Дело №05-0470/456/2023

Уникальный идентификатор дела 77MS0459-01-2023-001400-97

П О С Т А Н О В Л Е Н И Е

по делу об административном правонарушении

Резолютивная часть постановления объявлена 02 мая 2023 года

Мотивированное постановление изготовлено 05 мая 2023 года

г. Москва                                                                05 мая 2023 года

Мировой судья судебного участка № 456 Даниловского района г. Москвы                   Ахматов И.И., рассмотрев в открытом судебном заседании дело об административном правонарушении, предусмотренном ч. 2 ст. 13.11 КоАП РФ, в отношении Федерального государственного унитарного предприятия «Наименование» (ОГРН ...), место нахождения: адрес, сведений о привлечении которого к административной ответственности за повторное совершение однородного административного правонарушения в представленных материалах не имеется,

У С Т А Н О В И Л:

Федеральное государственное унитарное предприятие «Наименование» (далее – ФГУП «Название», Центр) нарушило законодательство Российской Федерации в области персональных данных при следующих обстоятельствах.

Так, 25 октября 2022 года в 10 часов 00 минут, ФГУП «Название» осуществляя деятельность по адресу: адрес. стр. 15, в качестве работодателя, и являясь в соответствии с п.п. 2, 3 ст. 3 Федерального закона «О персональных данных» от 27 июля 2006 года № 152-ФЗ (далее – Закон № 152) оператором, то есть юридическим лицом осуществляющим обработку персональных данных, любые действия (операции) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных, в нарушений требований ч. 1 ст. 6, ст. 7, ч. 4 ст. 9, ч. 1 ст. 10.1 Закона № 152, ст. 88 Трудового кодекса РФ, не обеспечило конфиденциальность персональных данных работников ФГУП «Название», допустило неправомерную передачу (предоставление, распространение, доступ) в информационно-телекоммуникационной сети Интернет неограниченному кругу лиц информации, содержащейся в базе данных работников Центра, относящейся к фамилии, имени, отчеству, внутреннему номеру телефона и электронной почте работников ФГУП «Название» фио и фио (субъектов персональных данных), при отсутствии письменного согласия последних на обработку персональных данных.

Содеянное ФГУП «Название» образует состав административного правонарушения, предусмотренного ч. 2 ст. 13.11 КоАП РФ.

ФГУП «Название» о дате, времени и месте рассмотрения дела извещено надлежащим образом, его защитник по доверенности – фио в судебном заседании участвовал, вину ФГУП «Название» в совершении административного правонарушения, предусмотренного ч. 2 ст. 13.11 КоАП РФ, признал, указал о том, что распространение персональных данных о работниках ФГУП «Название» - фио и фио фактически осуществлено посредством электронной почты работника фио, при этом неправомерный доступ к внутреннему программному обеспечению Центра ...наименование организации, третьим лицам предоставлен не был, просил при назначении наказания ФГУП «Название» учесть своевременное предотвращение вредных последствий и имущественное положение представляемого юридического лица, назначить минимально возможное наказание. 

Исследовав представленные материалы дела, выслушав объяснения защитника фио, судья находит, что вина ФГУП «Название» в совершении вышеуказанного административного правонарушения, подтверждается письменными материалами дела:

- протоколом об административном правонарушении от 15 марта 2023 года № АП-77/0/241, содержащем сведения о дате, времени, месте, событии административного правонарушения и о ФГУП «Название» как о юридическом лице, его совершившем, а также объяснения защитника ФГУП «Название» - фио  (л.д. 1-6);

- актом внеплановой документарной проверки в отношении ФГУП «Название» от 22 февраля 2023 года № 14, согласно которому Управлением Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Центральному федеральному округу (Управление Роскомнадзора по ЦФО) проведена проверка контролируемого лица – ФГУП «Название», по результатам сопоставления информации, размещенной в сети «Интернет» по адресам: сайт 1, сайт 2 и в информационных системах персональной данных (ИСПДн) Центра ..., выявлено совпадение сведений о фамилии, имени, отчестве, внутреннем номере телефона и электронной почте работников ФГУП «Название» фио и фио, установлен факт нарушения Центром требований ч. 1 ст. 6, ст. 7, ч. 4 ст. 9, ч. 1 ст. 10.1 Закона № 152, ст. 88 Трудового кодекса РФ (л.д.7-11);

- решением о проведении документарной проверки в отношении ФГУП «Название» от 09 февраля 2023 года, в котором указаны основание, вид, место и срок проведения проверки в рамках федерального государственного контроля (надзора) за обработкой персональных, определен перечень уполномоченных на проведение проверки должностных лиц и контрольных (надзорных) действий (л.д. 12-14);

- решением от 21 февраля 2023 года № 44-нд о внесении изменений в решение о проведении внеплановой документарной проверки в отношении ФГУП «Название» от 09 февраля 2023 года, которым дополнен перечень должностных лиц, уполномоченных на проведение проверки (л.д.15-16);

- предписанием об устранении выявленных нарушений от 22 февраля 2023 года № П-77/0/30-нд/-/1/16, согласно которому ФГУП «Название» установлен срок сообщения в Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по ЦФО об устранении нарушений требований законодательства до 22 мая 2023 года (л.д. 17-18);

- справкой о результатах внеплановой документарной проверки ФГУП «Название» на соответствие обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, в которой отражены результаты анализа уведомления о факте неправомерной или случайной передачи персональных данных, ответы оператора на вопросы субъекта государственного контроля (надзора) об обстоятельствах установления факта несанкционированного доступа к персональным данным работников ФГУП «Название», о мерах, принятых при выявлении информации о предполагаемом распространении персональных данных работников ФГУП «Название», об объеме несанкционированного доступа, о результатах внутреннего расследования оператора, о причинах несанкционированного доступа к персональным данным работников ФГУП «Название», а также указаны выявленные нарушения законодательства в сфере обработки персональных данных (л.д. 19-24);

- фотоматериалом, из содержания которого усматривается совпадение информации, размещенной в сети «Интернет» по электронным адресам: сайт 1, сайт 2 и в информационных системах персональной данных ФГУП «Название» в части сведений о фамилии, имени, отчестве, внутреннем номере телефона и электронной почте работников Центра фио и фио (л.д. 25-48);

- уведомлениями со стороны ФГУП «Название» от 20 ноября 2022 года и 22 ноября 2022 года в адрес Роскомнадзора о факте неправомерной или случайно передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъекта персональных данных (л.д. 49-50);

- выпиской из ЕГРЮЛ в отношении ФГУП «Название» (л.д. 51-72).

Опрошенный в судебном заседании свидетель – начальник отдела контроля и надзора за соблюдением законодательства в сфере персональных данных Управления Роскомнадзора по ЦФО фио показал, что ФГУП «Название» своевременно уведомило Роскомнадзор о факте неправомерной передачи (предоставления, распространения, доступа) персональных данных работников, в связи с чем Роскомнадзором проведена проверка, по результатам сверки установлено два факта полного совпадения сведений, размещенных в ИСПДн ФГУП «Название», и сведений размещенных в сети «Интернет» в отношении работников Центра, ФГУП «Название» не приняло все зависящие от него меры, направленные на соблюдение законодательства в сфере обработки персональных данных, не исключило доступ третьих лиц  к персональным данным работников.

Вышеуказанные письменные доказательства и показания свидетеля фио непротиворечивы, получены с соблюдением требований федерального законодательства, согласованы между собой, и в совокупности подтверждают факт нарушения ФГУП «Название» положений законодательства в сфере обработки персональных данных.

Частью 2 статьи 13.11 КоАП РФ предусмотрена административная ответственность за обработку персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, за исключением случаев, предусмотренных статьей 17.13 настоящего Кодекса, если эти действия не содержат уголовно наказуемого деяния, либо обработку персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных.

В силу п. п. 1, 1.1 Закона № 152: персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом.

Положения Закона № 152 предусматривают порядок и условия обработки операторами (в том числе - юридическими лицами) персональных данных субъектов, то есть совершения действий (операций) или совокупности действий (операций) с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Так, в соответствии с п. 1 ч. 1 ст. 6 Закона № 152 обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных. Такая обработка допускается оператором и в иных случаях, прямо предусмотренных пунктами 2-11 ч.1 ст. 6 данного закона.

Статьей 7 Закона № 152 предусмотрена обязанность операторов и иных лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Требования к письменному согласию субъекта персональных данных закреплены в ч. 4 ст. 9 Закона № 152.

Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения (ч. 1 ст. 10.1 Закона № 152).

Оператор, являющийся работодателем, не вправе сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами  (абз. 2 ст. 88 ТК РФ).

 В соответствии с абз. 6 ст. 88 ТК РФ работодатель вправе разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций.

Из содержания исследованных в судебном заседании доказательств следует, что вышеприведенные положения норм законодательства об обработке персональных данных ФГУП «Название» не соблюдены, сведений о наличии согласия работников Центра - фио и фио на распространение их персональных данных в информационно-телекоммуникационной сети Интернет неограниченному кругу лиц, в материалах дела не имеется, и ФГУП «Название» в судебном заседании не представлено.

Ссылка защитника ФГУП «Название» на то обстоятельство, что неправомерный доступ к ИСПДн Центра третьим лицам предоставлен не был, не влияет на правовую оценку совершенного ФГУП «Название» нарушения законодательства в области персональных данных. 

В соответствии с ч.2 ст. 2.1 КоАП РФ юридическое лицо признается виновным в совершении административного правонарушения, если будет установлено, что у него имелась возможность для соблюдения правил и норм, за нарушение которых настоящим Кодексом или законами субъекта Российской Федерации предусмотрена административная ответственность, но данным лицом не были приняты все зависящие от него меры по их соблюдению.

По результатам исследования письменных доказательств и показаний свидетеля, судья приходит к выводу о том, что ФГУП «Название» не приняты все зависящие от него меры по соблюдению норм федерального законодательства, по обеспечению конфиденциальности персональных данных, по исключению неправомерного доступа к персональным данным работников, содержащимся в ИСПДн Центра, в том числе посредством обращения третьих лиц к электронной почте работников ФГУП «Название» в почтовом клиенте Центра, дублирующем их персональные данные. Непринятие Центром всех зависящих от него мер по соблюдению норм федерального законодательства в области обработки персональных данных привело к их передаче в информационно-телекоммуникационной сети Интернет неограниченному кругу лиц. 

Согласно п.1 Раздела I Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденного Постановлением Правительства РФ от 16 марта 2009 года № 228 (далее – Положение),  Роскомнадзор является федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере средств массовой информации, в том числе электронных, и массовых коммуникаций, информационных технологий и связи, функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, а также функции по организации деятельности радиочастотной службы. Роскомнадзор является уполномоченным федеральным органом исполнительной власти по защите прав субъектов персональных данных.

Роскомнадзор осуществляет федеральный государственный контроль (надзор) за обработкой персональных данных (п. 5.1.1.7 Положения).

Обстоятельств, которые бы указывали о нарушении положений Федерального закона «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации» от 31 июля 2020 № 248-ФЗ, при проведении проверки в отношении ФГУП «Название», не выявлено.

Внеплановая документарная проверка в отношении ФГУП «Название» проведена уполномоченными должностными лицами Роскомнадзора при наличии к тому фактических и правовых оснований, результаты такой проверки оформлены надлежащим образом. Проведение внеплановой документарной проверки не требовало согласования с органами прокуратуры (ч. 9 ст. 72 Закона № 152).

Полученные в результате проверки сведения отвечают требованиям, предъявляемым ст. 26.7 КоАП РФ к документам.

При таких обстоятельствах мировой судья квалифицирует содеянное ФГУП «Название» по ч. 2 ст. 13.11 КоАП РФ, как обработку персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, за исключением случаев, предусмотренных статьей 17.13 настоящего Кодекса, когда такие действия не содержат уголовно наказуемого деяния.

Оснований для иной квалификации деяния, а равно для прекращения производства по делу об административном правонарушении мировой судья не находит.

При назначении наказания судья учитывает характер совершенного ФГУП «Название» административного правонарушения, имущественное положение ФГУП «Название», обстоятельства, смягчающие его административную ответственность.

К обстоятельствам, смягчающим административную ответственность ФГУП «Название», судья в соответствии со ст. 4.2 КоАП РФ относит: отсутствие в представленных материалах сведений о повторном совершении однородного административного правонарушения; признание вины; предотвращение лицом, совершившим административное правонарушение, вредных последствий административного правонарушения; своевременное уведомление в адрес органа государственного контроля (надзора) о факте неправомерной передачи персональных данных; содействие органу, уполномоченному осуществлять производство по делу об административном правонарушении, в установлении обстоятельств, подлежащих установлению по делу об административном правонарушении.

Обстоятельств, отягчающих административную ответственность ФГУП «Название», мировым судьей не установлено.

При таких обстоятельствах мировой судья приходит к выводу о назначении ФГУП «Название» наказания в виде административного штрафа в пределах санкции ч. 2 ст. 13.11 КоАП РФ.

На основании изложенного, руководствуясь ст.ст. 29.9-29.11 КоАП РФ, мировой судья

П О С Т А Н О В И Л:

 Федеральное государственное унитарное предприятие «Наименование» признать виновным в совершении административного правонарушения, предусмотренного ч. 2 ст. 13.11 КоАП РФ, и назначить ему административное наказание в виде административного штрафа в размере 30 000 (тридцать тысяч) рублей, подлежащего уплате по следующим реквизитам:

Получатель платежа: реквизиты.

При уплате административного штрафа юридическим лицом не позднее двадцати дней со дня вынесения постановления о наложении административного штрафа административный штраф может быть уплачен в размере половины суммы наложенного административного штрафа в соответствии с ч. 1.3-3 ст. 32.2 КоАП РФ.

Разъяснить, что в соответствии со ст. 32.2 КоАП РФ административный штраф должен быть уплачен в полном размере лицом, привлеченным к административной ответственности, не позднее шестидесяти дней со дня вступления постановления о наложении административного штрафа в законную силу, за исключением случая, предусмотренного частью 1.1 или 1.3 настоящей статьи, либо со дня истечения срока отсрочки или срока рассрочки, предусмотренных статьей 31.5 КоАП РФ.

В соответствии с ч. 5 ст.32.2 КоАП РФ, документ, свидетельствующий об уплате административного штрафа, лицо, привлеченное к административной ответственности, направляет судье, вынесшему постановление. При невыполнении указанных действий административный штраф взыскивается принудительно.

Копию документа об уплате административного штрафа направить мировому судье (115280, г. Москва, ул. Восточная, д.2 корп.4, судебный участок № 456 Даниловского района города Москвы) или по электронной почте mirsud456@ums-mos.ru.

Постановление может быть обжаловано в Симоновский районный суд города Москвы в течение 10 суток со дня вручения или получения копии постановления, через судебный участок № 456 Даниловского района города Москвы.

Мировой судья                                                      И.И. Ахматов

Источник: https://mos-sud.ru/456/cases/admin/details/72aa7acd-22f0-4f96-9002-752eeeb63300?documentMainArticle=13.11&formType=fullForm