Дело № 5-460/2023
П О С Т А Н О В Л Е Н И Е
по делу об административном правонарушении
19 апреля 2023 года город Москва
Мировой судья судебного участка № 311 Останкинского района города Москвы Ларина А.Д., рассмотрев в открытом судебном заседании дело об административном правонарушении, предусмотренном ч. 1 ст. 13.11 Кодекса РФ об административных правонарушениях, в отношении
Общества с ограниченной ответственностью «***», ИНН ***, КПП ***, ОГРН ***, дата присвоения ОГРН *** г., юридический адрес: ***, сведений о привлечении к административной ответственности за совершение однородных административных правонарушений материалы дела не содержат,
УСТАНОВИЛ:
ООО «***» совершило обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, за исключением случаев, предусмотренных частью 2 статьи 13.11 и статьей 17.13 КоАП РФ, при этом эти действия не содержат уголовно наказуемого деяния.
Так, в ходе мониторинга электронных средств массовой информации должностными лицами Роскомнадзора выявлен факт наличия 31 января 2023 года в 15 час. 49 мин. базы данных ООО «***», содержащей персональные данные клиентов (фамилия, имя, отчество, номер телефона, адрес электронной почты, место работы, адрес места работы, должность, город), на следующих Интернет-ресурсах:
_____________________.
Таким образом, ООО «***» совершило административное правонарушение, предусмотренное ч. 1 ст. 13.11 КоАП РФ.
Защитник ООО «***» - ФИО в судебное заседание явилась, вину ООО «***» в совершении инкриминируемого ему административного правонарушения признала, просила назначить административное наказание в виде административного штрафа в минимальном размере, указав, что 31 января 2023 г. ООО «***» был выявлен инцидент, повлекший утечку персональных данных, в связи с чем была создана комиссия для проведения внутреннего расследования, что подтверждается приказом №1/31.01 от 31.03.2023 г. 01 февраля 2023 г. ООО «***» составлено и направлено уведомление № 5921089 о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных направлено ООО «***» в информационную систему Роскомнадзора. По итогам внутреннего расследования было установлено, что в результате хакерской атаки злоумышленниками был получен несанкционированный доступ к базе данных ООО «***», при этом уязвимость в программном обеспечении была обнаружена и устранена, ход развития атаки был полностью восстановлен и зафиксирован в акте внутреннего расследования причин инцидента от 03.02.2023 г. ООО «***» были предприняты все возможные правовые, организационные и технические меры по обеспечению информационной безопасности и соблюдению законодательства о персональных данных. Также защитник ООО «***» при назначении наказания просила принять во внимание добровольное сообщение в Роскомнадзор об инциденте, добровольное прекращение противоправного поведения в результате выявления и устранения уязвимости в программном обеспечении, оказание содействия в производстве по делу об административном правонарушении в результате своевременного представления запрашиваемых документов и обеспечении явки представителя ООО «***» при составлении протокола об административном правонарушении.
Факт совершения административного правонарушения, предусмотренного ч. 1 ст. 13.11 КоАП РФ и вина ООО «***» в его совершении подтверждены совокупностью доказательств, достоверность и допустимость которых сомнений не вызывают, а именно:
- протоколом об административном правонарушении, в котором изложено существо правонарушения;
- письмом заместителя руководителя Роскомнадзора от 08.02.2023 № 08ВМ-9065, из содержания которого следует, что в ходе мониторинга электронных средств массовой информации Роскомнадзором на Интернет-ресурсах:_______, установлен факт наличия базы данных ООО «***», содержащей персональные данные пользователей и клиентов Интернет-ресурса _________ в объеме: фамилия, имя, отчество, номер телефона, адрес электронной почты, дата рождения, место работы, адрес места работы, должность, город. В Роскомнадзор во исполнение требований ч. 3.1 ст. 21 Федерального закона от 27.07.2006 года № 152-ФЗ «О персональных данных» поступили уведомления ООО «***» о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных. Согласно представленной ООО «***» информации датой выявления инцидента является 31.01.2023 г. Таким образом, ООО «***» подтвержден факт неправомерного доступа к базе данных, содержащей персональные данные пользователей и клиентов Интернет-ресурса ___________. В связи с чем в действиях ООО «***» содержатся признаки административного правонарушения, ответственность за которое предусмотрена ч. 1 ст. 13.11 КоАП РФ;
- уведомлением ООО «***» о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных от 01.02.2023 № 5921089;
- уведомлением ООО «***» о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных от 03.02.2023 № 5924167;
- скриншотами страниц Интернет-ресурсов, на которых размещены базы данных ООО «***», содержащие персональные данные пользователей и клиентов Интернет-ресурса _________;
- информационным носителем с частью базы данных, расположенной в сети «Интернет», содержащей персональные данные пользователей и клиентов Интернет-ресурса ____;
- выпиской из ЕГРЮЛ.
Достоверность и допустимость вышеуказанных доказательств у мирового судьи сомнений не вызывает, поскольку они непротиворечивы и согласуются между собой, получены в соответствии с требованиями Кодекса РФ об административных правонарушениях и объективно фиксируют фактические данные по делу. Протокол по делу об административном правонарушении составлен в соответствии с требованиями Кодекса РФ об административных правонарушениях, права юридического лица соблюдены.
Частью 1 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях предусмотрена административная ответственность за обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи и статьей 17.13 настоящего Кодекса, если эти действия не содержат уголовно наказуемого деяния.
Положениями ст. 23 Конституции РФ предусмотрено, что каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия согласно ч. 1 ст. 24 Конституции РФ не допускается.
Согласно п. 1 ст. 3 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
В соответствии со ст. 7 Федерального закона «О персональных данных» операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Согласно ч. 1 ст. 19 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Оценив все доказательства в их совокупности по правилам ст. 26.11 Кодекса Российской Федерации об административных правонарушениях мировой судья приходит к выводу, что вина ООО «***» в совершении административного правонарушения, предусмотренного ч. 1 ст. 13.11 Кодекса Российской Федерации об административных правонарушениях, установлена и полностью доказана.
При назначении административного наказания судья учитывает конкретные обстоятельства дела, характер и степень общественной опасности правонарушения, данные о юридическом лице, которое ранее не привлекалось к административной ответственности за совершение однородных правонарушений в течение срока, установленного в ст. 4.6 КоАП РФ, имущественное и финансовое положение юридического лица, отсутствие смягчающих и отягчающих административную ответственность обстоятельств, и считает необходимым назначить ООО «***» административное наказание в виде административного штрафа.
На основании изложенного, руководствуясь ст. 29.10 Кодекса РФ об административных правонарушениях, судья
ПОСТАНОВИЛ:
Общество с ограниченной ответственностью «***» признать виновным в совершении административного правонарушения, предусмотренного ч. 1 ст. 13.11 Кодекса РФ об административных правонарушениях и назначить ему административное наказание в виде административного штрафа в размере 60 000 (шестьдесят тысяч) рублей.
Сумму административного штрафа надлежит перечислить по следующим реквизитам: получатель платежа: Получатель платежа: Получатель УФК по г. Москве (Департамент по обеспечению деятельности мировых судей города Москвы л/с 04732805000), ИНН: 7704236196, КПП: 770401001, ОКТМО: 45374000, Банк получателя платежа: ГУ Банка России по ЦФО//УФК по г. Москве г. Москва, БИК: 004525988, Расчетный счет: 03100643000000017300, Корреспондентский счет: 40102810545370000003, УИН: 0356140805004603112307597, КБК: 80511601133010000140, Назначение платежа: Штраф. Номер дела 05-0460/311/2023, постановление от 19.04.2023 по Ст. 13.11, Ч.1 КоАП РФ в отношении ООО "***". Судебный участок № 311 тел.: +7(495)616-34-79, +7(495)616-35-80, +7(495)609-90-74.
Разъяснить Обществу с ограниченной ответственностью «***», что в соответствии с ч. 1 ст. 32.2 Кодекса РФ об административных правонарушениях административный штраф должен быть уплачен лицом, привлеченным к административной ответственности, не позднее шестидесяти дней со дня вступления постановления о наложении административного штрафа в законную силу.
В соответствии с ч. 5 ст. 32.2 Кодекса РФ об административных правонарушениях документ, свидетельствующий об уплате административного штрафа, лицо, привлеченное к административной ответственности, направляет судье, вынесшему постановление (лично, посредством почтовой связи или по электронной почте mirsud311@ums-mos.ru с указанием номера дела № 5-460/2023).
При отсутствии документа, свидетельствующего об уплате административного штрафа, и информации об уплате административного штрафа в Государственной информационной системе о государственных и муниципальных платежах, штраф взыскивается принудительно, а лицо, не уплатившее штраф, может быть привлечено к административной ответственности по ч. 1 ст. 20.25 Кодекса РФ об административных правонарушениях.
Постановление в соответствии со ст. 30.1-30.3 Кодекса РФ об административных правонарушениях может быть обжаловано в Останкинский районный суд г. Москвы через мирового судью в течение 10 суток со дня вручения или получения копии постановления.
Мировой судья Ларина А.Д.
https://mos-sud.ru/311/cases/admin/details/654ced9d-42a3-4be1-b7c1-7d777650c47a?documentMainArticle=13.11&formType=fullForm
Распространение
Неожиданные решения
Часть 1 статьи 13.11 Кодекса РФ об АП
категорий:
Распространение персональных данных и изображения гражданина в СМИ без его согласия
Наличие в сети "Интернет" базы данных оператора, содержащей персональные данные пользователей сайта
Оспаривание предписания Роскомнадзора, выданного в результате утечки информации
Размещение персональных данных на доске объявлений
Размещение на сайте школы сведений об учениках - победителях конкурса
Пост с раскрытием персональных данных в социальной сети
К исковому заявлению приложены копии документов, содержащих персональные данные субъектов
На сайте опубликован гражданско-правовой договор, содержащий персональные данные несовершеннолетних
Наличие базы данных (100 000 записей), содержащей персональные данные клиентов, в сети "Интернет"
Отсутствие согласий работников на обработку персональных данных
Разглашение информации путем направления по почте
Распространение персональных данных субъекта путём размещения на официальном интернет-сайте
Осуществление видеонаблюдения в многоквартирном жилом доме без согласия жильцов
Размещение на информационной доске обращения гражданина с указанием его персональных данных