Решение № 12-170/2017 от 17 мая 2017 г. по делу № 12-170/2017Промышленный районный суд г. Смоленска (Смоленская область) - Административное Дело № 12-170/2017 по делу об административном правонарушении г. Смоленск 18 мая 2017 года Судья Промышленного районного суда города Смоленска (214001, <...>) Самошенкова Е.А. при секретаре Ермаковой Е.А., рассмотрев жалобу ФИО3 на постановление врио начальника УФСБ России по Смоленской области от ДД.ММ.ГГГГ года по делу об административном правонарушении, предусмотренном ч.6 ст. 13.12 КоАП РФ, Постановлением врио начальника УФСБ России по Смоленской области от ДД.ММ.ГГГГ года ФИО3 признан виновным в совершении административного правонарушения, предусмотренного ч.6 ст. 13.12 КоАП РФ, и ему назначено административное наказание в виде административного штрафа в размере <данные изъяты> руб. Не согласившись с указанным постановлением, ФИО3 подал жалобу, в которой указывает, что из оспариваемого постановления усматривается, что его привлекли к административной ответственности за то, что в <данные изъяты> «<данные изъяты>» не применялись средства криптографической защиты информации соответствующего класса. Кроме того, в постановлении имеется ссылка на п. <данные изъяты> Должностной инструкции ответственного за обеспечение безопасности персональных данных <данные изъяты>», при этом, указанным пунктом установлено, что в его функции входит организация (распределение обязанностей и контроль за исполнением поручений) работ по обеспечению безопасности персональных данных, т.е. его функция заключалась в распределении обязанностей за исполнением поручением при проведении работ. Для того, что бы он (ФИО4) приступил к исполнению данной функции необходимо, что бы кто-то инициировал само проведение работ, а именно наличие докладной записки лица, на которое возложено выполнение работ по обеспечению безопасности. Поскольку, указанной докладной записки он не получал, то соответственно отсутствовали основания для организации какой-либо работы. Кроме того, в соответствии с приказом № № от ДД.ММ.ГГГГ года лицом, которое является ответственным за выполнение работ по обеспечению безопасности является ФИО2 Считает, что не является лицом, ответственным за организацию обработки персональных данных. Согласно уведомлению, направленному <данные изъяты>» в <данные изъяты>, этим лицом является совершенно иной работник предприятия. Он (ФИО4) был назначен лицом, ответственным за обеспечение безопасности персональных данных, исключительно в целях упорядочения внутренних отношений между работниками, непосредственно выполняющими работы, связанные с обеспечением безопасности персональных данных, и может быть привлечён только к дисциплинарной ответственности за отсутствие надлежащей организации уже выполняющихся работ. В связи с чем, просит постановление врио начальника УФСБ России по Смоленской области от ДД.ММ.ГГГГ года по делу об административном правонарушении, предусмотренном ч.6 ст. 13.12 КоАП РФ, отменить, производство по делу прекратить. В судебном заседании ФИО3 доводы жалобы поддержал по изложенным в ней основаниям, считает, что субъектом административной ответственности не является, так как проведение работ инициируется им только на основании соответствующей докладной записки лица, на которого возложено выполнение работ по обеспечению безопасности. Просит постановление врио начальника УФСБ России по Смоленской области от ДД.ММ.ГГГГ года по делу об административном правонарушении, предусмотренном ч.6 ст. 13.12 КоАП РФ, отменить, производство по делу прекратить Представитель УФСБ России по Смоленской области ФИО5, с доводами жалобы не согласился, пояснил, что как усматривается из жалобы ФИО3 и данных им объяснений факт правонарушения им не оспаривается, оспаривается законность постановления в части определения субъекта правонарушения. ДД.ММ.ГГГГ уполномоченным должностным лицом – сотрудником Управления ФИО1 . при непосредственном обнаружении признаков административного правонарушения в отношении заместителя директора <данные изъяты>» ФИО3 был составлен протокол об административном правонарушении, предусмотренном ч.6 ст. 13.12 КоАП РФ. Так, согласно материалам дела, <данные изъяты>» является <данные изъяты>, осуществляющим обработку персональных данных, зарегистрированным в Реестре операторов, осуществляющих обработку персональных данных (рег. № №). В организации функционирует информационная система персональных данных «<данные изъяты>», которой определен 3 уровень защищенности персональных данных при их обработке в информационной системе. В соответствии с пп. «г» п. 13, п. 14 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 01.11.2012 № 1119 (далее – Постановление № 1119), одним из обязательных требований для обеспечения 3-го уровня защищенности персональных данных при их обработке в информационных системах является требование об использовании «средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации» (приказ ФСТЭК России от 18.02.2013 № 21, приказ ФСБ России от 10.07.2014 № 378). Однако, в нарушение требований действующего законодательства обмен персональными данными при их обработке в информационной системе «СТЭК ЖКХ» осуществлялся без применения средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства в области обеспечения безопасности информации. За указанное нарушение требований действующего законодательства по защите информации (персональных данных) должностное лицо, ответственное за обеспечение безопасности персональных данных в информационной системе организации – ФИО3, был привлечен к административной ответственности. Пунктом 14 Постановления № 1119, кроме того, установлено, что для обеспечения 3-го уровня защищенности персональных данных при их обработке в информационных системах необходимо, в том числе, чтобы было назначено должностное лицо (работник), ответственное за обеспечение безопасности персональных данных в информационной системе организации. Так, приказом директора <данные изъяты>» № № от ДД.ММ.ГГГГ ответственным за обеспечение безопасности персональных данных в информационных системах персональных данных в организации назначен заместитель директора <данные изъяты>» ФИО3 Согласно п. <данные изъяты>. должностной инструкции ответственного за обеспечение безопасности персональных данных в <данные изъяты>» от ДД.ММ.ГГГГ на ФИО3, как на специалиста по защите персональных данных, были возложены функции по организации (распределению обязанностей и контролю за исполнением поручением) работ по обеспечению безопасности персональных данных при их обработке в информационной системе <данные изъяты>». Таким образом, в соответствии с требованиями законодательства (п. 14 Постановления № 1119), назначение должностного лица, ответственного за обеспечение безопасности персональных данных в информационной системе организации (т.е. за их защиту), является дополнительным требованием по обеспечению 3 уровня защищенности персональных данных в информационных системах. Предусмотренная же согласно ст. 22.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» обязанность организаций по назначению лица, ответственного за организацию обработки персональных данных в организациях, распространяется на всех операторов, обрабатывающих персональные данные, в независимости от способа обработки персональных данных, определенного уровня защищенности и не является требованием обеспечения соответствующего уровня защищенности персональных данных при их обработке в информационных системах, а относится к общим мерам по организации обработки персональных данных (обработка персональных данных – любые действия, в том числе без использования технических средств, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п.3 ст. 3 Федерального закона «О персональных данных»). ФИО3 как должностное лицо, ответственное за обеспечение безопасности персональных данных в информационных системах <данные изъяты>», имеющий высшее юридическое образование, обязан был обеспечить выполнение в организации требований п. 13 Постановления № № (нормативного правового акта прямого действия). Однако, в связи с ненадлежащим исполнением ФИО3 возложенных на него обязанностей, в <данные изъяты>» нарушались установленные требования к защите персональных данных при их обработке в информационных системах. В ходе производства по вышеуказанному административному делу факт нарушения требований о защите информации был доказан. Считает, что должностным лицом Управления был верно определен субъект административного правонарушения – заместитель директора <данные изъяты>» ФИО3, привлеченный в установленном порядке к ответственности за административное правонарушение, предусмотренное ч. 6 ст. 13.12 КоАП РФ. Оснований для отмены постановления по делу об административном правонарушении не имеется. Кроме того, полагает, что заявителем пропущен установленный ст. 30.3 КоАП РФ срок обжалования постановления по делу об административном правонарушении, так как копию постановления о назначении административного наказания он получил ДД.ММ.ГГГГ, а в суд с жалобой обратился ДД.ММ.ГГГГ – по истечению десяти суток со дня получения копии постановления. На основании изложенного просит суд в удовлетворении жалобы отказать. Выслушав объяснения лица, в отношении которого ведется производство по делу об административном правонарушении, представителя УФСБ России по Смоленской области, исследовав письменные доказательства, судья приходит к следующим выводам. Согласно ч. 1 ст. 30.1 КоАП РФ постановление по делу об административном правонарушении может быть обжаловано лицами, указанными в ст. 25.1 - 25.5 настоящего Кодекса, вынесенное судьей - в вышестоящий суд. В соответствии с ч. 1 ст. 30.3 КоАП РФ жалоба на постановление по делу об административном правонарушении может быть подана в течение десяти суток со дня вручения или получения копии постановления. Копия обжалуемого постановления от ДД.ММ.ГГГГ была получена ФИО3 ДД.ММ.ГГГГ, и согласно почтового конверта жалоба направлена первоначально в <данные изъяты> районный суд г.Смоленска ДД.ММ.ГГГГ (л.д. 15). Определением <данные изъяты> районного суда г.Смоленска от ДД.ММ.ГГГГ жалоба ФИО3 на постановление от ДД.ММ.ГГГГ о назначении административного наказания была передана в Промышленный районный суд г.Смоленска. Таким образом, жалоба на постановление подана заявителем без нарушения срока, установленного ч.1 ст.30.3 КоАП РФ. Задачами производства по делам об административных правонарушениях являются всестороннее, полное, объективное и своевременное выяснение обстоятельств каждого дела, разрешение его в соответствии с законом, обеспечение исполнения вынесенного постановления, а также выявление причин и условий, способствовавших совершению административных правонарушений (ст.24.1 КоАП РФ). На основании ст.26.1 КоАП РФ в ходе разбирательства по делу об административном правонарушении подлежат выяснению наличие события административного правонарушения, виновность лица в совершении административного правонарушения и иные обстоятельства, имеющие значение для правильного разрешения дела. В соответствии с ч.1, 2 ст.26.2 КоАП РФ доказательствами по делу об административном правонарушении являются любые фактические данные, на основании которых судья, орган, должностное лицо, в производстве которых находится дело, устанавливают наличие или отсутствие события административного правонарушения, виновность лица, привлекаемого к административной ответственности, а также иные обстоятельства, имеющие значение для правильного разрешения дела. Эти данные устанавливаются протоколом об административном правонарушении, иными протоколами, предусмотренными КоАП РФ, объяснениями лица, в отношении которого ведется производство по делу об административном правонарушении, показаниями потерпевшего, свидетелей, заключениями эксперта, иными документами, а также показаниями специальных технических средств, вещественными доказательствами. В судебном заседании установлено, что ДД.ММ.ГГГГ года оперуполномоченным УФСБ России по Смоленской области ФИО1 отношении ФИО3 составлен протокол об административном правонарушении № №, согласно которого обмен персональными данными при их обработке в информационной системе «<данные изъяты>» осуществлялся без применения средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства в области обеспечения безопасности информации. Постановлением врио начальника УФСБ России по Смоленской области от ДД.ММ.ГГГГ года ФИО3 признан виновным в совершении административного правонарушения, предусмотренного ч.6 ст. 13.12 КоАП РФ, и ему назначено административное наказание в виде административного штрафа в размере <данные изъяты> руб. Часть 6 ст. 13.12 КоАП РФ, предусматривает административную ответственность за нарушение требований о защите информации (за исключением информации, составляющей государственную тайну), установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации, за исключением случаев, предусмотренных частями 1, 2 и 5 настоящей статьи, и влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей; на должностных лиц - от одной тысячи до двух тысяч рублей; на юридических лиц - от десяти тысяч до пятнадцати тысяч рублей. В соответствии со статьей 2.4 КоАП РФ административной ответственности подлежит должностное лицо в случае совершения им административного правонарушения в связи с неисполнением либо ненадлежащим исполнением своих служебных обязанностей. Факт нарушения ФИО3 заместителем директора <данные изъяты>», своих должностных обязанностей подтверждается собранными по делу доказательствами, а именно: протоколом об административном правонарушении от ДД.ММ.ГГГГ года, протоколом осмотра помещений, территорий и находящихся там вещей и документов от ДД.ММ.ГГГГ года, должностной инструкцией ответственного за обеспечение безопасности персональных данных в <данные изъяты>». Данные доказательства отвечают требованиям ст. 26.2 КоАП РФ, предъявляемым к доказательствам по делу об административном правонарушении. Довод жалобы, о том, что ФИО3 не является субъектом административной ответственности, так как проведение работ инициируется им только на основании соответствующей докладной записки лица, на которого возложено выполнение работ по обеспечению безопасности, не нашел своего подтверждения. Так ФИО3 ДД.ММ.ГГГГ принят на должность заместителя директора <данные изъяты>», что подтверждается трудовым договором № № от ДД.ММ.ГГГГ, Приказ № № от ДД.ММ.ГГГГ. В соответствии с должностной инструкцией заместителя директора, заверенной директором, в обязанности заместителя директора входит выполнение работ по осуществлению правовой деятельности, направленной на повышение эффективности и рентабельности работы предприятия (п. 1.5), в связи с чем, обязан организовывать контроль и учет договоров, производить контроль за исполнением документов, носящих правовой и имущественный характер, производит контроль за исполнением договоров(п. 2.5), а также имеет право запрашивать и получать необходимые документы, относящиеся к вопросам его деятельности (п. 3.2), вносить предложения по совершенствованию работы предприятия (п. 3.3). В соответствии с п. 6.1 заместитель директора несет ответственность в соответствии с законодательством РФ, за неисполнение или ненадлежащее исполнение возложенных на него трудовых обязанностей, настоящей инструкцией, за действия и бездействия, ведущие к нарушению прав и законных интересов граждан, а также разглашение сведений ставших известными в связи с исполнением им трудовых обязанностей. С целью организации работ по обеспечению безопасности персональных данных на предприятии ответственным за обеспечение безопасности персональных данных на предприятии назначен заместитель директора ФИО3, приказ от ДД.ММ.ГГГГ № №, с возложением обязанностей по организации работ по обеспечению безопасности персональных данных при их обработке в информационных системах, и согласно должностной инструкции, с которой он в установленном порядке был ознакомлен, в п. <данные изъяты> прямо указано, что в его обязанности входит организация (распределение обязанностей и контроль за исполнением поручений) работ по обеспечению безопасности персональных данных (ПД) при их обработке в информационных системах, а проведение работ инициируется им только на основании соответствующей докладной записки лица, на которого возложено выполнение работ по обеспечению безопасности. При этом, согласно должностной инструкции, Специалист по защите персональных данных имеет право запрашивать и получать необходимые материалы для организации работ по вопросам обеспечения безопасности персональных данных (п. 3.1); готовит предложения о привлечении к проведению работ по защите информации на договорной основе организации, имеющих лицензии на право проведения работ в области защиты информации (п. 3.2), пользоваться необходимой помощью специалистов из числа сотрудников предприятия для проведения исследований, разработки решении, мероприятий и организационно – распорядительных документов по вопросам обеспечения безопасности персональных данных (п. 3.3) и в соответствии с п. 4.1 несет ответственность за правильность и объективность принимаемых решений и выполнение возложенных на него обязанностей. ФИО3 доказательств выполнения своих должностных обязанностей не представил. Совершенное ФИО3 деяние квалифицировано в соответствии с установленными обстоятельствами и нормами Кодекса Российской Федерации об административных правонарушениях, а доводы жалобы сводятся к переоценке исследованных доказательств, выводы о виновности ФИО3 в совершении данного правонарушения не опровергают. Административное наказание назначено с учетом общих правил назначения наказания, в соответствии с требованиями ст.ст.3.1, 3.8 и 4.1 КоАП РФ и определено в пределах санкции ч.6 ст.13.12 КоАП РФ. Постановление о привлечении ФИО6 к административной ответственности за совершение административного правонарушения, предусмотренного ч.6 ст.13.12 КоАП РФ, соответствует требованиям ст.29.10 КоАП РФ и вынесено в пределах срока давности привлечения к административной ответственности, установленного ч.1 ст.4.5 КоАП РФ для данной категории дел. При таких обстоятельствах, учитывая, что наказание ФИО3 назначено в соответствии с санкцией ч.6 ст.13.12 КоАП РФ, с соблюдением установленного административно - процессуальным законодательством порядка, обжалуемое постановление, вынесенное с учетом конкретных обстоятельств дела, законно и обоснованно, оснований для его отмены и удовлетворения жалобы не имеется. Руководствуясь ст.ст. 30.1-30.9 КоАП РФ, судья Постановление врио начальника УФСБ России по Смоленской области от ДД.ММ.ГГГГ года по делу об административном правонарушении, предусмотренном ч.6 ст. 13.12 КоАП РФ в отношении ФИО3 оставить без изменения, а жалобу ФИО3 – без удовлетворения. Решение вступает в законную силу со дня его принятия. Судья Е.А. Самошенкова Суд:Промышленный районный суд г. Смоленска (Смоленская область) (подробнее)Судьи дела:Самошенкова Елена Анатольевна (судья) (подробнее)Последние документы по делу: |
