Судебная практика

Административное дело  5-2072/15

ПОСТАНОВЛЕНИЕ

20 октября 2015 года                                               г. Великий Устюг                                                                                                    

Мировой судья Вологодской области по судебному участку   26 Казаринова Т.В., рассмотрев дело об административном правонарушении, предусмотренном ст. 13.11 КоАП РФ в отношении Общества с ограниченной ответственностью «Наименование», расположенного по адресу:  ***,     

УСТАНОВИЛ:

08 сентября 2015 года в Великоустюгскую межрайонную прокуратуру из Управления Роскомнадзора по Вологодской области поступили материалы проверки о выявленных нарушениях в сфере защиты и обработки персональных данных в деятельности Общества с ограниченной ответственностью «Наименование» (ОГРН ***), расположенного по адресу: *** и являющегося оператором, осуществляющим обработку персональных данных (далее по тексту Оператор).

Согласно представленному Управлением Роскомнадзора по Вологодской области акта проверки от 20.08.2015 (проводимой в период с 19.08.2015 года по 20.08.2015 года) Общества с ограниченной ответственностью «Наименование» выявлены нарушения требований законодательства в сфере защиты и обработки персональных данных, выразившиеся в следующем.

В соответствии с п. 4 ч. 1 ст. 18.1 Федерального закона от 27.07.2006  152-ФЗ «О персональных данных» оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей. К таким мерам могут, в частности, относиться: осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора.

Так, в ООО «Наименование» локальными актами, регулирующими порядок осуществления внутреннего контроля являются: «План внутренних проверок режима защиты персональных данных ООО «Наименование» и «План мероприятий по обеспечению защиты персональных данных».

Указанные документы не содержат отметок об утверждении их уполномоченными на то лицами, дат их утверждения, подписей соответствующего лица и оттисков печати Оператора. В качестве исполнителя мероприятий по проведению внутренних проверок режима защиты персональных данных ООО «Наименование» и мероприятий по обеспечению защиты персональных данных в документах указан М. (лицо, ответственное за организацию обработки персональных данных в ООО «Наименование»). «План мероприятий по обеспечению защиты персональных данных» содержит планируемые даты проведения мероприятий и подписи об ознакомлении лица, ответственного за проведение указанных в плане мероприятий.

Вместе с тем, оператор не представил документов, подтверждающих фактическое проведение лицом, ответственным за организацию обработки персональных данных в ООО «Наименование», мероприятий по контролю и их результатов. Кроме того, Оператор не представил документов, подтверждающих факт проведения обучения работников Оператора в области защиты персональных данных и изучения требований законодательства РФ.

Таким образом, в ходе проверки Управлением Роскомнадзора по Вологодской области выявлено непринятие Оператором мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006  152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативно правовыми актами.

В нарушение ч. 3 ст. 22 Федерального закона от 27.07.2006  152-ФЗ «О персональных данных» в ООО «АН «Орбита» выявлено представление в уполномоченный орган уведомления об обработке персональных данных, содержащего неполные и (или) недостоверные сведения.

Так, ООО «Наименование» под  * включено в реестр операторов, осуществляющих обработку персональных данных, на основании Уведомления об обработке (о намерении осуществлять обработку) персональных данных от вх.  *. В ходе проверки установлено, что часть сведений, содержащихся в нем, не соответствует действительности. В частности, в Уведомлении не в полном объеме указан перечень субъектов персональных данных которые обрабатываются Оператором. Отсутствуют члены семей работников ООО «Наименование». В ходе проверки также установлено, что в перечень действий с персональными данными, осуществляемых Оператором, входит передача (распространение, предоставление, доступ) персональных данных.

В Уведомлении оператор указал, что не использует шифровальных (криптографических) средств.

Вместе с тем, в ходе проверки установлено, что между ООО «АН «Орбита» и Акционерным коммерческим Сберегательным банком РФ (в настоящее время ОАО «Сбербанк России») (далее по тексту Банк) 04.07.2007 заключен Договор  * о зачислении денежных средств на счета физических лиц в соответствии с реестрами, предоставляемыми на электронных носителях (в редакции Дополнительного соглашения  * от 03.07.2013). Согласно указанному договору Банк по поручению и за счет Оператора осуществляет зачисление денежных средств в валюте Российской Федерации на счета банковских карт- «Сбербанк- Maestro» (или на другие виды счетов банковских карт) в соответствии с расчетными документами Оператора и предоставленными Реестрами получателей денежных средств-владельцев счетов, а Оператор осуществляет регулярное перечисление денежных- средств, надлежащее оформление расчётных документов и реестров, и оплачивает услуги Банка. Реестры на зачисление денежных средств на счета физических лиц передаются Оператором банку в виде Реестров, заверенных ЭЦП Оператора, на электронных носителях (дискетах) без их последующего предоставления на бумажном носителе. На период действия договора Оператору установлены Банком программные средства, обеспечивающее изготовление конфиденциальных и открытых ключей подписи и формирование, и проверку электронной цифровой подписи - ПО SberSign. В ПО SberSign встроено средство криптографической защиты информации (СКЗИ) «Бикрипт-КСБ-М». Используется шифрование.

Между ООО «Наименование» и ООО «Компания Тензор» 09.02.2012 заключен договор  * на подключение и оказание услуг обмена электронными документами. Оператор, используя программное «СБиС++:Электронный документооборот», осуществляет передачу по сети Интернет отчетности в налоговые органы. При этом Оператором используется средство криптографической защиты (СКЗИ) «КриптоПро CSP» (версия 3.6). Используется шифрование.

В соответствии с ч. 7 ст. 22 Федерального закона от 27.07.2006  152-ФЗ «О персональных данных» в случае изменения сведений, указанных в ч. 3 данной статьи, оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.

В нарушение данного требования в ООО «Наименование» выявлено непредставление в уполномоченный орган сведений об изменении информации, содержащейся в уведомлении об обработке персональных данных.

Так, в ходе проверки было установлено, что приказом директора ООО «Наименование» фио от 10.01.2015 «О назначении ответственных лиц» лицом, ответственным за организацию обработки персональных данных в ООО «Наименование», назначен старший юрисконсульт М. ООО «Наименование» информационных писем о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных, Управления Роскомнадзора по Вологодской области не представляло. В реестре операторов, осуществляющих обработку персональных данных, отсутствуют соответствующие записи.

В нарушение ч. 4 ст. 9 Федерального закона от 27.07.2006  152-ФЗ «О персональных данных» в ООО «Наименование» выявлено несоответствие содержания письменного согласия субъекта персональных данных на обработку персональных данных требованиям законодательства Российской Федерации.

В качестве приложения к Положению от 10.01.2014 «О защите персональных данных сотрудников ООО «Наименование» директором ООО «Наименование» ФИО утверждена форма Согласия на обработку персональных данных (работника). В ходе проверки установлено, что форма Согласия на обработку персональных данных (работника), подписанные работниками Согласия на обработку персональных данных (работника), а также подписанные клиентами Согласия на обработку персональных данных (клиентов) не соответствуют требованиям законодательства Российской Федерации, а именно ч. 4 ст. 9 Федерального закона от 27.07.2006  152-ФЗ «О персональных данных».

Так, в форме Согласия на обработку персональных данных (работника) и в подписанных работниками Оператора: П. (01.11.2011), К. (18.04.2014), Ш. (02.05.2015) Согласиях на обработку персональных данных (работника) отсутствуют адрес оператора, получающего согласие субъекта персональных данных, а также срок, в течение которого действует согласие субъекта персональных данных.

В ходе проверки установлены случаи, когда третьими лицами осуществляется обработка персональных данных по поручению Оператора. При этом Согласия вышеуказанных работников Оператора на обработку персональных данных не содержат указания наименований каждого из всех третьих лиц, которым оператором поручает обработку персональных данных, а также их адресов.

Так, между ООО «Наименование» и Ф. (далее по тексту Подрядчик) 12.01.2012 заключен Договор подряда, в соответствии с которым Подрядчик оказывает Оператору услуги ежедневного предрейсового осмотра водителей - работников Оператора. При этом Оператор поручает Подрядчику обработку персональных данных своих работников - водителей. Согласие на обработку персональных данных (работника) - водителя Ш. от 02.05.2012 не содержит указания имени адреса третьего лица (Ф.), которому оператор поручил обработку персональных данных Ш.

Между ООО «Наименование» и Акционерным коммерческим Сберегательным банком РФ (в настоящее время ОАО «Сбербанк России») (далее по тексту Банк) 04.07.2007 заключен Договор  12290087 о зачислении денежных средств на счета физических лиц в соответствии с реестрами, предоставляемыми на электронных носителях (в редакции Дополнительного соглашения  * от 03.07.2013). Согласно условиям договора Оператор поручает Банку обработку персональных данных своих работников путем предоставления Реестров на зачисление денежных средств на счета физических лиц.

Между ООО «Наименование» и ООО «наименование» (далее по тексту- Страховщик) 01.04.2015 заключен договор добровольного медицинского страхования  *. В соответствии с условиями договора Оператор поручает Страховщику обработку персональных данных своих работников путем передачи списков застрахованных лиц- работников Оператора.

В представленном Оператором Согласии на обработку персональных данных (клиента) А. отсутствует указание на срок, в течение которого действует согласие субъекта персональных данных.

В нарушение ч. 3 ст. 6 Федерального закона от 27.07.2006  152-ФЗ «О персональных данных» в ООО «ФИО» выявлено отсутствие в поручении лицу, которому Оператором поручается обработка персональных данных, обязанности соблюдения конфиденциальности персональных данных о обеспечения их безопасности, а также требований к защите обрабатываемых персональных данных.

Так, между ООО «ФИО» и Ф. (далее по тексту Подрядчик) 12.01.2012 заключен Договор подряда, в соответствии с которым Подрядчик оказывает Оператору услуги ежедневного предрейсового осмотра водителей - работников Оператора. При этом Оператор поручает Подрядчику обработку персональных данных своих работников - водителей.

Между ООО «Наименование» и Акционерным коммерческим Сберегательным банком РФ (в настоящее время ОАО «Сбербанк России») (далее по тексту Банк) 04.07.2007 заключен Договор  * о зачислении денежных средств на счета физических лиц в соответствии с реестрами, предоставляемыми на электронных носителях (в редакции Дополнительного соглашения  1 от 03.07.2013). Согласно условиям договора Оператор поручает Банку обработку персональных данных своих работников путем предоставления Реестров на зачисление денежных средств на счета физических лиц.

Указанные выше договоры являются поручениями Оператора третьим лицам обработки персональных данных работников.

Вместе с тем, в ходе проверки установлено, что в текстах данных договоров не определены перечни действий (операций) с персональными данными, которые должны совершаться Подрядчиком и Банком, которым Оператор поручает обработку персональных данных, соблюдения конфиденциальности персональных данных и обеспечения безопасности персональных данных при их обработке, а также не указаны требования к защите обрабатываемых персональных данных в соответствии со ст. 19 Федерального закона от 27.07.2006  152-ФЗ «О персональных данных».

В нарушение ст. 7 Федерального закона от 27.07.2006  152-ФЗ «О персональных данных» в ООО «ФИО» выявлено нарушение требований конфиденциальности при обработке персональных данных.

Так, в ходе проверки установлены случаи пересылки Оператором документов, содержащих персональные данные, по электронной почте с использованием сети Интернет, без использования специальных средств защиты информации (Договор займа между П. и ИП П. от 25.12.2014; От: Орбита ; Кому: ***).

Ненадлежащий контроль за исполнением требований действующего законодательства в сфере защиты и обработки персональных данных в деятельности ООО «Наименование» директором ФИО и не принятие соответ­ствующих мер к устранению нарушений - основание для прокурорского реагирова­ния.

Своими противоправными действиями Общество с ограниченной ответственностью «Наименование» совершило  административное правонарушение, предусмотренное  ст. 13.11 КоАП РФ - нарушение законодательства в области связи и информации.

ФИО в судебном заседании согласилась с постановлением о возбуждении дела об административном правонарушении, пояснила, что факты имели место, в данный момент нарушения устранены.

Представитель Великоустюгской межрайонной прокуратуры ФИО в судебном заседании поддержал постановление.

Исследовав административный материал, суд приходит к выводу о наличии в действиях Общества с ограниченной ответственностью «Наименование» состава вменяемого административного правонарушения, что также подтверждается: постановлением о возбуждении дела об административном правонарушении  от 28 сентября 2015 г., всеми материалами дела в их совокупности.

При назначении вида и размера административного наказания учитывается характер совершенного Общества с ограниченной ответственностью «Наименование» административного правонарушения, в области связи и информации.  

Согласно ст. 13.11 КоАП РФ, нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных), влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.

В соответствии со ст. 4.2. КоАП РФ обстоятельством смягчающим административную ответственность Общества с ограниченной ответственностью «Агентство недвижимости «Орбита» учитывается признание вины, а также то обстоятельство, что в настоящее время нарушения устранены.

В соответствии со ст. 4.3. КоАП РФ обстоятельств, отягчающих административную ответственность Общества с ограниченной ответственностью «Наименование» в материалах дела не усматривается.

На основании ст.ст. 29.9. ч.1 п.1 - 29.11. КоАП РФ, мировой судья

ПОСТАНОВИЛ:

Признать Общество с ограниченной ответственностью «Наименование» виновным в совершении административного правонарушения, предусмотренного ст. 13.11 КоАП РФ, и подвергнуть его наказанию в виде административного штрафа в размере  5 000 (пять тысяча)  рублей.

Постановление может быть обжаловано в 10-суточный срок в Великоустюгский районный суд.

Мировой судья                                                      Казаринова Т.В.

Штраф уплачивается по реквизитам:

УФК по Вологодской области (Прокуратура по Вологодской области, л/с 04301442620)  ИНН  3525044123,  КПП  352501001,  БИК  041909001, счет  40101810700000010002   отделение Вологда г. Вологды,   ОКТМО  19701000,  КБК  415 1 16 90010 01 6000 140.

Адрес взыскателя: Вологодская область г. Вологда, ул. Пушкинская, 17.

Разъяснить, что в соответствии с ч. 1 ст. 32.2 КоАП РФ, административный штраф должен быть уплачен лицом, привлеченным к административной ответственности, не позднее шестидесяти дней со дня вступления постановления в законную силу либо со дня истечения срока отсрочки или рассрочки, предусмотренных ст. 31.5 КоАП РФ.

При отсутствии документа, свидетельствующего об уплате административного штрафа, по истечении вышеуказанного срока, судья направляет соответствующие материалы судебному приставу-исполнителю, для взыскания административного штрафа в порядке, предусмотренным федеральным законодательством.

Кроме того, судья принимает решение о привлечении лица, не уплатившего административный штраф, к административной ответственности в соответствии с ч. 1 ст. 20.25 КоАП РФ, согласно которой неуплата административного штрафа, в срок, предусмотренный настоящим Кодексом, влечет наложение административного штрафа в двукратном размере суммы неуплаченного штрафа, но не менее одной тысячи рублей, либо административный арест на срок до пятнадцати суток.

Квитанции об уплате штрафа направляются: Великий Устюг, Советский пр. 200 (с/у 26).

Постановление не обжаловано, в законную силу ступило 31.10.2015 года.

Источник:http://26.vld.msudrf.ru/modules.php?name=sud_delo&op=sd&number=60476323&case_number=59695842&delo_id=1500001

Информация по делу
Статьи
13.11 КоАП РФ
Суд
ировой судья Вологодской области по судебному участку №  26
Судья
Т.В.Казаринова
Дата решения
2015-10-20
Категории
Работники
Принятие мер, предусмотренных законом
Согласие
Обязанность оператора
Другие дела из подобных
категорий:

Нарушения при обработке персональных данных работников и иных лиц

Несоответствие согласия

Шаблон заявления содержит заранее проставленные отметки субъекта о согласии на передачу персональных данных

Невыполнение оператором обязанности по обеспечению неограниченного доступа к политике в отношении обработки персональных данных

Обработка персональных данных при проведении общего собрания собственников многоквартирного дома в объеме большем, чем предусмотрено законодательством

Работники, осуществляющие обработку персональных данных, не были проинформированы о факте обработки ими персональных данных, категориях обрабатываемых персональных данных,об особенностях и правилах осуществления такой обработки

В ходе проверки туристической фирмы выявлены нарушения закона

Неопубликование документа, определяющего политику оператора в отношении обработки персональных данных, содержащего сведения о реализуемых требованиях к защите персональных данных

Невыполнение Оператором требования Роскомнадзора об удалении персональных данных субъекта

Обработка персональных данных близких родственников работников, не являющихся муниципальными служащими

Доставка счетов-квитанций (содержащих персональные данные потребителей услуг) в неисправные абонентские почтовые ящики

Невыполнение обязанностей, предусмотренных законом

Хранение документов, содержащих персональные данные субъектов без их письменного согласия

Нарушение ч.1 ст.6 фз "О персональных данных"

Обработка персональных данных субъектов ПДн (заемщиков) в отсутствие согласия