Судебная практика

5-5/17

 

ПОСТАНОВЛЕНИЕ

 

г. Мурманск                                                  12 января 2017 года.

 

            Мировой судья судебного участка № 3 Октябрьского судебного района г.Мурманска Ватанский Н.В., в помещении судебного участка ул. Тарана, д.6, рассмотрев дело об административном правонарушении, предусмотренном ст. 13.11 Кодекса РФ об административных правонарушениях в отношении индивидуального предпринимателя

Е.А.1, <ДАТА2> рождения, уроженки <АДРЕС>, зарегистрированной и проживающей по адресу: <АДРЕС>,  

 

У С Т А Н О В И Л:

Прокуратурой Октябрьского административного округа г. Мурманска проведена проверка по обращению Уполномоченного по правам ребенка в Мурманской области  по вопросу наличия в действиях <ОБЕЗЛИЧЕНО> Е.А.1 состава административного правонарушения, предусмотренного статьей 13.11 КоАП РФ.

В ходе проведенной проверки установлено, что в деятельности <ОБЕЗЛИЧЕНО>  Е.А.1 допущены нарушения законодательства Российской Федерации о персональных данных, а именно между <ОБЕЗЛИЧЕНО>  Е.А.1 МБОУ г. Мурманска «<НОМЕР>» заключен договор <НОМЕР> от 16.09.2016 года на установку и обслуживание систем контроля и управления доступом (далее - СКУД).

В соответствии с п.1.5. договора <НОМЕР> от 16.09.2016 года между <ОБЕЗЛИЧЕНО>  Е.А.1 и родителями (законными представителями) учащихся заключается абонентский договор, согласно которому абонент обеспечивается бесконтактной картой доступа к СКУД и оплачивает предоставление услуг по СМС - информированию (далее- договор).

В рамках договора от 16.09.2016 года <НОМЕР><ОБЕЗЛИЧЕНО> поручает обработку персональных данных МБОУ г. Мурманска «<НОМЕР>».

Установлено, что в нарушение пункта 3 статьи 6 Федерального закона № 152-ФЗ, в поручении <ОБЕЗЛИЧЕНО> не определены перечень действий (операций) с персональными данными, которые будут совершаться МБОУ г. Мурманска «<НОМЕР>» обеспечивать безопасность персональных данных при их обработке, а также не указаны требования со ст.19 Федерального закона №152-ФЗ. Проверка также показала, что договор абонентского обслуживания содержит в себе письменное согласие субъекта персональных данных на обработку его персональных данных, содержание которого не соответствует требованиям законодательства Российской Федерации, а именно в договоре отсутствует - адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе; способ отзыва согласия субъекта персональных данных, чем нарушена часть 4 статьи 9 Федерального закона №152-ФЗ. В соответствии с Приложением №2 к Договору на выпуск карты доступа <ОБЕЗЛИЧЕНО> осуществляет обработку биометрических персональных данных субъекта персональных данных (фотография), используемых для установления личности субъекта персональных данных. Содержание письменного согласия субъекта персональных данных на обработку его персональных данных, приложенного в договоре, не соответствие части 1 статьи 11 Федерального закона №152-ФЗ.

В ходе проведения проверки <ОБЕЗЛИЧЕНО> не представлены документы подтверждающие осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону №152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике <ОБЕЗЛИЧЕНО> в отношении обработки персональных данных, локальным актам <ОБЕЗЛИЧЕНО>, чем нарушен п.4 ч.1 ст.18.1 Федерального закона №152-ФЗ.

Кроме того, <ОБЕЗЛИЧЕНО> осуществляет сбор персональных данных в информационно- телекоммуникационной сети Интернет с использованием форм на официальном сайте <ОБЕЗЛИЧЕНО>). <ОБЕЗЛИЧЕНО> не опубликован в соответствующей информационно -телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также не обеспечена возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети, чем нарушена ч.2 ст.18.1 Федерального закона №152-ФЗ. Согласно части 1 статьи 1 Федерального закона от 27.07.2006 года №152-ФЗ «О персональных данных» (далее Федеральный закон №152-ФЗ), настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее - государственные органы), органами местного самоуправления, иными муниципальными органами (далее - муниципальные органы), юридическими лицами и физическими лицами сиспользованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным. Согласно статьи 2 Федерального закона №152-ФЗ, целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Согласно частей 1,3 статьи 3 Федерального закона №152-ФЗ, под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Согласно части 1 статьи 6 Федерального закона №152-ФЗ, обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. В силу части 3 статьи 6 Федерального закона №152-ФЗ, оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона. Частью 4 статьи 9 Федерального закона №152-ФЗ предусмотрено, что обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности: фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе; перечень персональных данных, на обработку которых дается согласие субъекта персональных данных; перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных. Согласно части 1 статьи 11 Федерального закона №152-ФЗ, сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи. Пунктом 4 части 1 статьи 18.1 Федерального закона №152-ФЗ, установлено, что . оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам могут, в частности, относиться осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора. В соответствии с частью 2 статьи 18.1 Федерального закона №152-ФЗ, оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональныхданных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

<ОБЕЗЛИЧЕНО>  Е.А.1 не приняты меры, необходимые и достаточные для выполнения обязанностей, предусмотренных Федеральным законом №152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами.

 Таким образом, в действиях <ОБЕЗЛИЧЕНО>  Е.А.1 мировой судья усматривает состав административного правонарушения, ответственность за которое предусмотрена ст. 13.11 Кодекса об административных правонарушениях РФ - нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).

В судебном заседании  Е.А.1 после разъяснения прав, предусмотренных статьей 25.1 Кодекса РФ об административных правонарушениях, положений статьи 51 Конституции РФ, пояснила, что с правонарушением согласна, в содеянном раскаивается. Нарушения, установленные в рамках проверки ей устраняются, разработано дополнительное соглашение к договору.

В судебном заседании помощник прокурора Октябрьского АО г. Мурманска <ФИО2> полагала, что в действиях  <ОБЕЗЛИЧЕНО>  Е.А.1 имеется состав административного правонарушения, предусмотренного ст. 13.11 КоАП РФ.

Мировой судья, выслушав помощника прокурора, изучив материалы дела об административном правонарушении, приходит к выводу о доказанности вины <ОБЕЗЛИЧЕНО>  Е.А.1 в совершении административного правонарушения, предусмотренного ст.13.11.КоАП РФ, что подтверждается представленными суду материалами административного дела: постановлением о возбуждении дела об административном правонарушении от 16.12.2016 года;  обращением Уполномоченного по правам ребенка в Мурманской области от 17.11.2016 года № 03-12/3950-БК в адрес и.о. прокурора Октябрьского округа г. Мурманска; обращением от 16.11.2016 года № 03-12/1436 в адрес Уполномоченного по правам ребенка в Мурманской области; копией договора абонентского обслуживания; копией заявления на выпуск карты доступа; копией справки помощника прокурора Октябрьского округа г. Мурманска от 19.12.2016 года; письмо в адрес <ОБЕЗЛИЧЕНО>  Е.А.1 от 15.12.2016 года №2-2593ж-2016; копией свидетельства о государственной регистрации физического лица в качестве <ОБЕЗЛИЧЕНО> от <ДАТА10> года; копией листа записи <ОБЕЗЛИЧЕНО> от <ДАТА11> года; копией налоговой декларации от <ДАТА12> года; копией лицензионного договора <НОМЕР> от <ДАТА13> года; копией договора <НОМЕР> ОТ 16.09.2016 года с приложением; копией договора абонентского обслуживания от <ДАТА14> с <ФИО3>, с <ФИО4>, с <ФИО5>.; копией заявления на выпуск карты доступа от 17.11.2016 года; копией договора от 17.11.2016 года; скриншотами; объяснениями <ОБЕЗЛИЧЕНО>  Е.А.1 от 14.12.2016 года; положением о защите персональных данных получаемых <ОБЕЗЛИЧЕНО>  Е.А.1 (абонентов проекта «Безопасная школа»); типовой таблицей для учета абонентов; заявлением об уничтожении персональных данных; объяснениями  Е.А.1 от 12.12.2016 года.

Оценив представленные в материалах дела доказательства, мировой судья приходит к выводу, что они объективно подтверждают событие административного правонарушения и свидетельствуют о виновности <ОБЕЗЛИЧЕНО>  Е.А.1 в его совершении.

Протокол об административном правонарушении и прилагаемые к нему материалы составлены надлежащим образом, получены с соблюдением требований закона, являются допустимыми.

При определении вида наказания, мировой судья учитывает характер совершенного правонарушения, смягчающие административную ответственность обстоятельства, отсутствие отягчающих административную ответственность обстоятельств и приходит к выводу о назначении наказания в виде предупреждения.

На основании ст.13.11 Кодекса РФ об административных правонарушениях и руководствуясь ст.ст.29.9, 29.10 Кодекса РФ об административных правонарушениях, мировой судья

П О С Т А Н О В И Л:

Признать виновным и привлечь <ОБЕЗЛИЧЕНО> Е.А.1 к административной ответственности по статье 13.11 Кодекса РФ об административных правонарушениях и назначить административное наказание в виде предупреждения.

Постановление может быть обжаловано в Октябрьский районный суд г. Мурманска через мирового судью судебного участка № 3 Октябрьского судебного района города Мурманска в течение 10 дней со дня вручения или получения копии постановления.

 

Мировой судья                                                        Н.В. Ватанский

 

Источник: http://3oct.mrm.msudrf.ru/modules.php?name=sud_delo&op=sd&number=26375067&case_number=5-5/2017&delo_id=1500001

Информация по делу
Статьи
13.11 КоАП РФ
Суд
Судебный участок № 3 Октябрьского судебного района г.Мурманска
Судья
Ватанский Н.В.
Дата решения
2017-01-12
Категории
Сайт
Принятие мер, предусмотренных законом
Согласие
Биометрия
Предоставление
Локальные акты оператора
Политика
Другие дела из подобных
категорий:

Должностное лицо ТСЖ, не имея законных оснований, разместило на сайте предприятия документ, содержащий персональные данные физических лиц (субъектов ПДн).

Оператор ПДн привлечен к ответственности за неисполнение своих обязанностей по обеспечению безопасности обрабатываемых персональных данных

Неопубликование документа, определяющего политику оператора в отношении обработки персональных данных, содержащего сведения о реализуемых требованиях к защите персональных данных

Отсутствие в свободном доступе (в.т.ч. на сайте) Политики в отношении обработки персональных данных

Передача персональных данных жильцов третьему лицу без их согласия путем использования Автоматизированной информационной системы

Отсутствие согласия при оказании образовательных услуг по договору

Нарушения при обработке персональных данных работников

Сообщение в статье (СМИ) персональных данных субъекта

Сбор персональных данных на сайте в отсутствие политики

Размещение персональных данных субъекта на информационной доске СНТ

Непринятие мер по выполнению обязанностей, предусмотренных ФЗ "О персональных данных"

На сайте ООО отсутствуют документы, определяющие политику

При проверке выявлены нарушения правил обработки

Политика Общества в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных не опубликованы

Не принят локальный акт, устанавливающий порядок хранения и использования персональных данных работников организации