Постановление по делу № 5-660/2023 от 23.08.2023 - По статье 13.11 КоАП РФ.

Дело <НОМЕР>

ПОСТАНОВЛЕНИЕ

по делу об административном правонарушении

<ДАТА1> город <АДРЕС>

Мировой судья судебного участка <НОМЕР> <АДРЕС> судебного района г. <АДРЕС> <ФИО1>(690033 г. <АДРЕС>, ул. <АДРЕС>,12), рассмотрев с участием помощника прокурора <АДРЕС> района г. <АДРЕС> <ФИО2> дело об административном правонарушении в отношении <ФИО3>, <ДАТА2> г.р., гражд. РФ, урож. г. <АДРЕС>, прож. г. <АДРЕС>, ул. <АДРЕС>, 68-136, паспорт <НОМЕР> от <ДАТА3>, работающей ЧОУ «<АДРЕС> международная средняя общеобразовательная школа» менеджер по кадрам, ответственная за сбор, хранение и обработку персональных данных в 2022-2023 учебном году, привлекаемой к административной ответственности за совершение административного правонарушения, предусмотренного ст.13.11 ч.1 КоАП РФ,

Установил:

Прокуратурой <АДРЕС> р-на г. <АДРЕС> во исполнение поручения прокуратуры ПК совместно со специалистами Управления Роскомнадзора по ПК проведена проверка ЧОУ «<АДРЕС> международная средняя общеобразовательная школа» на предмет соблюдения требований законодательства о персональных данных, по результатам которой выявлены следующие нарушения. Согласно ч.1 ст.13.11 КоАП РФ обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи и статьей 17.13 настоящего Кодекса, если эти действия не содержат уголовно наказуемого деяния, - влечёт наложение административного штрафа на граждан в размере от двух тысяч до шести тысяч рублей; на должностных лиц - от десяти тысяч до двадцати тысяч рублей; на юридических лиц - от шестидесяти тысяч до ста тысяч рублей. Частью 2 ст.3 ФЗ от <ДАТА4> <НОМЕР> «О персональных данных» определено, что оператор это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Согласно ч.4 ст.5 Закона о персональных данных содержание и объём обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. В соответствии с ч.1 ст.22 Закона о персональных данных оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своём намерении осуществлять обработку персональных данных. В соответствии с ч.1 ст.22.1 Закона о персональных данных оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных. Лицо, ответственное за организацию обработки персональных данных, получает указания непосредственно от исполнительного органа организации, являющейся оператором, и подотчётно ему (ч. 2 ст.22.1 Закона о персональных данных). Оператор, в соответствии со ст.18.1 Закона о персональных данных обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятым в соответствии с ним нормативными правовыми актами. Согласно п.4 ч.1 ст.18.1 Закона о персональных данных оператор обязан осуществлять внутренний контроль и (или) аудит соответствия обработки персональных данных и принятым в соответствии с ним нормативным правовым актам, требованиям к пятите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора. На основании п.5 ч.1 ст.18.1 Закона о персональных данных оператор обязан давать оценку вреда в соответствии с требованиями установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинён субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом. В п.6 ч.1 ст.18.1 Закона о персональных данных предусмотрено, что работники оператора, непосредственно осуществляющие обработку персональных данных должны быть ознакомлены с положениями законодательства РФ о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных. Обработка персональных данных допускается в случаях, предусмотренных п.1 - п.11 ч.1 ст.6 Закона о персональных данных. Так, обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, которое в силу ч.1 ст.9 Закона о персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. В ходе проверки установлено, что ЧОУ «<АДРЕС> международная средняя общеобразовательная школа» внесён в реестр операторов, осуществляющих обработку персональных данных, приказом Управления Роскомнадзора по ПК <НОМЕР> от <ДАТА5>, под регистрационным номером <НОМЕР>, на основании Уведомления об обработке персональных данных. В нарушение п.4 ч.1 ст.18.1 Закона о персональных данных Оператором не представлена информация об осуществлении внутреннего контроля и (или) аудита соответствия обработки персональных данных Закону о персональных данных и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора. Также, в нарушение п.5 ч.1 ст.18.1 Закона о персональных данных и Приказа Роскомнадзора от <ДАТА6> <НОМЕР> «Об утверждении Требований к оценке вреда, который может быть причинён субъектам персональных данных в случае нарушения Федерального закона о персональных данных» Оператором не предоставлена информация о проведении оценки вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинён субъектам персональных данных в случае нарушения Закона о персональных данных, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных. Кроме того, в рамках проверочных мероприятий Оператором не представлено сведений об исполнении положения п.6 ч.1 ст.18.1 Закона о персональных данных (ознакомление работников с положениями законодательства РФ о персональных данных, в том числе с требованиями к защите персональных данных). В соответствии с п.13 постановления Правительства РФ от <ДАТА7> <НОМЕР> «Об утверждении Положения об особенностях обработки персональных данных осуществляемой без использования средств автоматизации» обработка персональных данных, осуществляемой без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ. Оператором не исполняется требование п.13 постановления Правительства РФ <НОМЕР> от <ДАТА7> г. Оператор является администратором Интернет - ресурса https://vladintschool.ru. В разделе «Вопрос директору» (по URL- адресу: https://vladintschool.ru/vopros-direktoru) установлена форма сбора персональных данных в объёме: фамилия, имя, отчество, адрес электронной почты. Вместе с тем, в нарушение ч.1 ст.9 Закона о персональных данных по URL- адресу: https://vladintschool.ru/vopros-direktoru отсутствует форма получения согласия на обработку персональных данных. Согласно ч.4 ст.5 Закона о персональных данных обработке персональных данных подлежат только персональные данные, которые отвечают целям их обработке. В соответствии с ч.5 ст.5 Закона о персональных данных содержание и объём обрабатываемых персональных данных должны соответствовать заявленным целям. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. В ходе анализа личных дел работников: <ФИО4>, <ФИО5> установлено, что в их личных делах имеются копии паспортов, что является избыточным по отношению к заявленным целям обработки персональных данных работников. Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством РФ, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных (п.5 ч.1. ст.6 Закона о персональных данных). В ходе проверки проанализирован договор об оказании платных образовательных услуг <НОМЕР> от <ДАТА9> заключенный между оператором и <ФИО6>. Вместе с экземпляром Договора имелась копия паспорта <ФИО6>, что означает избыточность сбора персональных данных по отношению к заявленным целям их обработки, а также обработку персональных данных в отсутствии правовых оснований, предусмотренных п.1 - п.11 ч.1 ст.6 Закона о персональных данных. Вышеуказанные нарушения не способствуют соблюдению требований законодательства о персональных данных, основных принципов обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. В соответствии с ч.1 ст.2.1. КоАП РФ административным правонарушением признается противоправное, виновное действие (бездействие) физического или юридического лица, за которое настоящим Кодексом или законами субъектов РФ об административных правонарушениях установлена административная ответственность. Частью 1 ст.13.11 КоАП РФ предусмотрена административная ответственность за обработку персональных данных в случаях, не предусмотренных законодательством РФ в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи и статьей 17.13 настоящего Кодекса, если эти действия не содержат уголовно наказуемого деяния. Место совершения административного правонарушения: <АДРЕС> край, г. <АДРЕС>, ул. <АДРЕС>, 10. Время совершения административного правонарушения - <ДАТА10> (дата выявления). В соответствии с трудовым договором <НОМЕР> от <ДАТА11> <ФИО3> принята на должность менеджера по кадрам. Приказом <НОМЕР> от <ДАТА12> <ФИО3> назначена ответственным за сбор, хранение и обработку персональных данных в ЧОУ ВМСОШ в 2022-2023 учебном году. Своими действиями <ФИО3> совершила административное правонарушение, предусмотренное ч.1 ст.13.11 КоАП РФ - обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи и статьей 17.13 настоящего Кодекса, если эти действия не содержат уголовно наказуемого деяния. Вина правонарушителя полностью доказана и подтверждается постановлением о возбуждении дела об административном правонарушении от <ДАТА13>

Предусмотренных ст.ст.4.2, 4.3 КоАП РФ обстоятельств, смягчающих и отягчающих административную ответственность судом не установлено. <ФИО7> участия в судебном заседание не принимала, о времени и месте рассмотрения административного дела уведомлялась надлежащим образом, карточка почтового уведомления вернулась «Истечение срока хранения и неявка адресата». Суд не признает обязательным присутствие правонарушителя при рассмотрении дела. Учитывая обстоятельства дела и руководствуясь ст.ст.13.11 ч.1, 25.1, 29.10 КоАП РФ суд,

Постановил:

<ФИО3> признать виновной в нарушении ст.13.11 ч.1 КоАП РФ и назначить наказание в виде штрафа в размере 15000 (пятнадцать тысяч) рублей.

Постановление может быть обжаловано в Федеральный суд <АДРЕС> района города <АДРЕС> через мирового судью судебного участка <НОМЕР> <АДРЕС> судебного района города <АДРЕС> в течение 10 суток с момента получения или вручения копии постановления. Копию квитанции об оплате штрафа предоставить на судебный участок <НОМЕР>. Срок предъявления к исполнению два года.

Мировой судья <ФИО1>

Административный штраф: Дальневосточное ГУ Банка РФ УФК по ПК г. <АДРЕС> (департамент по координации правоохранительной деятельности ПК л/с <***>); БИК ТОФК 010507002; ИНН <НОМЕР>

Единый казначейский счёт: 40102810545370000012; Казначейский счёт: 03100643000000012000;

КПП <НОМЕР> ОГРН <НОМЕР> ОКТМО 05701000; КБК 785 1 16 01133 01 9000 140 УИН000030580023082023324749