копія
16 вересня 2021 року Справа № 608/1904/21
Номер провадження3/608/1057/2021
Суддя Чортківського районного суду Тернопільської області Коломієць Н. З. , з участю особи, яка притягається до адміністративної відповідальності ОСОБА_1 , розглянувши матеріали, які надійшли від Секретаріату Уповноваженого Верховної Ради України з прав людини про притягнення до адміністративної відповідальності ОСОБА_1 , ІНФОРМАЦІЯ_1 , громадянки України, уродженки м. Чортків Тернопільської області, жительки АДРЕСА_1 , невійськовозобов'язаної, з вищою освітою, одруженої, на утриманні одна неповнолітня дитина, керуючої справами виконавчого комітету Чортківської міської ради Тернопільської області, не судимої, до адміністративної відповідальності протягом року не притягалася,
за ч. 4 ст. 188-39 Кодексу України про адміністративні правопорушення, -
ОСОБА_1 , перебуваючи на посаді керуючої справами виконавчого комітету Чортківської міської ради Тернопільської області, всупереч ч.3 ст. 10, ч.1 ст. 24 Закону України «Про захист персональних даних» розмістила та оприлюднила на веб-сайті міської ради рішення виконавчого комітету №№ 101, 102, 103, 104 від 27.01.2021 та №№ 193, 194, 196, 197, 198, 200, 201, 202 від 24.03.2021, які містять персональні дані фізичних осіб (прізвища, ім'я, по-батькові, дати народження, адреси проживання, обставини особистого життя тощо). Оприлюднення вищевказаної інформації було припинено 27 серпня 2021 року о 14 год. 06 хв. Своїми діями вчинила адміністративне правопорушення, передбачене ч.4 ст. 188-39 КУпАП.
В судовому засіданні ОСОБА_1 вину не визнала, оскільки вважає, що не є особою, на яку покладено обов'язок контролю за розміщенням інформації на веб-сайті Чортківської міської ради.
Вислухавши особу, яка притягається до адміністративної відповідальності - ОСОБА_1 , вивчивши матеріали адміністративної справи, прихожу до наступних висновків.
Завданням провадження в справах про адміністративні правопорушення, згідно зі ст. 245 КУпАП, є всебічне, повне і об'єктивне з'ясування обставин кожної справи з дотриманням процесуальної форми її розгляду.
Відповідно до ст. 280 КУпАП суддя при розгляді справи про адміністративне правопорушення зобов'язаний з'ясувати: чи було вчинено адміністративне правопорушення, чи винна особа у його вчиненні, чи підлягає вона адміністративній відповідальності та інші обставини, що мають значення для правильного вирішення справи.
Згідно ст. 9 КУпАП адміністративним правопорушенням (проступком) визнається протиправна, винна (умисна або необережна) дія чи бездіяльність, яка посягає на громадський порядок, власність, права і свободи громадян, на встановлений порядок управління і за яку законом передбачено адміністративну відповідальність.
Статтею 14 КУпАП передбачено, що посадові особи підлягають адміністративній відповідальності за адміністративні правопорушення, пов'язані з недодержанням установлених правил у сфері охорони порядку управління, державного і громадського порядку, природи, здоров'я населення та інших правил, забезпечення виконання яких входить до їх службових обов'язків.
Відповідно до положень ст. 251 КУпАП обов'язок щодо збирання доказів покладається на осіб, уповноважених на складання протоколів про адміністративні правопорушення, визначених ст. 255 цього Кодексу, при цьому доказами в справі про адміністративне правопорушення, є будь-які фактичні дані, на основі яких у визначеному законом порядку орган (посадова особа) встановлює наявність чи відсутність адміністративного правопорушення, винність даної особи в його вчиненні та інші обставини, що мають значення для правильного вирішення справи.
Частиною 4 ст.188-39 КУпАП передбачена адміністративна відповідальність за недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних, що призвело до незаконного доступу до них або порушення прав суб'єкта персональних даних.
Правові відносини, пов'язані із захистом і обробкою персональних даних, і спрямовані на захист основоположних прав і свобод людини і громадянина, зокрема права на невтручання в особисте життя, у зв'язку з обробкою персональних даних, регулює Закон України «Про захист персональних даних» (ч. 1 ст. 1 Закону). Законодавство про захист персональних даних складають Конституція України, вказаний Закон, інші закони та підзаконні нормативно-правові акти, міжнародні договори України, згода на обов'язковість яких надана Верховною Радою України (ст. 3 Закону).
Статтею 32 Конституції України передбачено, що ніхто не може зазнавати втручання в його особисте і сімейне життя, крім випадків, передбачених Конституцією України. Не допускається збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.
Конституційний Суд України, даючи офіційне тлумачення частин 1, 2 статті 32 Конституції України, у своєму рішенні від 20 січня 2012 року №2-рп/2012 зазначив, що інформація про особисте та сімейне життя особи (персональні дані про неї) - це будь-які відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована, а саме: національність, освіта, сімейний стан, релігійні переконання, стан здоров'я, матеріальний стан, адреса, дата і місце народження, місце проживання та перебування тощо, дані про особисті майнові та немайнові відносини цієї особи з іншими особами, зокрема членами сім'ї, а також відомості про події та явища, що відбувалися або відбуваються у побутовому, інтимному, товариському, професійному, діловому та інших сферах життя особи, за винятком даних стосовно виконання повноважень особою, яка займає посаду, пов'язану зі здійсненням функцій держави або органів місцевого самоврядування.
У розумінні ст. 2 Закону України «Про захист персональних даних»персональні дані - відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.
Відповідно до ч. 5 ст. 6 вказаного Закону обробка персональних даних здійснюється для конкретних і законних цілей, визначених за згодою суб'єкта персональних даних, або у випадках, передбачених законами України, у порядку, встановленому законодавством.
Не допускається обробка даних про фізичну особу, які є конфіденційною інформацією, без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини (ч. 6 ст. 6 Закону).
Згода суб'єкта персональних даних, згідно даного Закону, добровільне волевиявлення фізичної особи (за умови її поінформованості) щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловлене у письмовій формі або у формі, що дає змогу зробити висновок про надання згоди (ст. 2 Закону).
Відповідно до ч. 2 ст. 14 Закону України «Про захист персональних даних» поширення персональних даних без згоди суб'єкта персональних даних або уповноваженої ним особи дозволяється у випадках, визначених законом, і лише (якщо це необхідно) в інтересах національної безпеки, економічного добробуту та прав людини.
При обробці відомостей про фізичну особу володілець персональних даних вживає заходів щодо забезпечення їх захисту, у тому числі за допомогою організаційних та технічних заходів.
При зберіганні персональних даних володілець повинен забезпечити їх цілісність (схоронність) та встановити відповідний режим доступу до них.
На працівників суб'єктів відносин, пов'язаних із персональними даними, покладається обов'язок не розголошувати у будь-який спосіб персональні дані, які їм було довірено або які стали відомі у зв'язку з виконанням професійних чи службових або трудових обов'язків, крім випадків, передбачених законом. Використання таких даних повинно здійснюватися лише відповідно до їхніх професійних чи службових або трудових обов'язків (частина 3 статті 10 Закону України «Про захист персональних даних»).
Відповідно до ч. 1 ст. 24 Закону України «Про захист персональних даних» на володільця (розпорядника) персональних даних покладено обов'язок забезпечувати захист персональних даних від випадкової втрати або знищення, від незаконної обробки, у тому числі незаконного знищення чи доступу до персональних даних.
Частиною 2 статті 4 Закону України «Про захист персональних даних» передбачено, що володільцем чи розпорядником персональних даних можуть бути підприємства, установи і організації усіх форм власності, органи державної влади чи органи місцевого самоврядування, фізичні особи - підприємці, які обробляють персональні дані відповідно до закону.
Водночас частиною 3 цієї ж статті встановлено обмеження, відповідно до якого розпорядником персональних даних, володільцем яких є орган державної влади чи орган місцевого самоврядування, крім цих органів, може бути лише підприємство державної або комунальної форми власності, що належить до сфери управління цього органу.
Для того, щоб визначити коло посадових осіб, які можуть бути притягнуті до адміністративної відповідальності за ч. 4 ст.188-39 КУпАП потрібно проаналізувати правозастосовний акт, який регламентує їх діяльність.
Відповідно до пункту 1.1 Регламенту виконавчого комітету Чортківської міської ради, затвердженого рішенням виконавчого комітету № 1 від 26.11.2020, регламент виконавчого комітету Чортківської міської ради визначає організаційно-процедурні питання діяльності виконавчого комітету міської ради, управлінь, відділів та інших виконавчих органів Чортківської міської ради (далі - виконавчих органів міської ради).
Згідно з пунктом 3.2 Положення про офіційний веб-сайт Чортківської міської ради та її виконавчого комітету ( далі - Положення), затвердженого рішенням XXIX сесії VII скликання 14.09.2017 № 787, персональна відповідальність за інформаційне наповнення Сайту покладається на керівника виконавчого органу - відповідного постачальника інформації. Відповідно до пункту 3.6 Положення, не допускається розміщення інформації, розповсюдження чи оприлюднення якої заборонено законодавством.
Рішенням II сесії VIII скликання №7 від 19.11.2020 на посаду керуючої справами виконавчого комітету Чортківської міської ради призначено ОСОБА_1 .
Відповідно до посадових обов'язків, затверджених Чортківським міським головою 17.03.2021 ОСОБА_1 , поряд з іншим, організовує офіційне оприлюднення рішень виконавчого комітету, розпоряджень міського голови. Вищевказані рішення виконавчого комітету з інформацією про персональні були надіслані для оприлюднення на сайті відділу електронних послуг (колишньому сектору інформаційно-програмного забезпечення апарату міської ради, перейменованому згідно з рішенням міської ради №174 від 24.12.2020).
Згідно з інформацією Чортківської міської ради №14 від 01.09.2021, оприлюднення рішень виконавчого комітету № № 101, 102, 103, 104 від 27.01.2021 та №№ 193, 194, 196, 197, 198, 200, 201, 202 від 24.03.2021 з персональними даними, які були розміщені, оприлюднені на веб- порталі міської ради з порушенням захисту персональних даних, припинено 27.08.2021 о 14 годині 06 хвилин.
Таким чином, у зв'язку із поширенням персональних даних осіб на офіційному веб-сайті Чортківської міської ради, зазначених у вищевказаних рішеннях, керуючою справами виконавчого комітету міської ради ОСОБА_1 , до посадових обов'язків якої входить організація оприлюднення рішень виконавчого комітету, порушено вимоги частини третьої статті 10 та частини першої статті 24 Закону України «Про захист персональних даних» та не забезпечено належний рівень захисту персональних даних осіб за адресою Чортківської міської ради (Україна, 48500, Тернопільська обл., місто Чортків, вулиця Тараса Шевченка, будинок 21), чим упродовж з січня та березня 2021 року по 27 серпня 2021 вчинено діяння, яке містить ознаки адміністративного правопорушення, передбаченого ч.4 ст. 188-39 Кодексу України про адміністративні правопорушення, а саме: недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних, що призвело до незаконного доступу до них та порушення прав суб'єктів персональних даних.
Враховуючи наведене, вважаю, що ОСОБА_1 як посадовою особою Чортківської міської ради, відповідальною за офіційне оприлюднення рішень виконавчого комітету, не було забезпечено дотримання вимог Закону щодо знеособлення персональних даних, що призвело до незаконного доступу до них невизначеного кола осіб та порушення прав осіб як суб'єктів персональних даних, зокрема, права на захист своїх персональних даних від незаконної обробки (пункт 7 частини другої статті 8 Закону).
Відповідно до ч. 2 ст. 33 КУпАП при накладенні стягнення враховуються характер вчиненого правопорушення, особа правопорушника, ступінь його вини, майновий стан, обставини, що пом'якшують і обтяжують відповідальність.
Отже, вирішуючи питання про вид стягнення, суддя враховує характер вчиненого правопорушення, яке посягає на встановлений порядок управління, особу правопорушника та вважає за необхідне накласти на ОСОБА_1 стягнення в межах санкції ч. 4 ст. 188-39 КУпАП у вигляді штрафу в мінімальному розмірі.
Керуючись Законом України «Про захист персональних даних», ст. 33, ч. 4 ст. 188-39, 283, 284 Кодексу України про адміністративні правопорушення, -
Визнати винною ОСОБА_1 , ІНФОРМАЦІЯ_1 , громадянку України, уродженку м. Чортків Тернопільської області, жительку АДРЕСА_1 у вчиненні правопорушення, передбаченого ч. 4 ст. 188-39 Кодексу України про адміністративні правопорушення та накласти стягнення у вигляді штрафу в розмірі 5 100 (п'яти тисяч сто) гривень.
Стягнути з ОСОБА_1 , ІНФОРМАЦІЯ_1 , громадянки України, уродженки м. Чортків Тернопільської області, жительки АДРЕСА_1 на рахунок ГУК у м. Києві /м. Київ/ 22030106, Код отримувача (код за ЄДРПОУ 37993783), банк отримувача Казначейство України (ЕАП), рахунок отримувача UA908999980313111256000026001, код класифікації доходів бюджету 22030106 - 454 (чотириста п'ятдесят чотири) гривні 00 копійок судового збору.
Постанова може бути оскаржена протягом десяти днів з дня її винесення до Тернопільського апеляційного суду через Чортківський районний суд.
Суддя (підпис)
Копія вірна
Оригінал постанови знаходиться в матеріалах справи № 608/1904/21.
Постанова набрала законної сили «____»___________________ р.
Суддя Н. З. Коломієць
Копію постанови видано «____»___________________ р.
Секретар: