Решение по административному делу

Дело № 5-2/23-7

ПОСТАНОВЛЕНИЕ

по делу об административном правонарушении

г. Смоленск                                                          20 января 2023 года

Мировой судья судебного участка №7 в г. Смоленске Михлик Н.Н., с участием должностного лица составившего протокол об административном правонарушении <ФИО1> рассмотрев дело об административном правонарушении, предусмотренном ч. 1 ст. 13.11 КоАП РФ, в отношении ФИО <ФИО2>, ИНН: <НОМЕР>,дата государственной регистрации <ДАТА2> адрес: <АДРЕС>,

установил:

Управлением Роскомнадзора по Смоленской области в период с <ДАТА3> по <ДАТА4> была проведена внеплановая выездная проверка в отношении Индивидуального предпринимателя  <ФИО2> (далее Оператор), с целью исполнения поручения Заместителя Председателя Правительства Российской Федерации <ФИО3> от <ДАТА5> <НОМЕР> о проведении контрольного (надзорного) мероприятия по факту неправомерного доступа неограниченного круга лиц к персональным данным покупателей (клиентов) Оператора. ФИО <ФИО>., допущены нарушения требований части 1 статьи 6 Закона о персональных данных в части предоставления неправомерного доступа к ИСПДн оператора (базе данных сайта <ОБЕЗЛИЧЕНО>), повлекшего за собой распространение персональных данных покупателей (клиентов) Оператора неограниченному кругу лиц путем размещения в сети Интернет по адресам <ОБЕЗЛИЧЕНО>(далее - база данных клиентов).

По результатам анализа фрагментов базы данных клиентов установлено наличие персональных данных в объеме: -фамилия, имя, отчество; -адрес (индекс, город, улица, дом, квартира (при наличии)); -номер телефона: -адрес электронной почты. По результатам сопоставления информации, размещенной в сети Интернет по <ОБЕЗЛИЧЕНО> осмотра в рамках внеплановой выездной проверки информационной системы - базы данных сайта <ОБЕЗЛИЧЕНО> ФИО <ФИО>. раздел «Покупатели» - и анализа скриншотов базы данных клиентов и сайта было выявлено следующее.

Данные о субъектах по значению фамилии, имени, отчества и адреса электронной почты, размещенные в сети Интернет по адресам <ОБЕЗЛИЧЕНО> совпадают с данными, содержащимися в базе данных сайта <ОБЕЗЛИЧЕНО> раздела «Покупатели». Кроме того, совпадают IP адрес и дата регистрации/добавления в базу клиента. Это свидетельствует о принадлежности персональных данных субъектов, размещенных в сети Интернет по адресам <ОБЕЗЛИЧЕНО> к персональным данным клиентов Оператора. Данное нарушение зафиксировано и подтверждается снимками экрана базы данных сайта <ОБЕЗЛИЧЕНО> отображающими сведения о клиентах-физических лицах, в числе которых <ФИО5>, <ФИО6>, <ФИО7> <ФИО8>, <ФИО9> и др. Так, скриншот раздела «Покупатели» базы данных сайта <ОБЕЗЛИЧЕНО> показал наличие следующей информации, относящейся к субъекту персональных данных: - фамилия, имя клиента/покупателя (<ФИО5>); - адрес электронной почты (<ОБЕЗЛИЧЕНО>); - IP-адрес (<НОМЕР>); - дата (<ДАТА6>). В базе данных клиентов размещены следующие персональные данные: - фамилия, имя клиента/покупателя (<ФИО5>); - адрес электронной почты (<ОБЕЗЛИЧЕНО>); - номер телефона (<НОМЕР>); - IP-адрес (<НОМЕР>); - дата (<ДАТА>).

В ходе проверки сотрудники Управления выявили специфические особенности регистрации большого количества клиентов - покупателей ФИО <ФИО2>, в частности, дублирование фамилии клиента после его отчества. Эти же особенности отмечаются во фрагментах базы данных клиентов, размещенных в сети Интернет: 1) Скриншот раздела «Покупатели» базы данных сайта <ОБЕЗЛИЧЕНО> показал наличие следующей информации, относящейся к субъекту персональных данных: - фамилия, имя клиента/покупателя (<ФИО10>); - адрес электронной почты (<НОМЕР>); - IP-адрес (<НОМЕР>); -дата (<ДАТА7>).

В базе данных клиентов размещены следующие персональные данные: -фамилия, имя клиента/покупателя (<ФИО10>); -адрес электронной почты (<НОМЕР>); -номер телефона (<НОМЕР>); - IP-адрес (<НОМЕР>); -дата (<ДАТА>). 2) Скриншот раздела «Покупатели» базы данных сайта <ОБЕЗЛИЧЕНО> показал наличие следующей информации, относящейся к субъекту персональных данных: - фамилия, имя клиента/покупателя (<ФИО6> Булыгина); - адрес электронной почты (<ОБЕЗЛИЧЕНО>); -IР-адрес (<НОМЕР>); - дата (<ДАТА8>).

В базе данных клиентов размещены следующие персональные данные: - фамилия, имя клиента/покупателя (<ФИО6> Булыгина); - адрес электронной почты (<ОБЕЗЛИЧЕНО>); - «номер телефона (<НОМЕР>); -IP-адрес (<НОМЕР>); - дата (<ДАТА>) Скриншот раздела «Покупатели» базы данных сайта <ОБЕЗЛИЧЕНО> показал наличие следующей информации, относящейся к субъекту персональных данных: - фамилия, имя клиента/покупателя (<ФИО9> <ФИО11>); - адрес электронной почты (<ОБЕЗЛИЧЕНО>); - IP-адрес (<НОМЕР>); -дата (<ДАТА9>).

В базе данных клиентов размещены следующие персональные данные: - фамилия, имя, отчество клиента (<ФИО9> <ФИО11>); - адрес электронной почты (<ОБЕЗЛИЧЕНО>); - номер телефона (<НОМЕР>); - IP-адрес (<НОМЕР>); -дата (<ДАТА>).

Таким образом, данные о субъектах, размещенные в сети Интернет по <ОБЕЗЛИЧЕНО> совпадают с данными раздела «Покупатели» базы данных сайта <ОБЕЗЛИЧЕНО>. Кроме того, просмотр отдельных комментариев («Торт нужен для др мальчика 6 лет. Др <ДАТА>», «Здравствуйте. Просьба сделать надпись. Цифру 6 покрупнее», «Заказ нужен на деньрождения <ДАТА> оставленных клиентами при осуществлении заказа и оказавшихсявпоследствии в свободном доступе в сети Интернет по адресам <ОБЕЗЛИЧЕНО>, позволяет сделать вывод, что речь идет о покупке кондитерскихизделий (в частности, к конкретной дате/поводу, например, дню рождения), что совпадает с видами деятельности, указанными в ЕГРИП в отношении ФИО <ФИО2>(ОКВЭД Код <НОМЕР>:Услуги по розничной торговле хлебом и хлебобулочными изделиями икондитерскими изделиями в специализированных магазинах, а именно: <НОМЕР>.21 и <НОМЕР>.22). Комментарий «Если товаров нет в наличии в точке на <АДРЕС>, готов забрать заказ из другого магазина, чтобы не ждать пока привезут» указывает на конкретную торговую точку ФИО <ФИО2> <АДРЕС>. В ходе проверки получены письменные объяснения ФИО <ФИО>. по факту несанкционированного доступа к персональным данным клиентов Оператора (предоставлена пояснительная записка ФИО <ФИО>. от <ДАТА10>).

Согласно информации, представленной ФИО <ФИО>., возможной причиной утечки персональных данных, которые люди оставляли на сайте <ОБЕЗЛИЧЕНО> при оформлении заказов, могла стать уязвимость бесплатной системы, которую использовала ФИО <ФИО>. для создания сайта - платформа Opencart. В результате проведения проверки Управлением подтвержден факт неправомерной обработки персональных данных клиентов в форме предоставления доступа к базе данных сайта <ОБЕЗЛИЧЕНО> в отсутствие правовых оснований, что повлекло за собой распространение персональных данных клиентов неограниченному кругу лиц путем их размещения в сети Интернет по адресам htts <ОБЕЗЛИЧЕНО>. В судебное заседание  <ФИО> не явилась извещена надлежащим образом. Поскольку от  <ФИО> извещенного о времени и месте судебного рассмотрения, не поступило ходатайств об отложении рассмотрения дела, суд рассматривает дело в соответствии со ст. 25.1 ч. 2 КоАП РФ - в отсутствии лица, привлекаемого к административной ответственности.

Мировой судья, исследовав письменные доказательства, приходит к следующим выводам.

Согласно ч. 1 ст.13.11 КоАП РФ обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи и статьей 17.13 настоящего Кодекса, если эти действия не содержат уголовно наказуемого деяния, -влечет наложение административного штрафа ; на должностных лиц - от десяти тысяч до двадцати тысяч рублей; на юридических лиц - от шестидесяти тысяч до ста тысяч рублей.

Согласно п.3 ст. 3Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Согласно п. 1-11 ч. 1 ст. 6 Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях: 1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; 2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей; 3) обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах; 3.1) обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее - исполнение судебного акта); 4) обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на единомпортале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг; 5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных; 6) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно; 7) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях», либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных; 8) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных; 9) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных; 9.1) обработка персональных данных, полученных в результате обезличивания персональных данных, осуществляется в целях повышения эффективности государственного или муниципального управления, а также в иных целях, предусмотренных Федеральным законом от 24 апреля 2020 года № 123-ФЗ «О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации - городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона «О персональных данных» и Федеральным законом от 31 июля 2020 года № 258-ФЗ «Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации», в порядке и на условиях, которые предусмотрены указанными федеральными законами; 11) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом. Вина ФИО <ФИО>. подтверждена протоколом об административном правонарушении <НОМЕР> от <ДАТА15>, копией акта внеплановой выездной проверки в отношении ФИО <ФИО> от <ДАТА4> <НОМЕР> с приложениями, запросом Роскомнадзора от <ДАТА16> <НОМЕР>, запросом Управления Роскомнадзора по Смоленской области от <ДАТА17> <НОМЕР>, пояснительной запиской ФИО <ФИО>. по запросу данных для внеплановой проверки от <ДАТА10>, объяснениями ФИО <ФИО> Действия ФИО <ФИО> привело к нарушению требований п. 3 ст. 3, п. 1-11 ч. 1 ст. 6 Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».

Таким образом, исследовав все обстоятельства дела в их совокупности, оценив доказательства с точки зрения их допустимости, достоверности и относимости, мировой судья находит доказанной вину ФИО <ФИО> в совершении административного правонарушения, а ее действия подлежащими квалификации по ч. 1 ст. 13.11 КоАП РФ, обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи и статьей 17.13 настоящего Кодекса, если эти действия не содержат уголовно наказуемого деяния. Обстоятельства, смягчающие и отягчающие наказание, не установлены. Санкция статьи предусматривает наказание в виде административного штрафа. Согласно части 1 статьи 4.1.1 Кодекса Российской Федерации об административных правонарушениях замена административного наказания в виде административного штрафа предупреждением возможна являющимся субъектами малого и среднего предпринимательства лицам, осуществляющим предпринимательскую деятельность без образования юридического лица, и юридическим лицам, а также их работникам за впервые совершенное административное правонарушение, выявленное в ходе осуществления государственного контроля (надзора), муниципального контроля, в случаях, если назначение административного наказания в виде предупреждения не предусмотрено соответствующей статьей раздела II указанного Кодекса или закона субъекта Российской Федерации об административных правонарушениях, административное наказание в виде административного штрафа подлежит замене на предупреждение при наличии обстоятельств, предусмотренных частью 2 статьи 3.4 названного Кодекса, за исключением случаев, предусмотренных частью 2 данной статьи. В соответствии с частью 2 статьи 3.4 указанного Кодекса предупреждение устанавливается за впервые совершенные административные правонарушения при отсутствии причинения вреда или возникновения угрозы причинения вреда жизни и здоровью людей, объектам животного и растительного мира, окружающей среде, объектам культурного наследия (памятникам истории и культуры) народов Российской Федерации, безопасности государства, угрозы чрезвычайных ситуаций природного и техногенного характера, а также при отсутствии имущественного ущерба. С учетом взаимосвязанных положений части 2 статьи 3.4 и части 1 статьи 4.1.1 Кодекса Российской Федерации об административных правонарушениях мировой судья приходит к выводу о возможности замены наказания в виде административного штрафа предупреждением. Руководствуясь ст. 29.5. - 29.10. КоАП РФ, мировой судья постановил:

Признать ФИО <ФИО2> виновной в совершении правонарушения, предусмотренного ч. 1 ст. 13.11 КоАП РФ, и подвергнуть административному наказанию в виде предупреждения.

Постановление может быть обжаловано в Ленинский районный суд г.Смоленска через мирового судью судебного участка № 7 в г.Смоленске в течение 10 суток со дня получения копии постановления.

Мировой судья                     Н.Н.Михлик

Источник: http://7.sml.msudrf.ru/modules.php?name=sud_delo&op=sd&number=25129506&delo_id=1500001