№5-1052/15-3

П О С Т А Н О В Л Е Н И Е

г. Улан-Удэ                                                     30 декабря 2015г.

  Мировой судья судебного участка №2 Октябрьского района г.Улан-Удэ Сверкунова Е.П., и.о. мирового судьи судебного участка №3 Октябрьского района г.Улан-Удэ, рассмотрев дело об административном правонарушении, предусмотренном ст.13.11 Кодекса РФ об административных правонарушениях, в отношении директора <ОБЕЗЛИЧЕНО> ФИО, <ОБЕЗЛИЧЕНО>,

У С Т А Н О В И Л:

  В отношении директора <ОБЕЗЛИЧЕНО> ФИО прокурором Октябрьского района г. Улан-Удэ вынесено постановление о возбуждении производства по делу об административном правонарушении от <ДАТА3>, согласно которого Октябрьской прокуратурой г. Улан- Удэ проведена проверка по информации Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций о  нарушении законодательства о персональных данных, в результате которой установлено, что <ДАТА4> <ОБЕЗЛИЧЕНО> и <ОБЕЗЛИЧЕНО>» заключен договор <НОМЕР>, по условиям которого <ОБЕЗЛИЧЕНО> приняты обязательства предоставлять услуги по охране двух объектов заказчика: здания инженерно- лабораторного корпуса по адресу: <АДРЕС> и материальных ценностей, находящихся в нем, и здания гаража-лаборатории по <АДРЕС>. Согласно п. 2.2.5 договора режим работы, пропускной и внутриобъектовый на охраняемом объекте устанавливается заказчиком, а осуществление этого режима производится исполнителем.

  Согласно п. 1.3. и 1.7 Инструкции по охране объектов и имущества ФБУ «Наименование», являющейся приложением <НОМЕР> к указанному договору на оказание охранных услуг, задачами смены дежурного наряда по охране имущества собственника является осуществление контроля за соблюдением сотрудниками и посетителями пропускного и внутриобъектового режимов, установленных клиентом, а также при регистрации персональных данных в журнале учета клиентов обязуется обеспечить конфиденциальность и безопасных персональных данных; охранник отвечает за осуществление пропускного режима, охрану имущества. Заказчиком - <ОБЕЗЛИЧЕНО> установлен пропускной режим, предусматривающий возможность прохода на территорию здания инженерно-лабораторного корпуса по адресу: <АДРЕС>, посетителями при предъявлении документа, удостоверяющего личность с внесением сведений в журнал учета клиентов. Следовательно, <ОБЕЗЛИЧЕНО> является оператором, поскольку совершает действия (сбор, накопление, хранение) с информацией, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе содержащейся в паспорте информацией о фамилии, имени, отчестве, годе, месяце, дате и месте рождения, адресе, семейном положении. <ОБЕЗЛИЧЕНО> установлен пропускной режим в здании инженерно-лабораторного корпуса по адресу: <АДРЕС>, то есть дано поручение <ОБЕЗЛИЧЕНО> осуществлять обработку (сбор, накопление) персональных данных (содержащейся в паспорте информации о фамилии, имени, отчестве посетителей, годе, месяце, дате и месте рождения, адресе, семейном положении). В нарушение требований федерального законодательства на момент проверки, проведенной Управлением Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Республике Бурятия <ДАТА5>, <ОБЕЗЛИЧЕНО> в поручении оператора (договоре на оказание услуг по охране) не определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, не установлена обязанность исполнителя услуг - <ОБЕЗЛИЧЕНО> соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также не указаны требования к защите обрабатываемых персональных данных.  В соответствии с п. 4 ч. 1 ст. 18 Федерального закона «О персональных данных» оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам может, в частности, относиться осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора. В нарушение указанных требований федерального законодательства <ОБЕЗЛИЧЕНО> на момент проведения проверки <ДАТА5> не обеспечивалось осуществление внутреннего контроля соответствия обработки персональных данных закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора. Утвержденный приказом <НОМЕР> от <ДАТА6> план внутренних проверок состояния защиты персональных данных закону не исполнен, предусмотренные планом мероприятия не выполнены. Так, в <НОМЕР> года еженедельно не осуществлялся контроль за выполнением антивирусной защиты (должен осуществляться еженедельно согласно приказу <НОМЕР> от <ДАТА6>), контроль за соблюдением резервного копирования (должен осуществляться еженедельно согласно приказу <НОМЕР> от <ДАТА6>). Доказательства осуществления указанных мероприятий по контролю отсутствуют. В силу п. 13 и 15 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от <ДАТА7> <НОМЕР>, обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и становить перечень лиц, осуществляющих обработку персональных данных,  либо имеющих к ним доступ. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором. В нарушение данных требований законодательства <ОБЕЗЛИЧЕНО> не определены места хранения материальных носителей, содержащих персональных данные (а именно места хранения заявлений граждан о проведении метрологической экспертизы средств измерений и др). Приказом <ОБЕЗЛИЧЕНО> установлен перечень лиц ответственных за хранение материальных носителей персональных данных. Приказом <НОМЕР> от <ДАТА8> внесены изменения в список лиц, имеющих доступ к персональных данным. Данный перечень лиц, имеющих доступ к персональным данным, не содержит перечня всех сотрудников учреждения, которые фактически осуществляют прием заявлений граждан и их обработку. В перечне лиц, осуществляющих обработку персональных данных, не указывались работники, фактически осуществляющие обработку персональных данных - начальник отдела радио, электро, теплотехнических измерений (<ФИО2>), начальник отдела метрологического обеспечения и экспертизы (<ФИО3>) и др. На момент проведения проверки, проведенной в период времени с <ДАТА> <ДАТА9> места хранения материальных носителей, содержащих персональные данные, не определены, перечень всех сотрудников, осуществляющих обработку персональных данных, не определен, что свидетельствует о длящемся характере правонарушения.

 В судебное заседание ФИО не явился, о месте и времени рассмотрения дела был извещен, ходатайств об отложении дела не заявлял. В соответствии со ст. 25.1 Кодекса РФ об административных правонарушениях при таких обстоятельствах дело может быть рассмотрено в отсутствие лица, в отношении которого ведется производство по делу об административном правонарушении. 

 В судебном заседании помощник прокурора Октябрьского района г. Улан-Удэ <ФИО4> доводы, изложенные в постановлении о возбуждении производства по делу об административном правонарушении поддержала, дополнений не имела. Считает, что оснований для освобождения  ФИО от административной ответственности по малозначительности не имеется.

      Представитель  <ФИО5> суду пояснила, что нарушения устранены в полном объёме и в срок, установленный Роскомнадзором по РБ по предписанию от <ДАТА10> <НОМЕР>, а именно: в силу п. 1 ч. 3 ст. 6 Федерального закона от <ДАТА11> № 152-ФЗ «О персональных данных» - подписано дополнительное соглашение с <ОБЕЗЛИЧЕНО> о включении в раздел 6 «Ответственность сторон» пункта 6.2 следующего содержания: «Стороны при обработке персональных данных работников и клиентов учреждения, осуществляемой с целью выполнения обязательств по договору, обязуются обеспечить конфиденциальность и безопасность персональных данных работников и клиентов учреждения».  Данная обязанность уже была предусмотрена в вышеназванном договоре в приложении <НОМЕР> в п. <НОМЕР> к данному договору; по ч. 1 ст. 18.1 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» - разработаны и утверждены приказом от <ДАТА12> Правила осуществления внутренних проверок состояния защиты персональных данных в ФБУ «Наименование», приказом от <ДАТА12> <НОМЕР> 109 назначена постоянно действующая комиссия, по еженедельным, ежемесячным проверкам ведется Журнал внутренних проверок состояния защиты персональных данных в ФБУ «Наименование", а по проверкам ежегодным составляется акт проверки. <ДАТА>, <ДАТА13> проведены проверки (еженедельные, ежемесячные) согласно плана внутренних проверок состояния защиты персональных данных в ФБУ «Наименование». В журнале внутренних проверок сделаны соответствующие записи. <ДАТА14> проведена ежегодная проверка на предмет выявления изменений в режиме обработки и защиты персональных данных, комиссией составлен акт проверки; по п. 15 «Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденного Постановлением Правительства от 15.09.2008 г. № 687 - приказом от <ДАТА12> <НОМЕР> утвержден список лиц, имеющих доступ к персональным данным граждан-контрагентов (клиентов), приказом от <ДАТА12> <НОМЕР> утверждены места хранения и назначены ответственные за сбор, обработку, хранение и защиту персональных данных граждан-контрагентов. Просит освободить ФИО от административной ответственности по малозначительности  и ограничится устным замечанием.

Выслушав лиц участвующих в деле, исследовав материалы дела, суд считает, что вина ФИО нашла свое подтверждение в судебном заседании и квалифицирует его действия по ст. 13.11 Кодекса РФ об административных правонарушениях - нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). 

Указанные обстоятельства, установленные при рассмотрении дела, подтверждаются исследованными в заседании материалами дела: приказом <НОМЕР> от <ДАТА16> о назначении ФИО на должность директора <ОБЕЗЛИЧЕНО> письмом заместителя руководителя Управления Роскомнадзора по РБ от <ДАТА17> исх. <НОМЕР>; актом проверки от <ДАТА18>, приказом <НОМЕР> от <ДАТА19>, договором <НОМЕР> от <ДАТА20>, инструкцией по охране объектов и имущества ФБУ «Бурятский ЦСМ»,  предписанием об устранении выявленных нарушений <НОМЕР> от <ДАТА18>, приказом <НОМЕР> от <ДАТА21>, приказом <НОМЕР> от <ДАТА22>,  перечнем мероприятий по защите персональных данных в ФБУ «Наименование» от <ДАТА22>, планом внутренних проверок состояния защиты персональных данных в ФБУ «Наименование» от <ДАТА22>

Согласно ст. 3 Федерального закона «О персональных данных» персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

 В соответствии с ч.3 ст. 6 указанного Федерального закона оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.

В своем объяснении, данном при составлении постановления о возбуждении производства по делу об административном правонарушении, ФИО вину признал.

Обстоятельств, исключающих производство по делу, судом не установлено.

Обстоятельством, смягчающим административную ответственность ФИО  является признание вины в административном правонарушении.

Обстоятельств, отягчающих административную ответственность судом не установлено.

Оснований для освобождения ФИО от административной ответственности  по малозначительности не имеется.

При назначении наказания суд учитывает характер совершенного правонарушения, личность лица, в отношении которого ведется производство по делу об административном правонарушении, обстоятельства, смягчающие административную ответственность.

На основании изложенного, руководствуясь ст. 13.11, ст. 29.9, ст. 29.10 Кодекса РФ об административных правонарушениях, суд

ПОСТАНОВИЛ:

Признать ФИО виновным в совершении административного правонарушения, предусмотренного ст. 13.11 Кодекса РФ об административных правонарушениях, назначить ему административное наказание в виде административного штрафа в размере  <ОБЕЗЛИЧЕНО> руб.

Штраф перечислять по реквизитам: Получатель УФК по Республике Бурятия (прокуратура Республики Бурятия), Л/С 04021098700, наименование платежа - административный штраф, ИНН 0323059932, КПП 032601001, БИК 048142001, расчетный счет  40101810600000010002, ГРКЦ НБ Республики Бурятия Банка России, КБК 41511690010016000140, ОКАТО 81401000000.

Административный штраф должен быть уплачен лицом, привлеченным к административной ответственности, не позднее 60 дней со дня вступления постановления о наложении административного штрафа в законную силу. Неуплата административного штрафа в срок, предусмотренный Кодексом РФ об административных правонарушениях, влечет наложение административного штрафа в двукратном размере суммы неуплаченного административного штрафа, но не менее одной тысячи рублей либо административный арест на срок до пятнадцати суток, либо обязательные работы на срок до пятидесяти часов.

Документ, подтверждающий уплату административного штрафа, необходимо представить мировому судье судебного участка №3 Октябрьского района г.Улан-Удэ. Постановление может быть обжаловано через мирового судью в Октябрьский районный суд г. Улан-Удэ в течение 10 суток с момента получения копии постановления.

Мировой судья                                                         Е.П. Сверкунова

Источник: http://okt3.bur.msudrf.ru/modules.php?name=sud_delo&op=sd&number=25363388&delo_id=1500001