Дело № 5-1798/2023, с/у«431»

Постановление

по делу об административном правонарушении

            дата                                                                             адрес

Мировой судья судебного участка № 431 адрес адрес – фио, рассмотрев в открытом судебном заседании дело об административном правонарушении, предусмотренном ч.1 ст. 13.11 КоАП РФ, возбужденное в отношении:

Индивидуального предпринимателя _________ фио, паспортные данные, зарегистрированного по адресу: фио, адрес, адрес,

УСТАНОВИЛ:

наименование организации совершил обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, то есть совершил административное правонарушение, ответственность за которое предусмотрено ч. 1 ст. 13.11 КоАП РФ.

Правонарушение совершено наименование организации дата в время по адресу: адрес при следующих обстоятельствах. Управление Роскомнадзора по Центральному федеральному округ на основании пункта 3 Положения об Управлении Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Центральному федеральному округу, утвержденного приказом Роскомнадзора от дата № 38, осуществляет функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных на адрес и адрес.

Роскомнадзором в ходе мониторинга электронных средств массовой информации на интернет-ресурсах: ссылка, ссылка, выявлен факт наличия базы данных наименование организации (далее - Оператор), содержащей персональные данные пользователей сайта "сайт"  в объеме: фамилия, имя, отчество, номер телефона, адрес электронной почты.

дата Оператор в соответствии с частью 3.1 статьи 21 Федерального закона от 2“ 07.2006 № 152-ФЗ «О персональных данных» (далее - Закон) направил в Роскомнадзор Уведомление о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, далее - Уведомление), согласно которому предполагаемые причины, повлекшие нарушение прав субъектов ПД: несанкционированное проникновение на сервер неизвестным посторонним лицом в обход ПО интернет-магазина или с использованием уязвимости ПО с последующим копированием данных.

Дата и время выявления инцидента: дата телефон время.

Уведомление, в том числе, содержало информацию о результатах внутреннего расследования инцидента: «Сайт сайт работает на лицензионном ПО CS-Cart, и располагается на хостинге наименование организации, который обслуживается и находится под круглосуточным мониторингом специалистов данной компании. Компания занимает 1 место среди разработчиков CS-Cart. Изучив данные файлов из утечки, журнал событий CS-Cart и историю посещений сайта сайт,; я пришел к выводам: 1. Не обнаружено случаев несанкционированного доступа в административную зону сайта. На сайте не делался экспорт каких-либо данных, не создавались резервные копии данных и другие действия по копированию или скачиванию информации. 2. Предполагаю, что несанкционированный доступ к данным был получен в обход функционала и систем безопасности ПО CS-Cart посторонним неизвестным лицом, и что злоумышленник получил доступ к серверу, на котором располагается сайт ____. Отмечу, что на момент утечки данных, у наименование организации не было данных для доступа к серверу и активных учетных записей для доступа к серверу. Утечка данных произошла не по вине наименование организации или его сотрудников».

С целью исполнения поручения Заместителя Председателя Правительства Российской фио  от дата № ДЧ-П10-22938 Управлением Роскомнадзора по Центральному федеральному округу в период с дата по дата была проведена внеплановая документарная проверка в отношении Оператора.

В ходе внеплановой документарной проверки было установлено, что Оператором допущено нарушение требований части 1 статьи 6, статьи 7, статьи 10.1 Закона в части предоставления неправомерного доступа к ИСПДн «Система управления интернет-магазином сайт», повлекшего за собой распространение персональных данных пользователей сайта сайт неограниченному кругу лиц путем размещения в сети Интернет по адресам: сайт, сайт.

По результатам анализа фрагментов указанной базы данных пользователей сайта ссылка установлено наличие персональных данных в объеме:

ФИО;

Номер телефона;

Электронная почта;

Адрес.

В рамках проверки Оператором представлена информация, что обработка персональных данных пользователей сайта ссылка  осуществляется с применением ИСПДн «Система управления интернет-магазином сайт».

По результатам сопоставления информации, размещенной в сети интернет по адресам: ссылка, ссылка, и содержащейся в ИСПДн «Система управления интернет-магазином сайт», было установлено, что данные о субъектах, размещенные в сети Интернет по адресам: ссылка, ссылка, совпадают с данными, содержащимися в ИСПДн «Система управления интернет-магазином ссылка».

Данное нарушение подтверждается снимками экрана ИСПДн «Система управления интернет-магазином _____, отображающими сведения о следующих пользователях: фио, фио, фио.

В соответствии с пунктом 1 статьи 3 Закона под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

В связи с чем содержание скомпрометированной базы данных относится к персональным данным пользователей сайта ссылка.

По смыслу пункта 1 статьи 3 Закона Оператор является оператором, осуществляющим обработку персональных данных, на деятельность которого распространяются требования Закона о персональных данных в полном объеме.

Согласно пункту 3 статьи 3 Закона обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Случаи, при которых допускается обработка персональных данных субъекта закреплены статьей 6 Закона. Обработка персональных данных на основании пункта 1 допускается с согласия субъекта персональных данных, а также при наличии иных оснований, установленных пунктами 2-11 части 1 статьи 6 Закона.

Более того, оператор обязан обеспечить конфиденциальность персональных данных.

Так, согласно положениям статьи 7 Закона операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом. Особенности обработки персональных Данных, разрешенных субъектом персональных данных для распространения в сети Интернет, установлены статьей 10.1 Закона.

Так, исключительным основанием обработки персональных данных, разрешенных субъектом персональных данных для распространения, является согласие субъекта персональных данных, которое оформляется отдельно от иных согласий. Требования к содержанию указанного согласия установлены Приказом Роскомнадзора от дата № 18 «Об утверждении требований 4 к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения».

На основании изложенного в действиях Оператора выявлено нарушение требований части 1 статьи 6, статьи 7 и статьи 10.1 Закона.

Таким образом, Оператором допущено нарушение требований части. 1 статьи 6 Закона, в части обработки персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, за что предусмотрена административная ответственность по части 1 статьи 13.11 КоАП РФ.

Положениями части 1 статьи 13.11 КоАП РФ предусмотрена административная ответственность за обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработку персональных данных, несовместимую с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи и статьей 17.13 КоАП РФ, если эти действия не содержат уголовно наказуемого деяния.

Согласно представленной информации в Уведомлении о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных датой совершения правонарушения является дата.

Датой выявления правонарушения является дата завершения внеплановой документарной проверки в отношении Оператора, а именно дата.

При таких обстоятельствах, суд приходит к выводу о том, что наименование организации допустил обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, в связи с чем, его действия подлежат квалификации по ч. 1 ст. 13.11 Кодекса Российской Федерации об административных правонарушениях.

Суд не находит оснований для освобождения индивидуального предпринимателя от административной ответственности и прекращения производства по делу в силу изложенных выше обстоятельств.

При назначении наказания, суд учитывает характер совершенного наименование организации административного правонарушения.

Федеральным законом N 70-ФЗ "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях" Кодекс РФ об административных правонарушениях дополнен ст. 4.1.2, устанавливающей особенности назначения административного наказания в виде административного штрафа социально ориентированным некоммерческим организациям и являющимся субъектами малого и среднего предпринимательства юридическим лицам, отнесенным к малым предприятиям, в том числе к микропредприятиям.

Статьей 4.1.2 Кодекса РФ об административных правонарушениях предусмотрено, что при назначении административного наказания в виде административного штрафа социально ориентированным некоммерческим организациям, включенным по состоянию на момент совершения административного правонарушения в реестр социально ориентированных некоммерческих организаций - получателей поддержки, а также являющимся субъектами малого и среднего предпринимательства юридическим лицам, отнесенным к малым предприятиям, в том числе к микропредприятиям, включенным по состоянию на момент совершения административного правонарушения в единый реестр субъектов малого и среднего предпринимательства, административный штраф назначается в размере, предусмотренном санкцией соответствующей статьи (части статьи) раздела II настоящего Кодекса или закона субъекта Российской Федерации об административных правонарушениях для лица, осуществляющего предпринимательскую деятельность без образования юридического лица. Если санкцией статьи (части статьи) раздела II настоящего Кодекса или закона субъекта Российской Федерации об административных правонарушениях не предусмотрено назначение административного наказания в виде административного штрафа лицу, осуществляющему предпринимательскую деятельность без образования юридического лица, административный штраф социально ориентированным некоммерческим организациям, включенным по состоянию на момент совершения административного правонарушения в реестр социально ориентированных некоммерческих организаций - получателей поддержки, а также являющимся субъектами малого и среднего предпринимательства юридическим лицам, отнесенным к малым предприятиям, в том числе к микропредприятиям, включенным по состоянию на момент совершения административного правонарушения в единый реестр субъектов малого и среднего предпринимательства, назначается в размере от половины минимального размера (минимальной величины) до половины максимального размера (максимальной величины) административного штрафа, предусмотренного санкцией соответствующей статьи (части статьи) для юридического лица, либо в размере половины размера административного штрафа, предусмотренного санкцией соответствующей статьи (части статьи) для юридического лица, если такая санкция предусматривает назначение административного штрафа в фиксированном размере.

Размер административного штрафа, назначаемого в соответствии с частью 2 настоящей статьи, не может составлять менее минимального размера административного штрафа, предусмотренного санкцией соответствующей статьи (части статьи) раздела II настоящего Кодекса или закона субъекта Российской Федерации об административных правонарушениях для должностного лица.

Из Примечания к ст. 2.4. КоАП РФ следует, что лица, осуществляющие предпринимательскую деятельность без образования юридического лица, совершившие административные правонарушения, несут административную ответственность как должностные лица, если настоящим Кодексом не установлено иное.

Принимая во внимание данное обстоятельство, мировой судья приходит к выводу о том, что в данном случае по делу подлежит применению положения ст. 4.1.2 КоАП РФ.

Санкция ч.1 ст. 13.11 КоАП РФ является абсолютно определенной и предусматривает назначение должностному лицу административного наказания в виде административного штрафа в размере от десяти тысяч до сумма прописью.

Следовательно, в силу ч.3 ст.4.1.2 КоАП РФ наименование организации может быть назначено административное наказание в виде административного штрафа в размере не менее минимального размера административного штрафа, предусмотренного санкцией ч. 1 ст. 13.11 КоАП РФ для должностного лица.

Обстоятельств, смягчающих или отягчающих административную ответственность, не установлено.

При назначении наказания мировой судья учитывает характер совершенного административного правонарушения, имущественное и финансовое положение привлекаемого лица, отсутствие смягчающих и отягчающих обстоятельств, и считает возможным назначить наказание в виде штрафа в пределах санкции статьи.

На основании изложенного, руководствуясь ст. ст. 29.9 - 29.11 КоАП РФ, мировой судья

ПОСТАНОВИЛ:

Индивидуального предпринимателя __ фио признать виновным в совершении административного правонарушения, предусмотренного ч. 1 ст. 13.11 КоАП РФ и назначить наказание в виде административного штрафа в размере сумма.

Получатель платежа: УФК по адрес (Департамент по обеспечению деятельности мировых судей адрес); л/с телефон; ИНН телефон; КПП телефон; р/с 03100643000000017300; к/с 40102810545370000003; банк получателя платежа: ГУ Банка России по ЦФО/УФК по адрес; БИК: телефон; ОКТМО телефон; КБК 80511601203010000140; УИН 0356140805017984312307251; назначение платежа: штраф, номер дела 05-1798/2023 постановление от дата по ч.1 ст.13.11 КоАП РФ в отношении наименование организации

Копию постановления направить привлеченному лицу, а также в Управление Роскомнадзора по ЦФО.

Разъяснить, что в соответствии со ст.ст. 20.25, 32.2 Кодекса РФ об административных правонарушениях неуплата административного штрафа в течение 60 дней со дня вступления постановления суда в законную силу влечет наложение административного штрафа в двукратном размере суммы неуплаченного административного штрафа, либо административный арест на срок до 15 суток, либо обязательными работами на срок до 50 часов.

Квитанцию об оплате административного штрафа необходимо представить в судебный участок №431 адрес адрес как документ, подтверждающий исполнение судебного постановления.

Постановление может быть обжаловано в Щербинский районный суд адрес в течение 10 суток со дня вручения копии постановления через мирового судью судебного участка №431 адрес адрес.

Мировой судья                                                               фио

Направляю Вам копию постановления по делу № 5-1798/2023 об административном правонарушении в отношении наименование организации, предусмотренном ч.1 ст.13.11 КоАП РФ.

Приложение: по тексту.

Мировой судья                                                             фио

Источник: https://mos-sud.ru/431/cases/admin/details/a03d525b-c347-4b25-bbd1-1bbaa4d6f5e4?formType=fullForm&caseNumber=&participant=&uid=&year=&caseDateFrom=&caseDateTo=&caseFinalDateFrom=&caseFinalDateTo=&judge=&codex=13.11&publishingState=0083ce0&hearingRangeDateFrom=&hearingRangeDateTo=&sessionRoom=&sessionRangeTimeFrom=&sessionRangeTimeTo=&sessionType=&docsDateFrom=&docsDateTo=&documentStatus=&documentType=