Дата принятия: 18 сентября 2014г.
Номер документа: 5-1550/2014
Решение по административному делу
Дело № 5-1550/2014
П О С Т А Н О В Л Е Н И Е
по делу об административном правонарушении
18 сентября 2014 года п. Оричи Кировской области
Мировой судья судебного участка № 33 Оричевского судебного района Кировской области Широкова А.А., рассмотрев в отношении юридического лица
Общества с ограниченной ответственностью «Санаторий «Колос»
дело об административном правонарушении, предусмотренном статьей 13.11 КоАП РФ,
у с т а н о в и л:
Согласно постановлению о возбуждении производства по делу об административном правонарушении от 12.09.2014 с целью выполнения плана проведения плановых проверок Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Кировской области на 2014 год, утвержденного приказом руководителя Управления Роскомнадзора по Кировской области от 30.10.2013 № 484, размещенного на официальном Интернет-портале Управления Роскомнадзора по Кировской области, http://43.rkn.gov.ru/и контроля за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных в период с 07.07.2014 по 25.07.2014 Управлением Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Кировской области (Управлением Роскомнадзора по Кировской области) была проведена плановая выездная проверка в отношении Общества с ограниченной ответственностью «Санаторий "Колос» (далее - ООО «Санаторий «Колос»).
В результате проведенного мероприятия были выявлены нарушения требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - ФЗ «О персональных данных»), постановления Правительства Российской Федерации от № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» (далее - Положения), Трудового кодекса Российской Федерации:
1) ООО «Санаторий «Колос» (далее - оператор) включено в реестр операторов, осуществляющих обработку персональных данных: регистрационный номер 10-0113708, приказ от 02.07.2010 № 412, на основании уведомления об обработке (о намерении осуществлять обработку) персональных данных от 10.06.2010 (далее - уведомление) - приложение №1.
На основании информационного письма о внесении изменений в сведения в реестр операторов, осуществляющих обработку персональных данных, от 07.10.2013 (приложение №2) были внесены изменения в реестр операторов.
Проверка сведений, содержащихся в уведомлении и информационном письме, с имеющимися в наличии документами, определяющими деятельность оператора при обработке персональных данных, показала, что уведомление содержит неполные и недостоверные сведения. Так, поля «правовое основание: обработки», «цель обработки персональных данных», «категории персональных данных», «категории субъектов персональных данных», «перечень действий с персональными данными» содержат неполный перечень сведений. Кроме того, не нашла своего подтверждения дата начала обработки, указанная оператором в уведомлении.
Данные факты указывают, что уведомление об обработке персональных данных, представленное оператором, содержит неполные и недостоверные сведения.
Нарушена часть 3 статьи 22 ФЗ «О персональных данных».
2) ООО «Санаторий «Колос» при оказании услуг медицинского характера допускается обработка персональных данных клиентов (том числе, состояние здоровья) лицами - сотрудниками оператора, не являющимися медицинским персоналом. В соответствии со ст. 10 ФЗ «О персональных данных» обработка специальных категорий персональных данных указанными лицами может осуществляться только с письменного согласия субъекта персональных данных. При заполнении медицинской документации клиент подписывает согласие на обработку персональных данных. В форме согласия отсутствуют сведения об адресе оператора (приложение № 3).
Нарушена ч. 4 ст. 9 ФЗ «О персональных данных».
3) ООО «Санаторий «Колос» заключаются договоры найма жилого помещения в доме-общежитии. К указанным договорам прикладываются ксерокопии паспортов субъектов персональных данных (приложение № 4). Ксерокопия паспорта содержит, в том числе, такие персональные данные как место рождения, фото. Оператором комиссии не были представлены правовые основания обработки вышеуказанных персональных данных либо согласия субъектов персональных данных на обработку указанных сведений. Таким образом, комиссия выявила сбор избыточных персональных данных оператором по отношению к заявленным целям обработки.
Нарушена ч. 5 ст. 5 ФЗ «О персональных данных».
4)У ООО «Санаторий «Колос» отсутствуют локальные акты, касающиеся правил обработки и обеспечения безопасности персональных данных, лиц, не являющихся работниками санатория; отсутствуют документы, определяющие политику оператора в отношении обработки персональных данных. Оператором не осуществляется внутренний контроль соответствия обработки персональных данных ФЗ «О персональных данных», требованиям к защите персональных данных. Оператором не производится оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения ФЗ «О персональных данных».
Нарушена часть 1 статьи 18.1 ФЗ «О персональных данных».
5) Оператором представлена справка (приложение № 5) о том, что в период с 24.10.2013 по 07.07.2014 уничтожение материальных носителей персональных данных не производилось. Документального подтверждения уничтожения персональных данных после достижения цели их обработки в период с начала деятельности оператора (приложение № 6) до 24.10.2013 (даты указанной в справке оператором) санаторием в ходе проверки не представлено. Таким образом, установлено, что своевременное уничтожение дел с документами, содержащими персональные данные граждан, не производится.
Нарушена часть 4 статьи 21 ФЗ «О персональных данных».
6) При приеме на работу гражданин заполняет типовую форму оператора - анкету (приложение № 7), в которую включаются персональные данные работника и его родственников. Данная форма не утверждена локальными актами оператора. Бланк анкеты не соответствует требованиям законодательства, а именно: не содержит сведений о цели обработки персональных данных, наименовании и адресе оператора, о сроках обработки персональных данных, перечне действий с персональными данными, которые будут совершаться в процессе их обработки, общего описания используемых оператором способов обработки персональных данных.
Несоответствие типовых форм документов требованиям законодательства РФ является нарушением п. 7 Положения.
7) Приказом главного врача ООО «Санаторий «Колос» № 102/2 от 24.10.2013 определено одно место хранения персональных данных - сейф помощника главного врача (приложение № 8). В ходе проверки установлено, что фактически персональные данные хранятся и в других неустановленных приказом местах. Таким образом, у оператора отсутствуют локальные акты, определяющие все места хранения персональных данных (материальных носителей). Также отсутствует перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
Нарушен пункт 13 Положения.
8)В ходе проведения проверки ООО «Санатория «Колос» выявлены факты нарушения мер по обеспечению безопасности персональных данных. Установлено, что в приемной, где осуществляется прием граждан, документы, содержащие персональные данные (личные карточки работников - приложение № 9) хранятся в открытом доступе - в открытом ящике на столе помощника главного врача по кадрам (приложение № 10).
При проверке условий хранения медицинской документации установлено, что текущие медицинские карты хранятся в кабинете 121, где ведется прием пациентов на открытой полке. Архив медицинских карт находится в спальном корпусе санатория за стеклянной дверью.
Таким образом, установлено, что оператором не соблюдаются условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ, что нарушает пункт 15 Положения.
9) Оператором разработано Положение о хранении и использовании персональных данных работников ООО «Санаторий «Колос», которое определяет правила работы с персональными данными работников, ответственность за нарушение норм, регулирующих защиту персональных данных работников организации. В соответствии с Трудовым кодексом РФ работники должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области. Согласно представленной справке ООО «Санаторий «Колос» на 01.07.2014 (приложение №11) общая численность работников оператора составляет 180 человек. Согласно листа ознакомления (приложение № 12), представленного комиссии в ходе проверки, с вышеуказанным положением ознакомлено 119 сотрудников оператора. Таким образом, установлено, что не все сотрудники ООО «Санаторий «Колос» ознакомлены с документами работодателя, устанавливающими порядок обработки персональных данных работников.
Нарушено требование п. 8 ст. 86 Трудового кодекса РФ.
В соответствии с требованиями п. 88 Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, утвержденного приказом Минкомсвязи РФ от 14.11.2011 № 312 (зарегистрированного Министерством юстиции Российской Федерации 13.12.2011 № 22595) в случае выявления в ходе или по результатам проверки административного правонарушения, предусмотренного Кодексом Российской Федерации об административных правонарушениях, должностные лица Управления Роскомнадзора по Кировской области направляют материалы в органы прокуратуры, другие правоохранительные органы для разрешения вопроса о возбуждении дела об административном правонарушении.
В действиях ООО «Санаторий «Колос» усматриваются признаки административного правонарушения, предусмотренного ст. 13.11 Кодекса Российской Федерации об административных правонарушениях (далее КоАП РФ) - нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).
В соответствии со ст. 28.4 КоАП РФ дела об административных правонарушениях, предусмотренных ст. 13.11 КоАП РФ, возбуждаются прокурором.
В судебном заседании заместитель прокурора Оричевского района Кировской области Воробьева Н.В. пояснила, что считает привлечение ООО «Санаторий «Колос» к административной ответственности по статье 13.11 КоАП РФ законным и обоснованным.
Руководитель ООО «Санаторий «Колос»Марков С.Н. вину в совершении административного правонарушения признал полностью, раскаялся в содеянном, пояснил, что в настоящее время допущенные нарушения устраняются. Правонарушение было допущено в результате незнания и непонимания Федерального закона «О персональных данных».
Заслушавзаместителя прокурора Оричевского района Кировской области Воробьеву Н.В., Маркова С.Н. и изучив материалы дела, мировой судья приходит к следующему.
Статьей 13.11 КоАП РФ установлена административная ответственность за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). Субъектами данного административного правонарушения являются, в том числе юридические лица.
Вина юридического лица - ООО «Санаторий «Колос» в совершении вменяемого ему административного правонарушения подтверждается представленными материалами дела: актом проверки ООО «Санаторий «Колос» от 25.07.2014.
У суда не имеется оснований для признания данных доказательств недопустимыми.
ВиновностьООО «Санаторий «Колос» в нарушении установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) является установленной и доказанной.
Действия юридического лица ООО «Санаторий «Колос» суд квалифицирует по статье 13.11 КоАП РФ.
При назначении административного наказания суд учитывает характер совершенного административного правонарушения, имущественное и финансовое положение юридического лица, обстоятельства, смягчающие административную ответственность, и обстоятельства, отягчающие административную ответственность, принимая во внимание, что юридическое лицо вину признает, в содеянном раскаивается.
Обстоятельств, отягчающих административную ответственность, либо освобождающих от таковой, суд не установил.
Учитывая, что ранее ООО «Санаторий «Колос» не привлекалось к административной ответственности за аналогичное правонарушение, допущенные нарушения устраняются, является целесообразным применить наказание в виде предупреждения.
На основании изложенного, руководствуясь ст. ст.29.9-29.11 КоАП РФ, мировой судья
П О С Т А Н О В И Л :
Признать общество с ограниченной ответственностью «Санаторий «Колос» виновным в совершении административного правонарушения, предусмотренного статьей 13.11 КоАП РФ, и назначить административное наказание в виде предупреждения.
Постановление о назначении административного наказания в виде предупреждения исполняется судьей путем вручения или направления копии постановления.
Настоящее постановление может быть обжаловано в Оричевский районный суд Кировской области через мирового судью в течение 10 суток со дня вручения или получения копии постановления.
Мировой судья А.А. Широкова
Постановление на дату опубликования вступило в законную силу.
