Решение по административному делу
Дело <НОМЕР>
ПОСТАНОВЛЕНИЕ
по делу об административном правонарушении
(резолютивная часть постановления объявлена <ДАТА1>,
мотивированная часть постановления изготовлена <ДАТА2>)
<ДАТА2> <АДРЕС>
Мировой судья судебного участка <НОМЕР> <АДРЕС> <ФИО1>,
при секретаре <ФИО2>,
рассмотрев дело об административном правонарушении в отношении заместителя генерального директора общества с ограниченной ответственностью «<АДРЕС> региональная теплоэнергетическая компания «<АДРЕС> по внутреннему контролю и взысканию задолженности <ФИО3>, юридический адрес организации: г. <АДРЕС>, ул. <АДРЕС> д. 77а, привлекаемого к административной ответственности по ст. 13.11 КоАП РФ,
УСТАНОВИЛ:
Согласно постановлению о возбуждении дела об административном правонарушении от <ДАТА3> в ходе проведенной прокуратурой <АДРЕС> района г. <АДРЕС> проверки по обращению начальника УФСБ России по <АДРЕС> области <ФИО4> о нарушении законодательства о персональных данных ООО «<АДРЕС> региональная теплоэнергетическая компания «<АДРЕС> выявлены нарушения установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных), выразившиеся в том, что сотрудники общества <ФИО5>, <ФИО6>, <ФИО7>, <ФИО8>, <ФИО9> не ознакомлены с Правилами обработки персональных данных в обществе; политика в отношении обработки персональных данных, листы ознакомления сотрудников с данным локальным актом отсутствуют; общество не производит ознакомление работников, осуществляющих обработку персональных данных, с положениями Федерального закона от <ДАТА4> <НОМЕР> «О персональных данных», в том числе с требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение работников ООО «<АДРЕС> региональная теплоэнергетическая компания «<АДРЕС>; в ООО «<АДРЕС> региональная теплоэнергетическая компания «<АДРЕС> отсутствует локальный акт, определяющий круг лиц, допущенных в обществе к обработке персональных данных потребителей; в ООО «<АДРЕС> региональная теплоэнергетическая компания «<АДРЕС> отсутствуют сведения и подтверждающие документы об осуществлении внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора; общество осуществляет доставку платежных документов в открытом виде, создающем условия для доступа к персональным данным плательщиков посторонним лицам; отсутствует согласие на обработку персональных данных у соискателей; отсутствует локальный акт, определяющий условия ведения кадрового резерва; при их обработке в информационных системах персональных данных обществом не определены типы угроз безопасности персональных данных, актуальных для используемых им информационных систем, что делает невозможным определение уровня защищенности персональных данных; в обществе не проведен контроль за выполнением требований к защите персональных данных при их обработке в информационных системах персональных данных; обществом при изменении сведений о физическом лице, ответственным за организацию обработки персональных данных, не уведомлен уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений. Действия заместителя генерального директора общества с ограниченной ответственностью «<АДРЕС> региональная теплоэнергетическая компания «<АДРЕС> по внутреннему контролю и взысканию задолженности <ФИО3> квалифицированы по ст. 13.11 КоАП РФ.
Заместитель генерального директора общества с ограниченной ответственностью «<АДРЕС> региональная теплоэнергетическая компания «<АДРЕС> по внутреннему контролю и взысканию задолженности <ФИО3> в судебном заседании вину в совершении данного административного правонарушения признал, указав, что выявленные нарушения устранены, о чем в прокуратуру <АДРЕС> района г. <АДРЕС> направлены соответствующие документы.
Помощник прокурора <АДРЕС> района г. <АДРЕС> <ФИО11> в судебном заседании поддержала доводы, изложенные в постановлении о возбуждении дела об административном правонарушении в отношении заместителя генерального директора общества с ограниченной ответственностью «<АДРЕС> региональная теплоэнергетическая компания «<АДРЕС> по внутреннему контролю и взысканию задолженности <ФИО3> по ст.13.11 КоАП РФ, показала, что указанные в постановлении о возбуждении дела об административном правонарушении от <ДАТА5> нарушения привлекаемым лицом устранены, в связи с чем не возражает относительно назначения наказания привлекаемому лицу в виде предупреждения.
Выслушав пояснения <ФИО3>, помощника прокурора <АДРЕС> района г. <АДРЕС>, исследовав письменные материалы дела, и дав им оценку, мировой судья приходит к следующим выводам.
В соответствии с ст.13.11 КоАП РФ административным правонарушением признается нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).
Положениями ст.23 Конституции РФ предусмотрено, что каждый гражданин имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия согласно ч.1 ст.24 Конституции РФ не допускается.
В соответствии с п.6 ч.1 ст.18.1 Федерального закона N 152-ФЗ от <ДАТА6> "О персональных данных" ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
На основании п.4 ч.1 ст.18.1Федерального закона N 152-ФЗ от <ДАТА6> "О персональных данных" осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
Как следует из ч.2 ст.18.1 Федерального закона N 152-ФЗ от <ДАТА6> "О персональных данных" оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
Согласно п. 7,8,17 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от <ДАТА7> <НОМЕР> определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона "О персональных данных", и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона "О персональных данных"; при обработке персональных данных в информационных системах устанавливаются 4 уровня защищенности персональных данных; контроль за выполнением настоящих требований организуется и проводится оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанный контроль проводится не реже 1 раза в 3 года в сроки, определяемые оператором (уполномоченным лицом).
Как следует из материалов дела и установлено судом, УФСБ России по <АДРЕС> области проведены мероприятия систематического наблюдения на предмет выявления в сети Интернет нарушений законодательства РФ в области персональных данных. В ходе проведения проверки Прокуратурой <АДРЕС> района г. <АДРЕС> установлено, что сотрудники ООО «<АДРЕС> региональная теплоэнергетическая компания «<АДРЕС> <ФИО5>, <ФИО6>, <ФИО7>, <ФИО8>, <ФИО9> не ознакомлены с Правилами обработки персональных данных в обществе. Также, политика в отношении обработки персональных данных, листы ознакомления сотрудников с данным локальным актом отсутствуют. Кроме того, ООО «<АДРЕС> региональная теплоэнергетическая компания «<АДРЕС> не осуществляет ознакомление работников, осуществляющих обработку персональных данных, с положениями Федерального закона от <ДАТА4> <НОМЕР> «О персональных данных», в том числе с требованиями к защите персональных данных, документами определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение работников ООО «<АДРЕС> региональная теплоэнергетическая компания «<АДРЕС>, что является нарушением п. 6 ч. 1 ст. 18.1 Закона. В ООО «<АДРЕС> региональная теплоэнергетическая компания «<АДРЕС> отсутствует локальный акт, определяющий круг лиц, допущенных в обществе к обработке персональных. В ООО «<АДРЕС> региональная теплоэнергетическая компания «<АДРЕС> отсутствует локальный акт, определяющий круг лиц, допущенных в обществе к обработке персональных данных потребителей (клиентов), что является нарушением п. 4 ч. 1 ст. 18.1 Закона. Кроме того, в ООО «<АДРЕС> региональная теплоэнергетическая компания «<АДРЕС> отсутствуют сведения и подтверждающие документы об осуществлении внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора, что является нарушением п. 4 ч. 1 ст. 18.1 Закона. В нарушение ст. 7 Закона общество осуществляет доставку платежных документов в открытом виде, создающем условия для доступа к персональным данным плательщиков посторонним лицам. Также, в нарушение п. 1 ч. 1 ст. 6 Закона отсутствует согласие на обработку персональных данных у соискателей. Более того, в обществе отсутствует локальный акт, определяющий условия ведения кадрового резерва, что является нарушением ч. 2 ст. 18.1 Закона. В нарушение п. 7 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от <ДАТА7> <НОМЕР>, обществом не определены типы угроз безопасности персональных данных, актуальных для используемых им информационных систем, что делает невозможным определение уровня защищенности персональных данных в соответствии с требованиями п. 8 указанных Требований. В обществе не проведен контроль за выполнением требований к защите персональных данных при их обработке в информационных системах персональных данных (указанный контроль проводится не реже 1 раза в 3 года в сроки, определяемые оператором), что является нарушением п. 17 Требований. Также, в нарушение ч. 7 ст. 22 Закона обществом при изменении сведений о физическом лице ответственным за организацию обработки персональных данных не уведомлен уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений.
Согласно п. 4.4 раздела 4 должностной инструкции заместителя генерального директора ООО «<АДРЕС> региональная теплоэнергетическая компания «<АДРЕС> по внутреннему контролю и взысканию задолженности <ФИО3> несет ответственность за выполнение требований Федерального закона от <ДАТА4> <НОМЕР> «О персональных данных», соблюдение конфиденциальности при работе (сборе, обработке и хранении) с персональными данными, принятие мер к обеспечению безопасности персональных данных, доступ к которым имеет.
Данные обстоятельства привлекаемым лицом не оспаривались.
Изложенное также подтверждается совокупностью исследованных доказательств, в том числе:
постановлением прокурора <АДРЕС> района г. <АДРЕС> о возбуждении дела об административном правонарушении, предусмотренном ст.13.11 КоАП РФ в отношении заместителя генерального директора ООО «<АДРЕС> региональная теплоэнергетическая компания «<АДРЕС> по внутреннему контролю и взысканию задолженности <ФИО3>;
объяснениями привлекаемого лица от <ДАТА3>, из содержания которых следует, что <ФИО3> согласен полностью с нарушениями законодательства о защите персональных данных, указанные нарушения в кротчайшие сроки будут устранены;
обращением врио начальника Управления УФСБ России по <АДРЕС> области от <ДАТА8> о выявленных нарушениях, направленным в прокуратуру <АДРЕС> области;
уведомлением генерального директора ООО «<АДРЕС> региональная теплоэнергетическая компания «<АДРЕС> о проведении Прокуратурой <АДРЕС> района г. <АДРЕС> проверки;
трудовым договором заместителя генерального директора ООО «<АДРЕС> региональная теплоэнергетическая компания «<АДРЕС> по внутреннему контролю и взысканию задолженности <ФИО12> которой согласно п.1.6 при выполнении своих должностных обязанностей должен руководствоваться действующим законодательством РФ, Уставом и внутренними документами Общества и др.
Таким образом, исследовав все обстоятельства дела в их совокупности, оценив доказательства с точки зрения допустимости, достоверности и относимости, мировой судья находит доказанной вину заместителя генерального директора ООО «<АДРЕС> региональная теплоэнергетическая компания «<АДРЕС> по внутреннему контролю и взысканию задолженности <ФИО13>в совершении вменяемого ему административного правонарушения, а его действия, подлежащими квалификации по ст. 13.11 КоАП РФ, поскольку, будучи должностным лицом, руководителем данной организации, он не осуществил контроль за соблюдением законодательства РФ в области персональных данных, тем самым ненадлежащим образом исполнив свои должностные обязанности.
Обстоятельств, исключающих производство по делу об административном правонарушении, предусмотренных ст.24.5 КоАП РФ, из материалов дела не усматривается и в ходе рассмотрения дела не выявлено.
Отягчающих административную ответственность обстоятельств судом не установлено.
Смягчающим административную ответственность обстоятельством мировой судья признает признание вины, совершение привлекаемым лицом правонарушения впервые, а также устранение выявленных нарушений.
С учетом характера и степени общественной опасности совершенного административного правонарушения, наличия смягчающих по делу обстоятельств, отсутствием отягчающих, суд считает возможным назначить заместителю генерального директора ООО «<АДРЕС> региональная теплоэнергетическая компания «<АДРЕС> по внутреннему контролю и взысканию задолженности <ФИО3> О.А административное наказание в виде предупреждения.
На основании изложенного и руководствуясь ст.29.9, ст.29.10, 29.11 КоАП РФ, мировой судья
ПОСТАНОВИЛ:
Признать заместителя генерального директора ООО «<АДРЕС> региональная теплоэнергетическая компания «<АДРЕС> по внутреннему контролю и взысканию задолженности <ФИО3> виновным в совершении административного правонарушения, предусмотренного ст. 13.11 КоАП РФ, и назначить административное наказание в виде предупреждения.
Жалоба на постановление может быть подана в <АДРЕС> районный суд г. <АДРЕС> через мирового судью в течение 10 суток со дня вручения или получения копии постановления.
Мировой судья <ФИО1>
Источник: http://12.sml.msudrf.ru/modules.php?name=sud_delo&op=sd&number=10480078&delo_id=1500001
Соискатели
Согласие
Локальные акты оператора
Обязанность оператора
категорий:
Отказ банком субъекту в уничтожении его персональных данных после отзыва согласия
Обработка персональных данных физических лиц - соискателей с нарушением законодательства
Направление платежных квитанций в незапечатанном виде
При проверке выявлены многочисленные нарушения законодательства о персональных данных
Размещение персональных данных члена профсоюза в социальной сети "Одноклассники"
В ходе проверки выявлены существенные нарушения порядка обработки персональных данных
Нарушения при обработке персональных данных работников и иных лиц
Не назначен ответственный; типовые формы не соответствуют закону
Невыполнение обязательных требований законодательства в области персональных данных
В ходе плановой проверки выявлены нарушения
Неознакомление служащих, осуществляющих обработку персональных данных, с законодательством