Решение по административному делу

                                                                                               Дело <НОМЕР>                                                                                                 64MS0028-01-2024-001415-53

П О С Т А Н О В Л Е Н И Е

   <ДАТА1>                                                                   город <АДРЕС>

Мировой судья судебного участка <НОМЕР> <АДРЕС> района г. <АДРЕС><ФИО1>,

при секретаре <ФИО2>,

с участием защитника АО «АКБ реконструкции и развития «<АДРЕС> ФИО <ФИО> представителя Управления Федеральной службы по надзору в сфере связи информационных технологий и массовых коммуникаций по <АДРЕС> области <ФИО>,

рассмотрев дело об административном правонарушении, предусмотренном ч.1 ст.13.11 Кодекса РФ об административных правонарушениях, в отношении акционерного общества «Акционерно-коммерческий банк реконструкции и развития «<АДРЕС>, расположенного по адресу: г. <АДРЕС>, ул. им. <ФИО5>, <ФИО6> ИНН <НОМЕР>, <ФИО7>,

установил:

 В Управление Федеральной службы по надзору в сфере связи информационных технологий и массовых коммуникаций по <АДРЕС> области (далее - Роскомнадзор) во исполнение требований ч.3.1 ст.21 Федерального закона от <ДАТА2> <НОМЕР> «О персональных данных» поступило уведомление акционерного общества «Акционерно-коммерческий банк реконструкции и развития «<АДРЕС> (далее - АО «<АДРЕС> о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных.

 Согласно материалам, полученным из Роскомнадзора, на интернет-ресурсе https://t.me установлен факт наличия данных АО «<АДРЕС>, содержащих персональные данные посетителей сайта АО «<АДРЕС> в объеме: фамилия, имя, отчество, адрес электронной почты, номер телефона, сведения о работе.
 АО «<АДРЕС> подтвержден факт неправомерной или случайной передачи (предоставления, распространения, доступа) к базе данных, содержащей персональные данные посетителей сайта АО «<АДРЕС>.

 Таким образом, АО «<АДРЕС> допущена обработка персональных данных посетителей сайта в случаях, не предусмотренных законодательством Российской Федерации в сфере персональных данных, что нарушает требования ч.1 ст.6 Федерального закона от <ДАТА2> <НОМЕР> «О персональных данных» и образуют состав административного правонарушения, предусмотренного ст.13.11.1 Кодекса Российской Федерации об административных правонарушениях (далее - КоАП РФ).

 <АДРЕС> АО «<АДРЕС>  <ФИО> в судебном заседании вину в совершении правонарушения, предусмотренного ч.1 ст. 13.11 КоАП РФ, не признал. Пояснил, что утечка персональных данных посетителей сайта банка произошла в результате неправомерных действий третьих лиц. Кроме того, каждый посетитель сайта банка, обратившийся в банк с каким-либо вопросом, в соответствии с алгоритмом работы формы обратной связи дает согласие на обработку своих персональных данных, в котором максимально отражены цели обработки персональных данных посетителей сайта. Просил принять во внимание, что АО «<АДРЕС> находится в процессе финансового оздоровления, в связи с чем применение административного штрафа может привести к банкротству банка.

 Представитель Роскомнадзора поддержала обстоятельства, изложенные в протоколе об административном правонарушении. Пояснила, что банком допущено неправомерное распространение персональных данных клиентов банка в отсутствие согласия последних. При этом получение согласия на обработку персональных данных не является основанием для их распространения.

 Изучив материалы дела, заслушав пояснения сторон, мировой судья приходит к следующему.

 В соответствии с ч. 1 ст. 13.11 КоАП РФ обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных
ч. 2 настоящей статьи и ст. 17.13 настоящего Кодекса, если эти действия не содержат уголовно наказуемого деяния, влечет наложение административного штрафа на граждан в размере от двух тысяч до шести тысяч рублей; на должностных лиц - от десяти тысяч до двадцати тысяч рублей; на юридических лиц - от шестидесяти тысяч до ста тысяч рублей.

 Из ч.1 ст. 24 Конституции РФ следует, что сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.

 Отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами, органами местного самоуправления, иными муниципальными органами, юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным, регулируется Федеральным законом от <ДАТА2> <НОМЕР> «О персональных данных» (далее Федеральный закон <НОМЕР>).

 Положениями ст. 3 Федерального закона <НОМЕР> персональными данными признается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

 В статье 5 Федерального закона <НОМЕР> закреплены принципы обработки персональных данных, в том числе следующие: обработка персональных данных должна осуществляться на законной и справедливой основе; обработке подлежат только персональные данные, которые отвечают целям их обработки; содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

 Статьей 6 указанного Федерального закона определены условия обработки персональных данных, в том числе это связывается с наличием согласия субъекта персональных данных на обработку его персональных данных.

 Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом (ст. 7 Федерального закона <НОМЕР>).

 В соответствии с п. 1 ст. 3 Федерального закона от <ДАТА2> <НОМЕР> «О персональных данных» (далее - Закон о персональных данных) персональные данные - это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

 Согласно ст.3 Закона о персональных данных оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными; под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

 Согласно ч.1 ст.6 Закона о персональных данных обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных указанным законом.

 Случаи, при которых допускается обработка персональных данных субъекта, закреплены статьей 6 Закона о персональных данных. Обработка персональных данных на основании пункта 1 допускается с согласия субъекта персональных данных, а также при наличии иных оснований, установленных пунктами 2-11 части 1 статьи 6 Закона о персональных данных.

 Согласно ч.3 ст.9 Федерального закона <НОМЕР> обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в п.2 - 11 ч.1 ст.6, ч.2 ст.10 и ч.2 ст.11 настоящего Федерального закона, возлагается на оператора.

 Судом установлено, что <ДАТА3> в Роскомнадзор поступило уведомление АО «<АДРЕС> о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных.

 Согласно материалам, полученным из Роскомнадзора, на интернет-ресурсе https://t.me установлен факт наличия данных АО «<АДРЕС>, содержащих персональные данные посетителей сайта АО «<АДРЕС> в объеме: фамилия, имя, отчество, адрес электронной почты, номер телефона, сведения о работе.

 АО «<АДРЕС> подтвержден факт неправомерной или случайной передачи (предоставления, распространения, доступа) к базе данных, содержащей персональные данные посетителей сайта АО «<АДРЕС>, имевший место <ДАТА4>.

 Вина АО «<АДРЕС> в совершении административного правонарушения подтверждается следующими имеющимися в материалах дела доказательствами: протоколом об административном правонарушении от <ДАТА5> <НОМЕР> уведомлением Роскомнадзора от <ДАТА6>, направленным в адрес руководителя Управления Роскомнадзора по <АДРЕС> области; уведомлением АО «<АДРЕС> от <ДАТА3> с приложенными к нему скриншотами; выпиской из ЕГРЮЛ в подтверждение того обстоятельства, что АО «<АДРЕС> осуществляет свою деятельность по адресу: г. <АДРЕС>, ул. им. <ФИО5>, зд. __, стр. __.

 Проанализировав приведённые доказательства в их совокупности, с учетом диспозиции ч.1 ст.13.11 КоАП РФ мировой судья приходит к выводу, что все обстоятельства, имеющие значение для правильного разрешения дела, приведенными доказательствами подтверждаются, в связи с чем квалифицирует действия АО «<АДРЕС> по ч.1 ст.13.11 КоАП РФ как обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных.

 В соответствии с ч. 2 ст. 2.1 КоАП РФ юридическое лицо признается виновным в совершении административного правонарушения, если будет установлено, что у него имелась возможность для соблюдения правил и норм, за нарушение которых названным Кодексом или законами субъекта Российской Федерации предусмотрена административная ответственность, но данным лицом не были приняты все зависящие от него меры по их соблюдению.

 Доводы защитника о получении согласия персональных данных клиентов банка и отсутствии в связи с этим в действиях банка состава административного правонарушения, предусмотренного ч. 1 ст. 13.11 КоАП РФ, судом отклоняются.

 С <ДАТА7> вступил в силу Федеральный закон от <ДАТА8> <НОМЕР> «О внесении изменений в Федеральный закон «О персональных данных», которым в Закон «О персональных данных» введена ст. 10.1, в части 1 которой предусмотрено, что согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

 Согласно ч.2 ст.10.1 Закона о персональных данных в случае раскрытия персональных данных неопределенному кругу лиц самим субъектом персональных данных без предоставления оператору согласия, предусмотренного настоящей статьей, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

 Так, исключительным основанием обработки персональных данных, разрешенных субъектом персональных данных для распространения, является согласие субъекта персональных данных, которое оформляется отдельно от иных согласий.

 Требования к содержанию указанного согласия установлены Приказом Роскомнадзора от <ДАТА9> <НОМЕР> «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения».

 Отдельного согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, банком получено не было. Доказательств обратного защитником не представлено.

 В представленной форме «Согласие на обработку персональных данных» в качестве целей обработки персональных данных указано: «Заключение с Банком гражданско-правовых договоров стороной или выгодоприобретателем, которых являюсь я, их дальнейшее исполнение, оказание Банком банковских услуг, участие в проводимых Банком различных опросах, акциях, получение мною от Банка информации об оказываемых услугах, рекламных предложений, осуществление поздравлений с днем рождения и с юбилейными датами, принятие банком решений и совершение действий, порождающих в отношении меня юридические последствия, взаимодействие с Банком по прочим вопросам».

 Между тем, согласно материалам дела и пояснениям сторон, информация о посетителях сайта банка: фамилия, имя, отчество, адрес электронной почты, номер телефона, сведения о работе была распространена в сеть «Телеграмм» (___), что не соответствует целям, указанным в данной форме.

 Кроме того, привлекаемым лицом не представлено доказательств в подтверждение доводов о том, что имела место незаконная обработка персональных данных именно тех лиц, которые посещали официальный сайт банка и давали свое согласие на обработку персональных данных.

 Доводы общества об отсутствии вины со ссылкой на действия третьих лиц не являются основанием для освобождения АО «<АДРЕС> от административной ответственности, поскольку банк обязан оказывать услуги в соответствии с требованиями законодательства.

 Учитывая установленные обстоятельства, суд приходит к выводу о том, что общество имело возможность для соблюдения норм, за нарушение которых КоАП РФ предусмотрена административная ответственность, но им не были предприняты все зависящие от него меры по их соблюдению.

 В соответствии со ст. 4.1 КоАП РФ при назначении наказания мировой судья учитывает характер совершенного АО «<АДРЕС> административного правонарушения, имущественное и финансовое положение юридического лица, обстоятельства, смягчающие административную ответственность.

 К смягчающему административную ответственность обстоятельству суд относит в соответствии с п. 3 ч. 1 ст. 4.2 КоАП РФ добровольное сообщение лицом, совершившим административное правонарушение, в орган, уполномоченный осуществлять производство по делу об административном правонарушении, о совершенном административном правонарушении.

 Отягчающих административную ответственность обстоятельств судом не установлено.

 Вопреки утверждению защитника оснований для замены административного наказания в виде административного штрафа предупреждением не имеется.

 С учетом взаимосвязанных положений ч. 2 ст. 3.4 и ч.1 ст. 4.1.1 КоАП РФ наказание в виде административного штрафа подлежит замене на предупреждение при наличии совокупности всех обстоятельств, указанных в ч.2 ст. 3.4 названного Кодекса. В рассматриваемом случае такой совокупности обстоятельств не имеется.

 Доводы о том, что банк находится в процессе финансового оздоровления в соответствии с п. 1 ст. 189.9 Федерального закона «О несостоятельности (банкротстве)», имеет отрицательный капитал, не влекут обязательное назначение административного наказания в виде предупреждения.

 В соответствии со статьей 2.9 КоАП РФ при малозначительности совершенного административного правонарушения судья, орган, должностное лицо, уполномоченные решить дело об административном правонарушении, могут освободить лицо, совершившее административное правонарушение, от административной ответственности и ограничиться устным замечанием.

 Согласно п.21 постановления Пленума Верховного суда РФ от <ДАТА10> <НОМЕР> «О некоторых вопросах, возникающих у судов при применении Кодекса Российской Федерации об административных правонарушениях» малозначительным административным правонарушением является действие или бездействие, хотя формально и содержащее признаки состава административного правонарушения, но с учётом характера совершенного правонарушения и роли правонарушителя, размера вреда и тяжести наступивших последствий не представляющее существенного нарушения охраняемых общественных правоотношений.

 В рассматриваемом случае оснований для применения положений
ст. 2.9 КоАП РФ не имеется, поскольку исключительных обстоятельств, свидетельствующих о наличии предусмотренных указанной нормой признаков малозначительности административного правонарушения, принимая при этом во внимание значимость охраняемых отношений и конкретные обстоятельства совершения административного правонарушения, не установлено.

 С учетом изложенного и исходя из санкции ч. 1 ст. 13.11 КоАП РФ, суд считает возможным назначить АО «<АДРЕС> наказание в виде минимального, предусмотренного санкцией статьи.

 Руководствуясь ст.ст. 29.9, 29.10, ч. 1 ст. 13.11 КоАП РФ мировой судья,

постановил:

акционерное общество «Акционерно-коммерческий банк реконструкции и развития «<АДРЕС> признать виновным в совершении административного правонарушения, предусмотренного ч. 1 ст. 13.11 КоАП РФ, и назначить ему административное наказание в виде административного штрафа в размере 60 000 (шестьдесят тысяч) рублей.

<АДРЕС> АО «АКБ реконструкции и развития «<АДРЕС>, что штраф в течение 60 дней после вступления постановления в законную силу необходимо внести на следующие реквизиты: УФК по <АДРЕС> области (Комитет по обеспечению деятельности мировых судей <АДРЕС> области, адрес ,г. <АДРЕС>, ул. <АДРЕС> отделение <АДРЕС> Банка России//УФК по <АДРЕС> области), р/<ФИО8>, <НОМЕР>, КПП: <НОМЕР> ОКТМО: 63701000, УИН <ФИО9>, постановление:
<НОМЕР>.

<АДРЕС>, что квитанцию об оплате штрафа необходимо предоставить мировому судье в указанный шестидесятидневный срок со дня вступления постановления в законную силу. При отсутствии подтверждения оплаты штрафа в указанный срок постановление будет направлено в службу судебных приставов для принудительного исполнения.

Постановление может быть обжаловано в <АДРЕС> районный суд г. <АДРЕС> путем подачи жалобы мировому судье судебного участка <НОМЕР> <АДРЕС> района г. <АДРЕС> в течение 10 суток со дня вручения или получения копии мотивированного постановления.

Мировой судья                                                                 <ФИО1>

Источник: https://28.sar.msudrf.ru/modules.php?name=sud_delo&op=sd&number=63847143&case_number=62726408&delo_id=1500001