Дело №05-0902/416/2024

Уникальный идентификатор дела 77MS0416-01-2024-002571-43

Судебный участок № 416 района Арбат, г. Москва

 П О С Т А Н О В Л Е Н И Е

ПО ДЕЛУ ОБ АДМИНИСТРАТИВНОМ ПРАВОНАРУШЕНИИ

г. Москва, ул. Пресненский вал, д. 16, стр. 2

Резолютивная часть постановления объявлена 24 декабря 2024 г.

Полный текст постановления изготовлен 26 декабря 2024 г.

 Мировой судья судебного участка №416 района Арбат г. Москвы Азарова Д.Е., рассмотрев дело об административном правонарушении, предусмотренном ч.1 ст.13.11 Кодекса Российской Федерации об административных правонарушениях,  в отношении

 Общества с ограниченной ответственностью «Бургер Рус» (далее – ООО «БУРГЕР РУС»), ***,  

 УСТАНОВИЛ:

 Согласно протоколу об административном правонарушении № АП-77/09/1570 от 28.11.2024 г. ООО «БУРГЕР РУС» по адресу: 119002, г.Москва, ул. Арбат, д.29, 18.07.2023 г. осуществило обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработку персональных данных, несовместимую с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 ст.13.11 КоАП РФ и ст.17.13 КоАП РФ, если эти действия не содержат уголовно наказуемого деяния.

 Правонарушение выразилось в том, что в ходе мониторинга сети Интернет Управлением Роскомнадзора по Центральному федеральному округ (далее - Управление) выявлен факт распространения базы данных, содержащей персональные данные клиентов ООО «БУРГЕР РУС» (далее также Оператор). В результате анализа фрагмента базы данных установлено, что указанная база данных содержит следующие персональные данные клиентов ООО «БУРГЕР РУС» в объеме 4 886 995 строк: имя, номер телефона, адрес электронной почты, дата рождения, пол, город.

 В Роскомнадзор во исполнение требований ч.3.1 ст.21 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» (далее - Закон «О персональных данных») поступили уведомления ООО «БУРГЕР РУС» о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных (далее - Уведомления о факте неправомерной или случайной передачи персональных данных). Согласно уведомлению о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных от 12.10.2024 № 6590784 выборочная проверка данных из образца утечки показала, что она содержит актуальные данные клиентов Оператора. Согласно представленной Оператором информации датой выявления инцидента является 09.10.2024. ООО «БУРГЕР РУС» подтвержден факт неправомерного доступа к базе данных, содержащей персональные данные клиентов ООО «БУРГЕР РУС», т.е. совершено административное правонарушение, предусмотренное ч. 1 ст. 13.11 КоАП РФ.

 Законный представитель/защитник ООО «БУРГЕР РУС» в судебное заседание не явился, извещен надлежащим образом – судебной повесткой, ходатайств об отложении рассмотрения дела не поступало.

 При таких обстоятельствах, в соответствии со ст. 25.1 КоАП РФ, а так же п.6 Постановления Пленума Верховного Суда РФ 24 марта 2005 года № 5 «О некоторых вопросах, возникающих у судов при применении Кодекса Российской Федерации об административных правонарушениях», суд приходит к выводу о том, что ООО «БУРГЕР РУС» о времени и месте рассмотрения дела об административном правонарушении в отношении него извещен надлежащим образом, с соблюдением требований действующего законодательства, ходатайств об отложении рассмотрения дела до начала судебного заседания от него не поступало, а также в целях соблюдения сроков, предусмотренных ст. 4.5 КоАП РФ, судом, в соответствии с ч.2 ст.25.1 КоАП РФ, принято решение о рассмотрении дела  в отсутствие лица, в отношении которого ведется производство по делу об административном правонарушении.  

 24.12.2024 г. в судебный участок поступили письменные объяснения ООО «БУРГЕР РУС», согласно которым защитник ООО «БУРГЕР РУС» просит прекратить производство по делу за отсутствием состава административного правонарушения, поскольку ООО «БУРГЕР РУС» ведет обработку персональных данных клиентов (потребителей) в соответствии с Политикой обработки персональных данных посетителей сайта (далее - Политика), опубликованной в сети Интернет. Целями обработки ПДн в соответствии с п. 2 Политики являются, в т.ч.: - предоставление Пользователю возможности взаимодействовать с Сайтом (___); - предоставление услуг общественного питания в соответствии с требованиями Закона о защите прав потребителей и Постановления Правительства РФ об утверждении правил оказания услуг общественного питания; - сбор статистики по типам обращения посетителей Сайта.

 Пользователи сайта при заказе товаров и услуг общественного питания также дают согласие на обработку ПДн (далее - Согласие). Форма согласия опубликована в сети Интернет.2 Пункт 11 Согласия предусматривает передачу ПДн пользователей Сайта Обществу с ограниченной ответственностью «Майндбокс», ОГРН ***, расположенному по адресу: ***:

- Цели передачи персональных данных ООО «Майндбокс»: обработка персональных данных посетителей сайта с целью предоставления услуг общественного питания, в том числе услуги доставки;

- Категории передаваемых данных: имя; номера контактных телефонов; адрес электронной почты, дата рождения.

- Перечень действий, разрешенных третьему лицу: сбор, запись, систематизация, накопление, хранение, использование, передача (предоставление, доступ), обезличивание, удаление.

- Способы обработки персональных данных третьим лицом: автоматизированная обработка персональных данных с передачей по сети Интернет.

 Между ООО «БУРГЕР РУС» и ООО «Мандбокс» подписано соглашение - поручение на обработку персональных данных третьим лицом от 26.12.2018 г. Как было установлено при расследовании инцидента, несанкционированный доступ к базе данных физических лиц - клиентов (потребителей) ООО «БУРГЕР РУС» стал следствием действий (бездействия) ООО «Мандбокс».

 Так, ООО «Майндбокс» выявило, что неизвестное лицо получило неправомерный доступ к базе данных под учетной записью одного из сотрудников ООО «Майндбокс». ООО «БУРГЕР РУС» и его сотрудники не контролируют конфигурацию программного обеспечения ООО «Майндбокс» и его инфраструктуру. Соответствующую информацию Общество довело до сведения Роскомнадзора в Уведомлениях от 10.10.2024 и 12.10.2024. Таким образом, ООО «БУРГЕР РУС» осуществляет обработку ПДн посетителей сайта *** на законных основаниях и с получением от физических лиц согласия на обработку ПДн и передачу ПДн третьему лицу - ООО «Майндбокс», в связи с чем защитник полагает, что в действиях ООО «БУРГЕР РУС» отсутствуют признаки нарушения правил обработки персональных данных, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». Нарушения, результатом которых стало разглашение ПДн, допущены иным лицом - ООО «Майндбокс».

Изучив имеющиеся материалы дела, суд приходит к выводу, что вина юридического лица в совершении административного правонарушения, предусмотренного ч.1 ст.13.11 КоАП РФ полностью доказана и подтверждается имеющимися в материалах дела доказательствами:

- протоколом об административном правонарушении № АП-77/09/1570 от 28.11.2024  г.;

- уведомлением о факте неправомерной или случайной передачи персональных данных от 10.10.2024 №6588797; от 12.10.2024 г. № 6590784;

- ответом действиях ООО «БУРГЕР РУС» от 25.11.2024 г.;

- снимками экрана базы данных, расположенной в сети «Интернет», содержащей персональные данные возможных клиентов ООО «БУРГЕР РУС»;

- выпиской из ЕГРЮЛ в отношении ООО «БУРГЕР РУС»; иными материалами дела.

 Достоверность и допустимость вышеуказанных доказательств у суда сомнений не вызывает, поскольку они не противоречивы и согласуются между собой, составлены в соответствии с требованиями Кодекса Российской Федерации об административных правонарушениях и объективно фиксируют фактические обстоятельства дела. Протокол об административном правонарушении составлен в соответствии с требованиями Кодекса Российской Федерации об административных правонарушениях.

 Частью 1 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях предусмотрена административная ответственность за обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи и статьей 17.13 настоящего Кодекса, если эти действия не содержат уголовно наказуемого деяния, и влечет наложение административного штрафа на юридических лиц - от шестидесяти тысяч до ста тысяч рублей.

 В силу ч.1 ст.6 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом.

 Согласно ч.1 ст.19 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

 В силу приведенных положений обработка персональных данных включает в себя передачу (распространение, предоставление, доступ) персональных данных.

 П.1 ст. 3 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных", устанавливает, что персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

 В силу п. 3 ст. 3 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных", обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

 Согласно п. 3 ст. 3 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных", понятие «обработка персональных данных» подразумевает, в том числе, обработку способом предоставление (раскрытие)-передача персональных данных.

 При этом, предоставление персональных данных - это действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

 В соответствии со ст. 7 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных", операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

 Согласно ч. 3 ст. 9 Закона о персональных данных, обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона, возлагается на оператора.

 На основании анализа норм вышеизложенного действующего законодательства, суд приходит к выводу, что в соответствии с ч. 2 ст. 2.1 КоАП РФ, юридическое лицо признается виновным в совершении административного правонарушения, если будет установлено, что у него имелась возможность для соблюдения правил и норм, за нарушение которых Кодексом Российской Федерации об административных правонарушениях предусмотрена административная ответственность, но данным лицом не были предприняты все зависящие от него меры по их соблюдению.

 При таких обстоятельствах, суд приходит к выводу о том, что ООО «БУРГЕР РУС» является оператором, осуществляющим обработку персональных данных, на деятельность которого распространяются требования Закона «О персональных данных» в полном объеме, допустило обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, в связи с чем, действия юридического лица подлежат квалификации по ч.1 ст.13.11 Кодекса Российской Федерации об административных правонарушениях.

 Достоверность указанных выше письменных доказательств у суда сомнений не вызывают, так как они последовательны, не противоречивы, согласуются между собой.

 При этом ходатайство юридического лица о прекращении производства по делу в связи с тем, что не является субъектом вменяемого административного правонарушения удовлетворению не подлежит, поскольку из соглашения - поручения на обработку персональных данных третьим лицом от 26.12.2018 г., подписанного между ООО «БУРГЕР РУС» (Доверитель) и ООО «Мандбокс» (Поверенный) следует, что ООО «Мандбокс» действует по поручению, от имени и за счет ООО «БУРГЕР РУС», а кроме того, п.4.3 указанного соглашения установлено, что ответственность перед субъектом персональных данных за действия ООО «Майндбокс» (Поверенного) несет ООО «БУРГЕР РУС» (Доверитель), в связи с чем суд приходит к выводу, что надлежащим субъектом административного правонарушения, предусмотренного ч. 1 ст. 13.11 КоАП РФ является именно ООО «БУРГЕР РУС».

 При таких обстоятельствах, ходатайство о прекращении производства по делу за отсутствием состава административного правонарушения удовлетворению не подлежит, поскольку вина юридического лица нашла свое подтверждение при исследовании представленных доказательств.

 Объективная сторона правонарушений по ч.1 ст.13.11 КоАП РФ состоит в нарушении норм федерального законодательства, регулирующих вопросы работы с информацией о гражданах (персональными данными).

 Субъективная сторона правонарушения характеризуется умыслом или неосторожностью.

 В соответствии с ч. 2 ст. 2.1 КоАП РФ, юридическое лицо признается виновным в совершении административного правонарушения, если будет установлено, что у него имелась возможность для соблюдения правил и норм, за нарушение которых Кодексом Российской Федерации об административных правонарушениях предусмотрена административная ответственность, но данным лицом не были предприняты все зависящие от него меры по их соблюдению.

 При назначении наказания, суд учитывает степень и характер общественной опасности совершенного административного правонарушения, отсутствие смягчающих и отягчающих административную ответственность обстоятельств, данные об имущественном и финансовом положении АО «Райффайзенбанк», в связи с чем полагает правильным назначить наказание в пределах санкции ч.1 ст.13.11 КоАП РФ в виде штрафа.

 При этом, мировой судья не усматривает оснований как для назначения обществу наказания в виде предупреждения, так и ниже низшего предела, предусмотренного санкцией ч.1 ст.13.11 Кодекса Российской Федерации об административных правонарушениях.

 В соответствии с правовой позицией Конституционного Суда Российской Федерации, изложенной в Постановлении от 25 февраля 2014 года N 4-П, в условиях, когда нижняя граница административных штрафов для юридических лиц за совершение административных правонарушений составляет как минимум сто тысяч рублей, минимальный размер административного штрафа, назначаемого судом после провозглашения названного Постановления Конституционного Суда Российской Федерации, может быть снижен судом ниже низшего предела на основе требований Конституции Российской Федерации, в исключительных случаях, когда административный штраф в пределах санкции является для юридического лица весьма обременительным и приобретает характер избыточного административного принуждения.

 Вводя для юридических лиц административные штрафы, минимальные размеры которых составляют значительную сумму, федеральный законодатель, следуя конституционным требованиям индивидуализации административной ответственности и административного наказания, соразмерности возможных ограничений конституционных прав и свобод, обязан заботиться о том, чтобы их применение не влекло за собой избыточного использования административного принуждения, было сопоставимо с характером административного правонарушения, степенью вины нарушителя, наступившими последствиями и одновременно позволяло бы надлежащим образом учитывать реальное имущественное и финансовое положение привлекаемого к административной ответственности юридического лица.

 Таким образом, критериями для применения санкции ниже низшего предела, исходя из буквального содержания Постановления Конституционного Суда Российской Федерации от 25 февраля 2014 года N 4-П, являются характер и последствия совершенного административного правонарушения, степень вины привлекаемого к административной ответственности юридического лица, его имущественное и финансовое положение, а также иные имеющие существенное значение для индивидуализации административной ответственности обстоятельства, позволяющие обеспечить назначение справедливого и соразмерного административного наказания.

 В данном случае из представленных материалов не усматривается очевидность избыточного ограничения прав ООО «БУРГЕР РУС», доказательств тому, что юридическое лицо находится в тяжелом финансовом положении, также не имеется.

Оснований для применения положений ст. 2.9, ч. 4 ст. 2.1, ч. 3.2 ст. 4.1 Кодекса РФ об административных правонарушениях, не имеется.

На основании изложенного, руководствуясь ст.ст.29.9-29.11 КоАП РФ, мировой судья,

 ПОСТАНОВИЛ:

 Признать ООО «БУРГЕР РУС» виновным в совершении административного правонарушения, предусмотренного ч.1 ст.13.11 Кодекса РФ об административных правонарушениях и назначить административное наказание в виде административного штрафа в размере 60 000 (шестидесяти тысяч) рублей.

 В соответствии с ч.1.1 ст.29.10 КоАП РФ разъясняется информация о получателе штрафа:

 Получатель платежа: Получатель УФК по г. Москве (Департамент по обеспечению деятельности мировых судей города Москвы л/с 04732805000), ИНН: 7704236196, КПП: 770401001, ОКТМО: 45374000, Банк получателя платежа: ГУ Банка России по ЦФО//УФК по г. Москве г. Москва, БИК: 004525988, Расчетный счет: 03100643000000017300, Корреспондентский счет: 40102810545370000003, УИН: 0356140805009024162404038, КБК: 80511601133010000140, Назначение платежа: Штраф. Номер дела 05-0902/416/2024, постановление от 24.12.2024 по Ст. 13.11, Ч.1 КоАП РФ в отношении ООО "Бургер Рус". Судебный участок № 416 тел.: +7(499)790-00-19, +7(499)790-03-31, +7(495)609-90-74.

Согласно ст.32.2 КоАП РФ административный штраф должен быть уплачен лицом, привлеченным к административной ответственности, не позднее шестидесяти дней со дня вступления постановления о наложении административного штрафа в законную силу.

 В силу ч.1 ст.20.25 КоАП РФ, неуплата административного штрафа в установленный срок влечет наложение административного штрафа в двукратном размере суммы неуплаченного административного штрафа, но не менее одной тысячи рублей, либо административный арест на срок до пятнадцати суток, либо обязательные работы на срок до пятидесяти часов.

Документ, свидетельствующий  об оплате административного штрафа, необходимо представить  мировому судье по адресу: г. Москва, ул. Пресненский вал, д. 16, стр. 2 или по e-mail:______.

Постановление может быть обжаловано в Пресненский районный суд г. Москвы  в течение десяти дней со дня вручения или получения копии постановления через судебный участок № 416 района Арбат г. Москвы.

Мировой судья                                                   Д.Е. Азарова

Источник: https://mos-sud.ru/416/cases/admin/details/4ef19423-972b-4f56-aa7b-fe6610b310af?respondent=ООО+%22Бургер+Рус%22