Неправомерный доступ к базам данных оператора, повлекший за собой распространение персональных данных в сети "Интернет".

Судебная практика

информация по делу

УИД: 77MS0347-01-2023-000121-73

Дело № 5-105/2022

ПОСТАНОВЛЕНИЕ

по делу об административном правонарушении

Резолютивная часть постановления объявлена 01 февраля 2023 года

Полный текст постановления изготовлен 02 февраля 2023 года

01 февраля 2023 года г. Москва

Мировой судья судебного участка № 347 Савеловского района г. Москвы Куликова Д.С., рассмотрев дело об административных правонарушениях, предусмотренных ч. 1 ст. 13.11 Кодекса РФ об административных правонарушениях, в отношении

ПАО «Наименование» (далее ПАО «Наименование»), *****, ранее не привлекавшегося к административной ответственности,

УСТАНОВИЛ:

Управление Роскомнадзора по Центральному федеральному округ на основании пункта 3 Положения об Управлении Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Центральному федеральному округу, утвержденного приказом Роскомнадзора от 25.01.2016 № 38, осуществляет функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных на территории Москвы и Московской области.

С целью исполнения поручения Заместителя Председателя Правительства Российской Федерации от 12.10.2022 № ДЧ-П10-17250 Д.Н. Чернышенко Управлением Роскомнадзора по Центральному федеральному округ в период с 16.11.2022 по 29.11.2022 была проведена внеплановая выездная проверка в отношении ПАО «Наименование».

ПАО «Наименование» допущено нарушение требований части 1 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Закон), в части предоставления неправомерного доступа к информационной системе персональных данных (далее - ИСПДн) клиентов оператора связи ПАО «Наименование», повлекшего за собой распространение персональных данных клиентов оператора связи ПАО «Наименование» неограниченному кругу лиц путем их размещения на сайте в сети Интернет по адресу_________________ .

По результатам анализа фрагментов указанной базы данных клиентов оператора связи ПАО «Наименование» установлено наличие следующих персональных данных в объеме:

Фамилия;

Имя;

Отчество;

Адрес;

Телефон;

Тариф (Интернет).

В рамках выездной проверки ПАО «Наименование» представлен Перечень персональных данных, обрабатываемых ПАО «Наименование» в информационных системах персональных данных.

Согласно вышеуказанному перечню персональных данных ПАО «Наименование» для обработки персональных данных такой категории субъектов, как клиенты оператора связи ПАО «Наименование», используется ИСПДн «ЦОД».

По результатам сопоставления информации, размещенной в сети интернет по адресу _____________________________, и осмотра ИСПДн «ЦОД», зафиксировано скриншотами, было выявлено следующее.

Данные о субъектах, размещенные в сети Интернет по адресу _____________________, совпадают с данными, содержащимися в ИСПДн «ЦОД» в которую входят ИС: ИС 1CRETAIL, ИС ACRM, ИС DOL, ИС INAC, ИС USSS, ИС АСР «Ensemble», ИС АСР Softel, ИС АСР Атлант, ИСПДн «Печатный комплекс».

Данное нарушение подтверждается снимками экрана ИСПДн «ЦОД», в которую входят ИС: ИС 1CRETAIL, ИС ACRM, ИС DOL, ИС INAC, ИС USSS, ИС АСР «Ensemble», ИС АСР Softel, ИС АСР Атлант, ИСПДн «Печатный комплекс», отображающими сведения о следующих клиентах оператора связи ПАО «Наименование»: *****, *****.

Случаи, при которых допускается обработка персональных данных субъекта, закреплены статьей 6 Закона. Обработка персональных данных на основании пункта 1 допускается с согласия субъекта персональных данных, а также при наличии иных оснований, установленных пунктами 2-11 части 1 статьи 6 Закона.

Более того, оператор обязан обеспечить конфиденциальность персональных данных. Так, согласно положениям статьи 7 Закона операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом.

Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения в сети Интернет, установлены статьей 10.1 Закона.

Так, исключительным основанием обработки персональных данных, разрешенных субъектом персональных данных для распространения, является согласие субъекта персональных данных, которое оформляется отдельно от иных согласий. Требования к содержанию указанного согласия установлены Приказом Роскомнадзора от 24.02.2021 № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения».

Вместе с тем в ходе проверки подтверждения наличия вышеуказанных правовых оснований распространения персональных данных клиентов оператора связи «Название» не предоставлено.

Таким образом, распространение персональных данных клиентов оператора связи ПАО «Наименование» в сети Интернет нарушает статьи 6, 7, 10.1 Закона, что образует состав административного правонарушения, ответственность за которое установлена статьей 13.11 КоАП РФ.

Таким образом, в ходе проведения проверки Управлением Роскомнадзора по Центральному федеральному округу установлено нарушение требований части 1 статьи 6, статьи 7, статьи 10.1 Закона со стороны ПАО «Наименование».

Исходя из изложенного, ПАО «Наименование» допущено административное правонарушение, ответственность за которое предусмотрена частью 1 статьи 13.11 КоАП РФ.

Датой совершения выявленного правонарушения является дата размещения в сети Интернет информации об утечке персональных данных клиентов оператора связи ПАО «Наименование». В сети Интернет по адресу ______________ была обнаружена информация о размещении базы данных клиентов оператора связи ПАО «Наименование» - 20.05.2022, что подтверждается снимками экрана интернет-страниц _______________ и докладной запиской от 20.05.2022 №4742-дз.

Датой выявления правонарушения является дата завершения внеплановой выездной проверки в отношении ПАО «Наименование», а именно 29.11.2022.

В судебное заседание защитник ПАО "Наименование" Чобанян Г.А. явился, вину в инкриминируемом правонарушении не признал, представил письменные возражения, в которых пояснил, что Роскомнадзор в ходе мониторинга электронных средств массовой информации установил факт наличия публикации относительно возможной утечки персональных данных (_______________________) абонентов ПАО «Наименование» и запросил соответствующую информацию у ПАО «Наименование» путем направления письма на представление информации от 14.09.2021 № 08 - 60552 (далее - Запрос). В ответ на Запрос ПАО «Наименование» предоставило запрашиваемую информацию, в том числе сведения о том, что по результатам проведения проверочных мероприятий в сети «Интернет» был обнаружен незначительный фрагмент базы данных, который позволил сделать вывод о том, что в нем возможно содержится информация аналогичная той, которая содержится в базах данных ПАО «Наименование». Частичное содержимое базы данных ИСПДн ПАО «Наименование» было доступно в сети «Интернет» на ip ________________ порт 8080 (далее - Источник) на дату 23.08.2021, после чего сторонний доступ к базам данных ПАО «Наименование» был исключен, а также были приняты другие меры в области информационной безопасности, направленные на устранение возможности доступа третьих лиц. До закрытия доступа к Источнику, неизвестные третьи лица нарушили требования законодательства и скопировали фрагмент базы ПАО «Наименование» с Источника и в последующем размещали фрагмент базы ПАО «Наименование» на различных ресурсах в сети «Интернет». Таким образом, на сайтах в сети «Интернет» по адресам:_____________________________, содержатся фрагменты базы данных ПАО «Наименование», которые неизвестные третьи лица скопировали с Источника в 2021 году. Ввиду изложенного, считает, что срок давности привлечения к административной ответственности истек 23.08.2022, поскольку дата совершения административного правонарушения 23.08.2021, в связи с чем просил производство по делу прекратить.

Суд, выслушав защитника ПАО «Наименование», исследовав материалы дела об административном правонарушении, приходит к выводу о том, что вина ПАО «Наименование» в совершении правонарушения, предусмотренного ч. 1 ст. 13.11 Кодекса Российской Федерации об административных правонарушениях, объективно подтверждается имеющимися по делу доказательствами, а именно:

- протоколом об административном правонарушении № АП-77/08/1382 от 12.12.2022, из которого следует, что Управление Роскомнадзора по Центральному федеральному округ на основании пункта 3 Положения об Управлении Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Центральному федеральному округу, утвержденного приказом Роскомнадзора от 25.01.2016 № 38, осуществляет функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных на территории Москвы и Московской области.

С целью исполнения поручения Заместителя Председателя Правительства Российской Федерации от 12.10.2022 № ДЧ-П10-17250 ФИО Управлением Роскомнадзора по Центральному федеральному округ в период с 16.11.2022 по 29.11.2022 была проведена внеплановая выездная проверка в отношении ПАО «Наименование».

Фамилия;

Имя;

Отчество;

Адрес;

Телефон;

Тариф (Интернет).

По результатам сопоставления информации, размещенной в сети интернет по адресу __________________, и осмотра ИСПДн «ЦОД», зафиксировано скриншотами, было выявлено следующее.

Данные о субъектах, размещенные в сети Интернет по адресу_____________________, совпадают с данными, содержащимися в ИСПДн «ЦОД» в которую входят ИС: ИС 1CRETAIL, ИС ACRM, ИС DOL, ИС INAC, ИС USSS, ИС АСР «Ensemble», ИС АСР Softel, ИС АСР Атлант, ИСПДн «Печатный комплекс».

Датой совершения выявленного правонарушения является дата размещения в сети Интернет информации об утечке персональных данных клиентов оператора связи ПАО «Наименование». В сети Интернет по адресу _________________- ____ была обнаружена информация о размещении базы данных клиентов оператора связи ПАО «Наименование» - 20.05.2022, что подтверждается снимками экрана интернет-страниц __________________ и докладной запиской от 20.05.2022 №4742-дз.

- актом внеплановой выездной проверки в отношении ПАО «Наименование» от 29.11.2022, в котором отражены выявленные нарушения.

- предписанием об устранении выявленного нарушения № П-77/08/603-нд/-/1/54 от 29.11.2022, в котором отражены выявленные нарушения, а также установлен срок для их устранения до 01.03.2023,

- справкой о результатах внеплановой выездной проверки ПАО «Наименование» на соответствие обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных,

- фотографиями снимков экрана,

- справкой ПАО «Наименование», направленной в целях исполнения решения о проведении внеплановой проверки в отношении ПАО «Наименование» от 14.11.2022 № 30 и приложения № 1 к решению,

- справкой об информационных системах ПДн, обрабатывающих ПДн абонентов ПАО «Наименование»,

- справкой по порядку резервирования,

- уставом ПАО «Наименование»,

- политикой резервного копирования данных ИТ-Систем ПАО «Наименование»,

- политикой «Обработка персональных данных», утвержденной президентом ПАО «Наименование»,

- методикой «Оценка вреда, причиненного субъектам персональных данных ПАО «Наименование» в случае нарушения законодательства РФ в области защиты персональных данных», утвержденной Вице-президентом по безопасности ПАО «Наименование»,

- инструкцией «Использование съемных носителей информации при обработке персональных данных», утвержденной Вице-президентом по безопасности ПАО «Наименование»,

- решением о проведении внеплановой выездной проверки в отношении ПАО «Наименование» от 14.11.2022, предметом которой является соблюдение ПАО «Наименование» обязательных требований в области персональных данных, установленных ч. 1, 3 ст. 6, ст. 7, ч. 1, 2, 3, 4 ст. 9, ч. 1, 2, 10, 14 ст. 10.1, ч. 5 ст. 18, ч. 1, 2 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»,

- запросом о представлении документов и информации, необходимых для проведения проверки ПАО «Наименование»,

- протоколом выезда № 1 в рамках внеплановой выездной проверки,

- протоколом выезда № 2 в рамках внеплановой выездной проверки,

- протоколом выезда № 3 в рамках внеплановой выездной проверки,

- протоколом опроса в рамках внеплановой выездной проверки в отношении ПАО «Наименование»,

- докладной запиской № 4742-дз от 20.05.2022 о направлении запроса, из которой следует, что в ходе мониторинга сети «Интернет» выявлен интернет-ресурс ______________________, посредством которого осуществляется распространение персональных данных граждан Российской Федерации. По результатам оценки содержания указанного интернет-ресурса составлен перечень лиц, являющихся владельцами без данных, содержащих распространяемые персональные данные.

Также были исследованы возражения по делу об административном правонарушении и приложенные к нему документы: запрос Роскомнадзора № 08-60552 от 14.09.2021, ответ ПАО «Наименование» на данный запрос.

Достоверность вышеуказанных доказательств у суда сомнений не вызывает, поскольку они последовательны, непротиворечивы, согласуются между собой, составлены в соответствии с требованиями Кодекса Российской Федерации об административных правонарушениях и объективно фиксируют фактические данные, поэтому суд находит их относимыми, допустимыми, достоверными и достаточными для разрешения настоящего дела, а потому считает возможным положить их в основу постановления.

Допрошенный в качестве свидетеля главный специалист – эксперт отдела по защите прав субъектов персональных данных Управления Роскомнадзора по Центральному федеральному округу ФИО показал, что он составлял вышеуказанный протокол в отношении ПАО «Наименование». Заместителем Председателя Правительства Российской Федерации ФИО было поручено Управлению Роскомнадзора по Центральному федеральному округ провести проверку в отношении ПАО «Наименование» по факту неправомерного доступа к базам данных оператора, повлекшие за собой распространение персональных данных в сети Интернет. В рамках мониторинга Управлением Роскомнадзора был проведен анализ утекших баз данных на ресурсе ________________, в мае 2022 г. были выявлены субъекты, относящиеся в ПАО «Наименование». В рамках проверки был произведен осмотр информационной системы, принадлежащей оператору, где были выявлены субъекты, из утекшей базы данных и момент сопоставления информации, было установлено, что информация одинаковая, в виду чего в отношении ПАО «Наименование» был составлен протокол по ч. 1 ст. 13.11 КоАП РФ. Перед проведением проверки был проведен мониторинг по факту утечки персональных данных, в ходе данному мониторинга было выявлено, что возможно произошла утечка персональных данных клиентов ПАО «Наименование», что послужило основанием для проведения выездной проверки. При проведении мониторинга был изучен источник ________________, что также подтверждается приложенными к материалам дела документам, подтверждающим, что нарушение было выявлено в мае 2022 г. В 2022 г. произошла новая утечка баз данных, утечка, которая произошла в 2021 г., в рамках данной проверки не рассматривалась. Таким образом, в рамках данной проверки рассматривался утечка персональных данных, выявленная при мониторинге в мае 2022 г.

Не доверять показаниям допрошенного свидетеля у суда не имеется оснований. Показания указанного свидетеля последовательны, непротиворечивы и дополняют друг друга.

Частью 1 статьи 13.11 КоАП РФ предусмотрена административная ответственность за обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи и статьей 17.13 настоящего Кодекса, если эти действия не содержат уголовно наказуемого деяния.

Из части 1 статьи 24 Конституции Российской Федерации следует, что сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.

Отношения, связанные с обработкой персональных данных, регулируются Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных).

Согласно статье 3 Закона о персональных данных под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); под обработкой персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных; под распространением персональных данных понимаются действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных Законом о персональных данных (часть 1 статьи 6 данного закона).

В соответствии со статьей 7 Закона о персональных данных операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных), образует состав административного правонарушения, предусмотренного ст. 13.11 КоАП РФ.

В соответствии с ч. 2 ст. 2.1 КоАП РФ юридическое лицо признается виновным в совершении административного правонарушения, если будет установлено, что у него имелась возможность для соблюдения правил и норм, за нарушение которых предусмотрена ответственность, но данным лицом не были приняты все зависящие от него меры по их соблюдению.

Оценивая приведенные доказательства в совокупности, мировой судья находит вину ПАО «Наименование» в совершении административного правонарушения, предусмотренного ч. 1 ст. 13.11 КоАП РФ, полностью установленной, поскольку юридическим лицом не приняты все зависящие от него меры по выполнению требований действующего законодательства в области персональных данных.

Довод защитника ПАО «Наименование» о том, что срок давности привлечения к административной ответственности истек 23.08.2022, поскольку дата совершения административного правонарушения 23.08.2021, ввиду чего производство по делу подлежит прекращению, не может служить основанием для прекращения производства по делу ввиду следующего.

Согласно положениям ч. 1 ст. 4.5 КоАП РФ срок давности привлечения к административной ответственности за правонарушения, предусмотренные ч. 1 ст. 13.11 КоАП РФ, составляет один год.

В силу ч. 2 ст. 4.5 КоАП РФ при длящемся административном правонарушении сроки, предусмотренные частью 1 настоящей статьи, начинают исчисляться со дня обнаружения административного правонарушения.

Как следует из разъяснений, содержащихся в Постановлении Пленума Верховного Суда РФ от 24.03.2005 № 5 «О некоторых вопросах, возникающих у судов при применении Кодекса Российской Федерации об административных правонарушениях» согласно части 2 статьи 4.5 КоАП РФ при длящемся административном правонарушении сроки, предусмотренные частью первой этой статьи, начинают исчисляться со дня обнаружения административного правонарушения. При применении данной нормы судьям необходимо исходить из того, что длящимся является такое административное правонарушение (действие или бездействие), которое выражается в длительном непрекращающемся невыполнении или ненадлежащем выполнении предусмотренных законом обязанностей.

В данном случае днем обнаружения административного правонарушения является дата размещения в сети Интернет информации об утечке персональных данных клиентов оператора связи ПАО «Наименование». В сети Интернет по адресу _____________ была обнаружена информация о размещении базы данных клиентов оператора связи ПАО «Наименование» - 20.05.2022, что подтверждается снимками экрана интернет-страниц ________________ и докладной запиской от 20.05.2022 №4742-дз.

Кроме того, ссылка защитника ПАО «Наименование» в возражениях на то, что частичное содержимое базы данных ИСПДн ПАО «Наименование» было доступно в сети «Интернет» на ip ____________ порт 8080 (далее - Источник) на дату 23.08.2021, после чего сторонний доступ к базам данных ПАО «Наименование» был исключен, а также были приняты другие меры в области информационной безопасности, направленные на устранение возможности доступа третьих лиц. До закрытия доступа к Источнику, неизвестные третьи лица нарушили требования законодательства и скопировали фрагмент базы ПАО «Наименование» с Источника и в последующем размещали фрагмент базы ПАО «Наименование» на различных ресурсах в сети «Интернет», не может быть принята как состоятельная, поскольку является субъективным мнением защитника, который объективно ничем не подтвержден.

При назначении административного наказания мировой судья учитывает фактические обстоятельства дела, данные о юридическом лице, его имущественное и финансовое положение, отсутствие смягчающих и отягчающих административную ответственность обстоятельств, характер совершенного административного правонарушения и считает необходимым назначить административное наказание в виде административного штрафа.

На основании вышеизложенного, руководствуясь ст. ст. 29.9 - 29.11 Кодекса Российской Федерации об административных правонарушениях, мировой судья

ПОСТАНОВИЛ:

ПАО «Наименование» признать виновным в совершении административного правонарушения, предусмотренного ч. 1 ст. 13.11 Кодекса РФ об административных правонарушениях и назначить наказание в виде административного штрафа в размере 60 000 (шестьдесят тысяч) рублей.

Штраф подлежит уплате по следующим реквизитам:

Получатель платежа: Получатель УФК по г. Москве (Департамент по обеспечению деятельности мировых судей города Москвы л/с 04732805000), ИНН: 7704236196, КПП: 770401001, ОКТМО: 45374000, Банк получателя платежа: ГУ Банка России по ЦФО//УФК по г. Москве г. Москва, БИК: 004525988, Расчетный счет: 03100643000000017300, Корреспондентский счет: 40102810545370000003, УИН: 0356140805001053472309240, КБК: 80511601133010000140, Назначение платежа: Штраф. Номер дела 05-0105/347/2023, постановление от 01.02.2023 по Ст. 13.11, Ч.1 КоАП РФ в отношении ПАО "Наименование". Судебный участок № 347 тел.: +7(499)747-40-08, +7(499)159-41-45, +7(495)609-90-74.

В соответствии со ст.32.2 КРФоАП административный штраф должен быть уплачен лицом, привлеченным к административной ответственности, не позднее шестидесяти дней со дня вступления постановления о наложении административного штрафа в законную силу.

В подтверждение оплаты административного штрафа квитанция должна быть представлена в судебный участок до истечения указанного срока.

Постановление может быть обжаловано в течение 10 суток со дня вручения или получения копии настоящего постановления в Савеловский районный суд г. Москвы через мирового судью.

Мировой судья Д.С. Куликова

Источник: https://mos-sud.ru/347/cases/admin/details/d3347027-f126-4599-9a54-f1ff87ecbd6d?documentMainArticle=13.11&formType=fullForm

Информация по делу

Статьи

ч.1 ст.13.11 КоАП РФ

Суд

Мировой судья судебного участка № 347 Савеловского района г. Москвы

Судья

Куликова Д.С.

Дата решения

2023-02-01

Категории