Дата принятия: 25 сентября 2014г.
Номер документа: 5-425/2014
Решение по административному делу
Дело № 5-425/2014 года ПОСТАНОВЛЕНИЕ по делу об административном правонарушении «25» сентября 2014 года п. Суземка Мировой судья участка № 54 Суземского судебного района Брянской области АлешечкинС.А.,
С участием помощника прокурора <АДРЕС> района <АДРЕС> области <ФИО1>
рассмотрев дело об административном правонарушении, предусмотренном ст. 13.11 КоАП РФ, в отношении заместителя главы <ОБЕЗЛИЧЕНО> администрации Семешина <ФИО2>, <ДАТА2> рождения, уроженца с. <АДРЕС> района, <АДРЕС> области, зарегистрированного по адресу: п. <АДРЕС>, ул. <АДРЕС>, д. 1 «Б», <АДРЕС> <ОБЕЗЛИЧЕНО>,
УСТАНОВИЛ:
С <ДАТА3> по <ДАТА4> по в <ОБЕЗЛИЧЕНО> администрации расположенной по адресу: <АДРЕС> область, <АДРЕС> район, п. <АДРЕС>, пл. <АДРЕС>, Управлением Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по <АДРЕС> области проводилась проверка соблюдения законодательства в области обработки персональных данных.
В соответствии с ч. 3 ст. 6 Федерального закона от <ДАТА5> N 152-ФЗ "О персональных данных" оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, Кроме того, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона "О персональных данных".
Согласно ст. 19 Федерального закона от <ДАТА5> N 152-ФЗ "О персональных данных"(далее <НОМЕР>) оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Обеспечение безопасности персональных данных достигается, в частности:
1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5) учетом машинных носителей персональных данных;
6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:
1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;
2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
3) требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.
Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.
Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при обработке персональных данных в государственных информационных системах персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.
В соответствии со ст. 19 <НОМЕР> под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных. Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
В силу ст. 9 Федерального закона от <ДАТА5> N 149-ФЗ "Об информации, информационных технологиях и о защите информации" ограничение доступа к информации устанавливается федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.
Обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами.
Защита информации, составляющей государственную тайну, осуществляется в соответствии с законодательством Российской Федерации о государственной тайне.
Федеральными законами устанавливаются условия отнесения информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение.
Информация, полученная гражданами (физическими лицами) при исполнении ими профессиональных обязанностей или организациями при осуществлении ими определенных видов деятельности (профессиональная тайна), подлежит защите в случаях, если на эти лица федеральными законами возложены обязанности по соблюдению конфиденциальности такой информации.
Информация, составляющая профессиональную тайну, может быть предоставлена третьим лицам в соответствии с федеральными законами и (или) по решению суда.
Срок исполнения обязанностей по соблюдению конфиденциальности информации, составляющей профессиональную тайну, может быть ограничен только с согласия гражданина (физического лица), предоставившего такую информацию о себе.
Порядок доступа к персональным данным граждан (физических лиц) устанавливается федеральным законом о персональных данных.
В силу п. 3 Постановления Правительства РФ от <ДАТА6> N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает персональные данные (далее - оператор), или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора (далее - уполномоченное лицо). Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе.
<ОБЕЗЛИЧЕНО> осуществляет обработку персональных данных работников, как с использованием средств автоматизации, так и без таковой, в том числе осуществляет передачу персональных данных третьим лицам на основании:
1) дополнительного соглашения от <ДАТА7> к договору <НОМЕР> от <ДАТА8> «О порядке выпуска и обслуживания международных карт Visa (Classic, Gold), MasterCard (Standart, Gold), международных дебетовых карт Visa Infinite, Visa Platinum, Gold Master Card «МТС» и Visa Gold «Аэрофлот» для работников Предприятия (Организации) не имеющей счет в Банке, заключенного с отделением 8605 Сбербанка России и осуществляет перечисление заработной платы по Реестрам в Брянское отделение <НОМЕР> СБ РФ на пластиковые карты сотрудников. В ходе исполнения договора обрабатываются следующие категории персональных данных: Ф.И.О, номер лицевого счета, сумма;
2) договора оказания услуг от <ДАТА9> <НОМЕР>, заключенного с ООО «Интеграл» на абонентское обслуживание программных средств и для работы с прикладным программным обеспечением «Система удаленного финансового документооборота» на портале Федерального казначейства. В ходе исполнения договора обрабатываются следующие категории персональных данных: Ф.И.О, номер лицевого счета, сумма;
3) договора от <ДАТА10> <НОМЕР>, заключенного с ООО «Компьютерные технологии» на подключение и обслуживание в системе «СТЭК-Траст» с целью обмена электронными документами по телекоммуникационным каналам связи с ИФНС, ПФР, ФСС. В ходе исполнения договора обрабатываются следующие категории персональных данных: Ф.И.О, ИНН, дата рождения, гражданство, сведения о документе удостоверяющем личность, адрес места жительства, доходы;
4) соглашения с отделом <НОМЕР> УФК по <АДРЕС> области от <ДАТА11> «Об осуществлении органами Федерального казначейства отдельных функций по исполнению бюджета <АДРЕС> городского поселения <АДРЕС> муниципального района при кассовом обслуживании исполнения бюджета Администрации органами Федерального казначейства».;
5) соглашения с отделом <НОМЕР> УФК по <АДРЕС> области от <ДАТА11> «Об открытии и ведении органами Федерального казначейства лицевых счетов для учета операций бюджетных учреждений <АДРЕС> городского поселения <АДРЕС> муниципального»;
В ходе исполнения соглашений обрабатываются следующие категории персональных данных: Ф.И.О, номер лицевого счета, сумма.
6) договора от <ДАТА12>, заключенного с гражданином <ФИО3> возмездного оказания услуг по информационному обслуживанию программного обеспечения, принадлежащего Администрации. В ходе исполнения договора <ФИО3> имеет доступ к персональным данным содержащимся в информационных системах персональных данных Администрации;
7) контракта от <ДАТА13> <НОМЕР>, заключенного с ООО «Группа компаний «ТВИМ» на аренду домена второго уровня «admsuzem.ru». В ходе исполнения договора обрабатываются следующие категории персональных данных: Ф.И.О, адрес, номер телефона;
В договорах с Брянским отделением <НОМЕР> СБ РФ, ООО «Интеграл», ООО «Компьютерные технологии», УФК по <АДРЕС> области, <ФИО3>, ООО «Группа компаний «ТВИМ» не установлена обязанность соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также не указаны требования к защите обрабатываемых персональных данных.
<ОБЕЗЛИЧЕНО> осуществляет обработку персональных данных работников при ведении бухгалтерского учета с использованием информационных систем персональных данных (ИСПДн): «Зарплата-КС», «Зарплата», «СТЭК-ТРАСТ», «Налогоплательщик ЮЛ», «Документы ПУ 5», «СУФД». Посредством перечисленных ИСПДн осуществляется учет сотрудников Администрации, а также осуществляется передача персональных данных работников в Пенсионный Фонд РФ по <АДРЕС> области с целью предоставления отчетности и деклараций (персонифицированный учет), налоговые органы - с целью сдачи отчетности по сведениям о доходах физических лиц, перечисление заработной платы по Реестрам в Брянский ОСБ <НОМЕР> Сбербанка России на лицевые счета сотрудников, перечисление денежных средств на лицевые счета работников состоящих в гражднско-правовых отношениях с <ОБЕЗЛИЧЕНО> администрации.
Однако в нарушение требований ст. 19 <НОМЕР> в частности:
- отсутствуют правовые, организационные и технические меры по обеспечению безопасности персональных данных;
- отсутствует модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- отсутствуют средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия;
- отсутствует учет машинных носителей персональных данных;
- отсутствуют правила доступа к персональным данным, обрабатываемых в ИСПДн: Зарплата-КС», «Зарплата», «СТЭК-ТРАСТ», «Налогоплательщик ЮЛ», «СУФД», «Документы ПУ 5».
В соответствии с п. 3 Постановления Правительства РФ от <ДАТА14> N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" правила обработки персональных данных, осуществляемой без использования средств автоматизации, установленные нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации, должны применяться с учетом требований настоящего Положения.
В ситу ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований настоящего Кодекса и иных федеральных законов.
В <ОБЕЗЛИЧЕНО> администрации не установлен перечень лиц, осуществляющих обработку персональных данных, не определены сроки хранения документов, содержащих персональных данных (материальных носителей).
В соответствии с п. 13 Постановления Правительства РФ от <ДАТА14> N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
В силу ч. 4 ст. 21 Федерального закона от <ДАТА5> N 152-ФЗ "О персональных данных" в случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.
<ОБЕЗЛИЧЕНО> администрацией не соблюдаются установленные требования обработки персональных данных после достижения цели обработки. <ОБЕЗЛИЧЕНО> администрацией не определен порядок уничтожения документов по достижению целей обработки персональных данных (или в случае утраты необходимости в достижении этих целей). Тем самым нарушаются принципы и условия обработки персональных данных. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
В соответствии с ч.4 ст.9 <НОМЕР> в случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
9) подпись субъекта персональных данных.
<ОБЕЗЛИЧЕНО> администрации представила заявления-согласия на обработку персональных данных <ФИО4> и <ФИО5> от <ДАТА15>, в которых отсутствуют следующие сведения:
- наименование и адрес оператора, получающего согласие субъекта персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Общества;
- общие описание используемых Обществом способов обработки персональных данных;
- срок, в течение которого действует согласие субъекта персональных данных.
В соответствии с ч. 2 ст. 18.1 <НОМЕР> оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
В силу п. 2 постановления Правительства РФ от <ДАТА16> <НОМЕР> «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» документы, определяющие политику в отношении обработки персональных данных, подлежат опубликованию на официальном сайте государственного или муниципального органа в течение 10 дней после их утверждения.
Управлением осуществлен мониторинг сайта Администрации «http://admsuzem.ru». В разделе «Прием обращений» Администрацией организована подача обращений граждан в электронном виде. При оформлении обращения в электронном виде на сайте указывается следующие персональные данные: фамилия, имя, отчество заявителя, почтовый адрес заявителя, номер контактного телефона, e:mail.
Вместе с тем Администрацией не опубликованы на сайте «http://admsuzem.ru» документы, определяющие политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также не обеспечена возможность доступа к указанному документу.
Постановлениями Администрации от <ДАТА17> <НОМЕР> (Приложение <НОМЕР>) и от <ДАТА18> <НОМЕР> утверждены правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и локальными актами оператора (далее - Правила). Контроль за исполнением постановлений возложен на заместителя главы Администрации <ФИО6> В связи с организационно-штатными мероприятиями - увольнением заместителя главы Администрации <ФИО6> постановлением Администрации от <ДАТА19> <НОМЕР> контроль за исполнением постановления от <ДАТА17> <НОМЕР> возложен на заместителя главы Администрации Семёшина Ю.И.
Однако внутренний контроль соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора заместителями главы Администрации и ответственным лицом за организацию обработки персональных данных не осуществляется, не доводятся до сведения работников положения законодательства Российской Федерации о персональных данных. Ежегодный план осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных не разработан, заключения и акты по осуществлению внутреннего контроля не составлялись.
В судебном заседании помощник прокурора <АДРЕС> района <АДРЕС> области <ФИО1> просил привлечь Семешина Ю.И. к административной ответственности по ст.13.11 КоАП РФ.
В судебном заседании заместитель главы <ОБЕЗЛИЧЕНО> администрации Семешина Ю.И. вину признал и пояснил, что им допущены нарушения требований законодательства в области обработки персональных данных, вследствие отсутствия знаний и навыков в области обработки персональных данных.
Вина Семешина Ю.И. подтверждается постановлением о возбуждении производства об административном правонарушении, копией приказа о проведении плановой выездной проверки в отношении <ОБЕЗЛИЧЕНО> администрации <АДРЕС> района <АДРЕС> области <НОМЕР>, копией акта проверки от <ДАТА20> <НОМЕР>, копией предписания об устранении выявленного нарушения от <ДАТА20> <НОМЕР>, копией свидетельства о государственной регистрации юридического лица, выпиской из ЕГРЮЛ, копией положения о <ОБЕЗЛИЧЕНО> администрации в новой редакции, копией решения от <ДАТА21> <НОМЕР>, копиями распоряжений: от <ДАТА22> <НОМЕР>, от <ДАТА23> <НОМЕР>-р «а», копией должностной инструкции, копией постановления от <ДАТА17> года <НОМЕР>, копиями постановления: от <ДАТА19> г., от <ДАТА18> г. <НОМЕР>, копией правил осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в администрации муниципального образования «Суземское городское поселение», копией дополнительного соглашения к делу <НОМЕР> от <ДАТА8> года, копией договора <НОМЕР>, копией соглашения, копией договора оказания услуг, копией договора <НОМЕР>., копией договора от <ДАТА12> года, копиями пояснений, объяснениями самого Семешина Ю.И.
Действия Семешина Ю.И. суд квалифицирует по ст. 13.11 КоАП РФ - нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).
Учитывая характер совершенного административного правонарушения, суд считает необходимым назначить Семешину Ю.И. наказание в виде административного штрафа.
Руководствуясь ст. 13.11, 29.10, 30.1 Кодекса об административных правонарушениях РФ, мировой судья
ПОСТАНОВИЛ:
Заместителя главы <ОБЕЗЛИЧЕНО> администрации Семешина <ФИО2> признать виновным по ст.13.11 КоАП РФ и назначить наказание в виде административного штрафа в размере 500 (пятьсот) рублей.
Реквизиты администратора доходов: УФК по <АДРЕС> области (Прокуратура <АДРЕС> области) л/с 04271435280, ИНН <НОМЕР>, КПП <НОМЕР>, р/с 40101810300000010008 Отделение Брянск, БИК <НОМЕР>, ОКТМО 15701000 КБК 415 1 16 90050 05 6000 140 «Прочие поступления от денежных взысканий (штрафов) и иных сумм в возмещение ущерба, зачисляемые в бюджеты муниципальных районов».
Постановление может быть обжаловано в <АДРЕС> районный суд в течение 10 дней со дня вручения или получения копии постановления через участок <НОМЕР> <АДРЕС> судебного района <АДРЕС> области.
Мировой судья участка <НОМЕР>
<АДРЕС> судебного района
<АДРЕС> области С.А. Алешечкин
