Решение по административному делу

Дело  <НОМЕР>

ПОСТАНОВЛЕНИЕ

        по делу об административном правонарушении 

(резолютивная часть постановления объявлена  <ДАТА1>,

мотивированная часть постановления изготовлена <ДАТА2>)

<ДАТА2>                                                                           <АДРЕС>

      Мировой судья судебного участка <НОМЕР> <АДРЕС> <ФИО1>,

при секретаре <ФИО2>,

 рассмотрев дело об административном правонарушении в отношении заместителя генерального директора  общества с ограниченной ответственностью «<АДРЕС> региональная теплоэнергетическая компания «<АДРЕС> по внутреннему контролю и взысканию задолженности <ФИО3>, юридический адрес организации: г. <АДРЕС>, ул. <АДРЕС> д. 77а, привлекаемого  к административной ответственности по ст. 13.11  КоАП РФ,

УСТАНОВИЛ:

  Согласно постановлению о возбуждении дела об административном правонарушении от  <ДАТА3>  в ходе  проведенной прокуратурой <АДРЕС> района г. <АДРЕС> проверки по обращению начальника УФСБ России по <АДРЕС> области <ФИО4> о нарушении законодательства о персональных данных ООО «<АДРЕС> региональная теплоэнергетическая компания «<АДРЕС>   выявлены нарушения установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных), выразившиеся в том,  что сотрудники общества <ФИО5>, <ФИО6>, <ФИО7>, <ФИО8>, <ФИО9> не ознакомлены с Правилами обработки персональных данных в обществе; политика в отношении обработки персональных данных, листы ознакомления сотрудников с данным локальным актом отсутствуют; общество не производит ознакомление работников, осуществляющих обработку персональных данных, с положениями Федерального закона от <ДАТА4> <НОМЕР> «О персональных данных», в том числе с требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение работников ООО «<АДРЕС> региональная теплоэнергетическая компания «<АДРЕС>; в ООО «<АДРЕС> региональная теплоэнергетическая компания «<АДРЕС> отсутствует локальный акт, определяющий круг лиц, допущенных в обществе к обработке персональных данных потребителей; в ООО «<АДРЕС> региональная теплоэнергетическая компания «<АДРЕС> отсутствуют сведения и подтверждающие документы об осуществлении внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора; общество осуществляет доставку платежных документов в открытом виде, создающем условия для доступа к персональным данным плательщиков посторонним лицам; отсутствует согласие на обработку персональных данных у соискателей; отсутствует локальный акт, определяющий условия ведения кадрового резерва; при их обработке в информационных системах персональных данных обществом не определены типы угроз безопасности персональных данных, актуальных для используемых им информационных систем, что делает невозможным определение уровня защищенности персональных данных; в обществе не проведен контроль за выполнением требований к защите персональных данных при их обработке в информационных системах персональных данных; обществом при изменении сведений о физическом лице, ответственным за организацию обработки персональных данных, не уведомлен уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений.  Действия заместителя генерального директора  общества с ограниченной ответственностью «<АДРЕС> региональная теплоэнергетическая компания «<АДРЕС> по внутреннему контролю и взысканию задолженности <ФИО3> квалифицированы по ст. 13.11 КоАП РФ.

   Заместитель генерального директора  общества с ограниченной ответственностью «<АДРЕС> региональная теплоэнергетическая компания «<АДРЕС> по внутреннему контролю и взысканию задолженности <ФИО3> в судебном заседании вину в совершении данного административного правонарушения признал, указав, что  выявленные нарушения устранены,  о чем  в прокуратуру <АДРЕС> района г. <АДРЕС> направлены соответствующие документы.

    Помощник прокурора <АДРЕС> района  г. <АДРЕС> <ФИО11>  в судебном заседании  поддержала доводы, изложенные в постановлении  о возбуждении дела об административном правонарушении в отношении заместителя генерального директора  общества с ограниченной ответственностью «<АДРЕС> региональная теплоэнергетическая компания «<АДРЕС> по внутреннему контролю и взысканию задолженности <ФИО3> по ст.13.11 КоАП РФ, показала, что  указанные в постановлении о возбуждении дела об административном правонарушении от <ДАТА5> нарушения привлекаемым лицом устранены, в связи с чем не возражает относительно назначения наказания привлекаемому лицу в виде предупреждения.

  Выслушав пояснения <ФИО3>, помощника прокурора <АДРЕС> района г. <АДРЕС>, исследовав письменные материалы дела, и дав им оценку, мировой судья приходит к следующим выводам.

 В соответствии с ст.13.11  КоАП РФ административным правонарушением признается нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).

 Положениями ст.23 Конституции РФ предусмотрено, что каждый гражданин имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия согласно ч.1 ст.24  Конституции РФ не допускается.

 В соответствии с п.6 ч.1 ст.18.1 Федерального закона N 152-ФЗ от <ДАТА6> "О персональных данных" ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

 На основании п.4 ч.1 ст.18.1Федерального закона N 152-ФЗ от <ДАТА6> "О персональных данных" осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;

   Как следует из  ч.2 ст.18.1 Федерального закона N 152-ФЗ от <ДАТА6> "О персональных данных" оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

    Согласно п. 7,8,17 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от <ДАТА7> <НОМЕР> определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона "О персональных данных", и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона "О персональных данных"; при обработке персональных данных в информационных системах устанавливаются 4 уровня защищенности персональных данных; контроль за выполнением настоящих требований организуется и проводится оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанный контроль проводится не реже 1 раза в 3 года в сроки, определяемые оператором (уполномоченным лицом).

   Как следует из материалов дела и установлено судом, УФСБ России по <АДРЕС> области проведены мероприятия систематического наблюдения на предмет выявления в сети Интернет нарушений законодательства РФ в области персональных данных. В ходе проведения проверки Прокуратурой <АДРЕС> района г. <АДРЕС>  установлено, что сотрудники ООО «<АДРЕС> региональная теплоэнергетическая компания «<АДРЕС> <ФИО5>, <ФИО6>, <ФИО7>, <ФИО8>, <ФИО9> не ознакомлены с Правилами обработки персональных данных в обществе. Также, политика в отношении обработки персональных данных, листы ознакомления сотрудников с данным локальным актом отсутствуют. Кроме того, ООО «<АДРЕС> региональная теплоэнергетическая компания «<АДРЕС> не осуществляет ознакомление работников, осуществляющих обработку персональных данных, с положениями Федерального закона от <ДАТА4> <НОМЕР> «О персональных данных», в том числе с требованиями к защите персональных данных, документами определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение работников ООО «<АДРЕС> региональная теплоэнергетическая компания «<АДРЕС>, что является нарушением п. 6 ч. 1 ст. 18.1 Закона. В  ООО «<АДРЕС> региональная теплоэнергетическая компания «<АДРЕС> отсутствует локальный акт, определяющий круг лиц, допущенных в обществе к обработке персональных. В ООО «<АДРЕС> региональная теплоэнергетическая компания «<АДРЕС> отсутствует локальный акт, определяющий круг лиц, допущенных в обществе к обработке персональных данных потребителей (клиентов), что является нарушением п. 4 ч. 1 ст. 18.1 Закона. Кроме того, в ООО «<АДРЕС> региональная теплоэнергетическая компания «<АДРЕС> отсутствуют сведения и подтверждающие документы об осуществлении внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора, что является нарушением п. 4 ч. 1 ст. 18.1 Закона. В нарушение ст. 7 Закона общество осуществляет доставку платежных документов в открытом виде, создающем условия для доступа к персональным данным плательщиков посторонним лицам. Также, в нарушение п. 1 ч. 1 ст. 6 Закона отсутствует согласие на обработку персональных данных у соискателей. Более того, в обществе отсутствует локальный акт, определяющий условия ведения кадрового резерва, что является нарушением ч. 2 ст. 18.1 Закона. В нарушение п. 7 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от <ДАТА7> <НОМЕР>, обществом не определены типы угроз безопасности персональных данных, актуальных для используемых им информационных систем, что делает невозможным определение уровня защищенности персональных данных в соответствии с требованиями п. 8 указанных Требований. В обществе не проведен контроль за выполнением требований к защите персональных данных при их обработке в информационных системах персональных данных (указанный контроль проводится не реже 1 раза в 3 года в сроки, определяемые оператором), что является нарушением п. 17 Требований. Также, в нарушение ч. 7 ст. 22 Закона обществом при изменении сведений о физическом лице ответственным за организацию обработки персональных данных не уведомлен уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений.

   Согласно п. 4.4 раздела 4 должностной инструкции заместителя генерального директора ООО «<АДРЕС> региональная теплоэнергетическая компания «<АДРЕС> по внутреннему контролю и взысканию задолженности <ФИО3> несет ответственность за выполнение требований Федерального закона от <ДАТА4> <НОМЕР> «О персональных данных», соблюдение конфиденциальности при работе (сборе, обработке и хранении) с персональными данными, принятие мер к обеспечению безопасности персональных данных, доступ к которым имеет.

Данные обстоятельства привлекаемым лицом не оспаривались.

Изложенное также подтверждается совокупностью исследованных доказательств, в том числе:

постановлением  прокурора  <АДРЕС> района г. <АДРЕС>  о возбуждении дела об административном правонарушении, предусмотренном ст.13.11  КоАП РФ в отношении заместителя генерального директора ООО «<АДРЕС> региональная теплоэнергетическая компания «<АДРЕС> по внутреннему контролю и взысканию задолженности <ФИО3>; 

объяснениями  привлекаемого лица от <ДАТА3>, из содержания которых следует, что <ФИО3> согласен полностью с нарушениями законодательства о защите персональных данных, указанные нарушения в кротчайшие сроки будут устранены;

обращением  врио начальника Управления УФСБ России по <АДРЕС> области от <ДАТА8> о выявленных нарушениях, направленным в прокуратуру <АДРЕС> области;

уведомлением генерального директора ООО «<АДРЕС> региональная теплоэнергетическая компания «<АДРЕС> о проведении Прокуратурой <АДРЕС> района г. <АДРЕС> проверки;

трудовым договором заместителя генерального директора ООО «<АДРЕС> региональная теплоэнергетическая компания «<АДРЕС> по внутреннему контролю и взысканию задолженности <ФИО12>  которой согласно п.1.6 при выполнении своих должностных обязанностей должен руководствоваться действующим законодательством РФ, Уставом и внутренними документами Общества и др.

 Таким образом, исследовав все обстоятельства дела в их совокупности, оценив доказательства с точки зрения допустимости, достоверности и относимости, мировой судья находит доказанной вину заместителя генерального директора ООО «<АДРЕС> региональная теплоэнергетическая компания «<АДРЕС> по внутреннему контролю и взысканию задолженности <ФИО13>в совершении вменяемого ему административного правонарушения, а его действия, подлежащими квалификации по ст. 13.11 КоАП РФ, поскольку, будучи должностным лицом, руководителем данной организации, он не осуществил контроль за соблюдением  законодательства РФ в области персональных данных, тем самым ненадлежащим образом  исполнив свои должностные обязанности.

 Обстоятельств, исключающих производство по делу об административном правонарушении, предусмотренных ст.24.5 КоАП РФ, из материалов дела не усматривается и в ходе рассмотрения дела не выявлено.

 Отягчающих административную ответственность обстоятельств судом не установлено.

 Смягчающим административную ответственность обстоятельством  мировой судья признает признание вины,  совершение привлекаемым лицом правонарушения впервые, а также устранение выявленных нарушений.

  С учетом характера и степени общественной опасности  совершенного административного правонарушения, наличия смягчающих по делу обстоятельств, отсутствием отягчающих, суд  считает  возможным  назначить заместителю генерального директора ООО «<АДРЕС> региональная теплоэнергетическая компания «<АДРЕС> по внутреннему контролю и взысканию задолженности <ФИО3> О.А административное наказание в виде предупреждения.

    На основании изложенного и руководствуясь ст.29.9, ст.29.10, 29.11  КоАП РФ, мировой судья

ПОСТАНОВИЛ:

     Признать заместителя генерального директора ООО «<АДРЕС> региональная теплоэнергетическая компания «<АДРЕС> по внутреннему контролю и взысканию задолженности <ФИО3> виновным в совершении административного правонарушения, предусмотренного ст. 13.11 КоАП РФ, и назначить административное наказание в виде предупреждения.

     Жалоба на постановление может быть подана в <АДРЕС> районный суд г. <АДРЕС>  через мирового судью в течение 10 суток со дня вручения или получения копии постановления.

Мировой судья                                                           <ФИО1>

Источник: http://12.sml.msudrf.ru/modules.php?name=sud_delo&op=sd&number=10480078&delo_id=1500001