Уникальный идентификатор дела 77MS0425-01-2024-000118-38
Дело № 5-109/2024
ПОСТАНОВЛЕНИЕ
город Москва 26 января 2024 года
Резолютивная часть постановления объявлена 25 января 2024 года
Полный текст постановления изготовлен 26 января 2024 года
Мировой судья судебного участка №425 района Хамовники города Москвы (гор. Москва, Шелепихинское шоссе, д. 3, стр. 2) Пожиловский В.В., рассмотрев в открытом судебном заседании дело об административном правонарушении, предусмотренном ч.1 ст.13.11 Кодекса РФ об административных правонарушениях, в отношении юридического лица:
ООО «АС Название», ***, сведений о привлечении ранее к административной ответственности за административные правонарушения в области связи и информации в материалах дела не имеется,
УСТАНОВИЛ:
ООО «АС Название» допустило обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, при следующих обстоятельствах.
Управлением Роскомнадзора по Центральному федеральному округу в рамках контроля и надзора за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных на территории Москвы и Московской области 30 ноября 2023 года путем мониторинга в сети Интернет по адресам: *** выявлен факт наличия базы данных (240 000 строк) ООО «АС Название», содержащей персональные данные пользователей интернет-ресурса _________, принадлежащего ООО «АС Название», в объеме: фамилия, имя, номер телефона, адрес электронной почты, город.
Дата и время публикации вышеуказанной базы данных 12 октября 2023 года 09:36.
Согласно письму от ООО «АС Название», Обществом был выявлен факт неправомерной или случайной передачи персональных данных. В результате внутреннего расследования было установлено, что 10.01.2023 была частично выгружена база LOG файлов nginx сервера. Причиной утечки персональных данных явилась уязвимость системы. Таким образом, ООО «АС Название» допущено административное правонарушение, ответственность за которое установлена ч. 1 ст. 13.11 КоАП РФ.
Защитник ООО «АС Название» по доверенности ФИО в судебное заседание явилась, вину в совершении правонарушения признала, пояснив, что в результате уязвимости системы, были выгружены персональные данные пользователей, вместе с тем, учитывая, что правонарушение совершено Обществом впервые, отсутствует имущественный вред или возникновение угрозы причинения вреда жизни и здоровью людей, обращений по данному вопросу не поступало, причина утечки данных устранена, просила на основании ст.3.4, 4.1.1 КоАП РФ заменить наказание в виде штрафа предупреждением.
Представитель административного органа Управления Роскомнадзора по Центральному федеральному округу ФИО1 явился, подтвердил обстоятельства, изложенные в протоколе об административном правонарушении.
Суд, выслушав защитника ФИО, представителя Роскомнадзора ФИО1, исследовав письменные материалы дела, считает, что вина ООО «АС Название» в совершении административного правонарушения, предусмотренного ч. 1 ст. 13.11 Кодекса РФ об административных правонарушениях установлена в судебном заседании и объективно подтверждается совокупностью собранных по делу доказательств:
- протоколом об административном правонарушении № АП-77/09/1696 от 20.13.2023 (л.д. 1-5);
- письмом Роскомнадзора от 30.11.2023 № 08-125627 о направлении материалов для принятии мер реагирования в отношении ООО «АС Название» (л.д. 6-7);
- ответом ООО «АС Название» на запрос Роскомнадзора (л.д. 11);
- скриншотами базы данных с сайта __________ (л.д. 12-14);
- сведениями ЕГРЮЛ ООО «АС Название» (л.д. 18-22).
Оценивая собранные по делу доказательства в их совокупности, их достоверность, допустимость и достаточность сомнений у суда не вызывает, поскольку они непротиворечивы, согласуются между собой и соответствуют фактическим обстоятельствам дела.
Частью 1 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях предусмотрена административная ответственность за обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи и статьей 17.13 настоящего Кодекса, если эти действия не содержат уголовно наказуемого деяния.
Из части 1 статьи 24 Конституции Российской Федерации следует, что сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.
В силу ст.3 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» в целях настоящего Федерального закона используются следующие основные понятия:
1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
3) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
5) распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
В силу ч.1 ст.6 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается, в случаях, предусмотренных ч. 1 ст. 6 названного закона.
Согласно ч. 1 ст. 19 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
В силу приведённых положений обработка персональных данных включает в себя передачу (распространение, предоставление, доступ) персональных данных.
Из материалов дела следует, что сведения о пользователях ООО «АС Название» стали доступны в информационно-коммуникационной сети Интернет неопределенному кругу лиц. Данный факт не оспаривался в ходе рассмотрения дела защитниками лица, привлекаемого к административной ответственности.
При таких обстоятельствах, суд приходит к выводу о том, что ООО «АС Название» допустило обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, в связи с чем, действия юридического лица подлежат квалификации по ч.1 ст. 13.11 Кодекса Российской Федерации об административных правонарушениях.
Рассматривая ходатайство защитника о применении положений ст. 3.4, 4.1.1 КоАП РФ и замене наказания в виде штрафа предупреждением суд приходит к следующим выводам.
В соответствии с частью 2 статьи 3.4 указанного Кодекса предупреждение устанавливается за впервые совершенные административные правонарушения при отсутствии причинения вреда или возникновения угрозы причинения вреда жизни и здоровью людей, объектам животного и растительного мира, окружающей среде, объектам культурного наследия (памятникам истории и культуры) народов Российской Федерации, безопасности государства, угрозы чрезвычайных ситуаций природного и техногенного характера, а также при отсутствии имущественного ущерба.
С учетом взаимосвязанных положений части 2 статьи 3.4 и части 1 статьи 4.1.1 Кодекса Российской Федерации об административных правонарушениях возможность замены наказания в виде административного штрафа предупреждением допускается при наличии совокупности всех обстоятельств, указанных в части 2 статьи 3.4 названного Кодекса. Вместе с тем, в рассматриваемом случае такой совокупности обстоятельств не имеется.
В данном случае угроза причинения вреда заключается не только в наступлении материальных последствий правонарушения, но и в игнорировании обществом требований Федерального закона «О персональных данных», а также не предпринятых Обществом мер по защите персональных данных.
Учитывая вышеуказанные обстоятельства по делу суд не находит оснований для удовлетворения заявленного защитником ходатайства.
Обстоятельств, отягчающих административную ответственность ООО «АС Название», судом не установлено.
В качестве обстоятельств, смягчающих административную ответственность ООО «АС Название» суд считает признание защитником вины и раскаяние в содеянном.
При назначении наказания суд учитывает характер совершенного административного правонарушения, имущественное и финансовое положение юридического лица, обстоятельства, смягчающие административную ответственность, и считает возможным назначить минимальное наказание, предусмотренное ч. 1 ст. 13.11 КоАП РФ.
На основании изложенного, руководствуясь ст.ст. 29.9-29.11 КоАП РФ,
ПОСТАНОВИЛ:
Признать ООО «АС Название» виновным в совершении административного правонарушения, предусмотренного ч. 1 ст. 13.11 Кодекса РФ об административных правонарушениях и назначить административное наказание в виде штрафа в размере 60 000 (Шестидесяти тысяч) рублей.
Разъяснить, что в соответствии со статьей 32.2 Кодекса РФ об административных правонарушениях административный штраф должен быть уплачен лицом, привлеченным к административной ответственности, не позднее шестидесяти дней со дня вступления постановления о наложении административного штрафа в законную силу либо со дня истечения срока отсрочки или срока рассрочки, предусмотренных статьей 31.5 КоАП РФ.
В подтверждение оплаты административного штрафа платежное поручение (квитанция) должно быть представлено в судебный участок № 425 района Хамовники гор. Москвы по адресу: гор. Москва, Шелепихинское шоссе, д. 3, стр. 2, или направить на адрес электронной почты: ____________, до истечения указанного срока.
Реквизиты для оплаты штрафа:
Получатель платежа: Получатель УФК по г. Москве (Департамент по обеспечению деятельности мировых судей города Москвы л/с 04732805000), ИНН: 7704236196, КПП: 770401001, ОКТМО: 45374000, Банк получателя платежа: ГУ Банка России по ЦФО//УФК по г. Москве г. Москва, БИК: 004525988, Расчетный счет: 03100643000000017300, Корреспондентский счет: 40102810545370000003, УИН: 0356140805001094252406414, КБК: 80511601133010000140, Назначение платежа: Штраф. Номер дела 05-0109/425/2024, постановление от 25.01.2024 по Ст. 13.11, Ч.1 КоАП РФ в отношении Общество с ограниченной ответственностью "Аптечная сеть "Название". Судебный участок № 425.
Постановление может быть обжаловано в Хамовнический районный суд гор. Москвы в течение 10 суток со дня вручения или получения копии постановления через мирового судью.
Мировой судья В.В. Пожиловский
Источник: https://mos-sud.ru/425/cases/admin/details/5ec9fa8e-b733-4adf-b80d-de3daa59b8c9?formType=fullForm&caseNumber=&participant=&uid=&year=&caseDateFrom=&caseDateTo=&caseFinalDateFrom=&caseFinalDateTo=&judge=&codex=13.11&publishingState=&hearingRangeDateFrom=&hearingRangeDateTo=&sessionRoom=&sessionRangeTimeFrom=&sessionRangeTimeTo=&sessionType=&docsDateFrom=&docsDateTo=&documentStatus=&documentType=
Обязанность оператора
Часть 1 статьи 13.11 Кодекса РФ об АП
категорий:
Размещение в подъезде многоквартирного дома плакатов, содержащих персональные данные субъекта
Нарушения законодательства о персональных данных в процессе деятельности образовательного учреждения
Размещение персональных данных учащихся образовательного учреждения на сайте
Размещение на официальном сайте сельского поселения персональных данных
Распространение сведений в мессенджере Вайбер
Предоставление ответа на запрос субъекта
Отсутствие в обществе локальных актов
Неправомерный доступ к ИСПДн третьих лиц
На свалке обнаружены документы c персональными данными абонентов
Предложение банком услуг путем осуществления звонков субъекту