лицом не были приняты все зависящие от него меры по их соблюдению.

Каких-либо объективных доказательств, свидетельствующих о том, что на момент совершения административного правонарушения юридическое лицо не имело возможности для соблюдения правил и норм, за нарушение которых оно привлекается к административной ответственности, суду не представлено.

Оценив все имеющиеся доказательства и обстоятельства дела в их совокупности, судья приходит к выводу о том, что вина АО «Обезличено» в совершении административного правонарушения доказана полностью и квалифицирует его действия по ст. 13.11 КоАП РФ - нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).

Обстоятельств, смягчающих либо отягчающих административную ответственность, не имеется.   

При назначении административного наказания, определяя его размер, судья учитывает характер совершённого правонарушения, имущественное и финансовое положение юридического лица, и приходит к выводу, что для достижения целей административного наказания - предупреждения совершения новых правонарушений, юридическому лицу следует назначить наказание в пределах санкции ст. 13.11 КоАП РФ.

Руководствуясь ст.ст. 4.1, 29.9-29.11 КоАП РФ, судья

ПОСТАНОВИЛ:

Признать акционерное общество «Обезличено» виновным в совершении административного правонарушения, предусмотренного ст. 13.11 КоАП РФ, и назначить ему наказание в виде административного штрафа в размере 5 000 рублей.

Постановление может быть обжаловано в Петропавловск-Камчатский городской суд Камчатского края в течение 10 суток со дня вручения или получения его копии.

Получатель штрафа:

Управление Федерального казначейства по Камчатскому краю (Управление Роскомнадзора по Камчатскому краю)

Р/счет 40101810100000010001 в ГРКЦ ГУ Банка России по Камчатскому краю г. Петропавловск-Камчатский

ИНН 4101097050

КПП 410101001 ОКАТО 30401000000

БИК 043002001

Код платежа 09611690040040000140

Мировой судья                                              подпись                                               

Верно

Мировой судья                                                   Д.А. Домашевская

http://3.kmch.msudrf.ru/modules.php?name=sud_delo&op=sd&number=382856&delo_id=1500001

Информация по делу
Статьи
ст. 13.11 КоАП РФ, Постановление 687; ТК РФ
Суд
Мировой судья судебного участка № 3 Петропавловск-Камчатского судебного района Камчатского края
Судья
Домашевская Д.А.
Дата решения
2016-10-07
Категории
Согласие
Обязанность оператора
Порядок хранения
Другие дела из подобных
категорий:

Сообщение в статье (СМИ) персональных данных субъекта

Допускаются нарушения законодательства о персональных данных на официальном сайте образовательного учреждения

Незаконное хранение в организации документов по личному составу ликвидированного юридического лица

Передача персональных данных учащихся без согласия их законных представителей

Обработка персональных данных после отзыва субъектом согласия на обработку его персональных данных

Не соблюдение ИП требований в части обработки персональных данных, их хранения, отсутствие согласий субъектов персональных данных на их обработку

Выражение согласия путем подписания договора

Предоставление персональных данных в силу уступки прав требования

Применение технологии распознавания лиц в г.Москве

Нарушения законодательства в области персональных данных в обществе

Обработка персональных данных при отзыве согласия

Положение о порядке обработки и обеспечения безопасности персональных данных, обрабатываемых в учреждении на официальном  сайте или стенде не размещено

В деятельности администрации выявлены нарушения

Отсутствие возможности Потребителя выразить согласие или отказать в передаче персональных данных третьим лицам

Обработка биометрических персональных данных субъекта без его письменного согласия