Решение по административному делу

Дело № 5-1/2024-2

ПОСТАНОВЛЕНИЕ

г. Кондопога                                                          26 января 2024 года

Резолютивная часть постановления объявлена 24 января 2024 года<ДАТА>

Постановление изготовлено в полном объеме 26 января 2024 года.

 Мировой судья судебного участка № 2 Кондопожского района Республики Карелия Лаптев А.В. (адрес: Республика Карелия, гор. Кондопога, ул. Комсомольская, дом № 2а), рассмотрев дело об административном правонарушении предусмотренном частью 1 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях, в отношении:

Администрации Кондопожского муниципального района, ИНН _, ОГРН ___, дата регистрации 03.02.2003, расположенной по адресу: Республика Карелия, г.Кондопога, пл.___, д.__,

установил:

 30 марта 2023 года в 11 час. 00 мин., Администрация Кондопожского муниципального района (далее - Администрация, оператор) по адресу: Республика Карелия, г.Кондопога, пл._____ д.__, совершила обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи и статьей 17.13  настоящего Кодекса, если эти действия не содержат уголовно наказуемого деяния, а именно в Роскомнадзор во исполнение требований ч.3.1 ст.21 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» (далее - Закон о персональных данных) от Администрации поступили уведомления о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных от 31.03.2023 № __ и от 04.04.2023 № 6012502. Согласно указанным Уведомлениям причиной, повлекшей нарушение прав субъектов персональных данных, являются несанкционированные действия сторонних лиц (нарушителя, который получил доступ во внутреннюю инфраструктуру оператора), который выразился во «взломе» и заражении вредоносными программами интернет-сайта https:________, в ходе которого неустановленными лицами был получен доступ к разделу интернет-сайта «Обращения граждан». Оператор указал вред, нанесенный правам субъектов ПД - раскрытие третьим лицам персональных данных 481 субъектов персональных данных без их согласия в объеме: фамилия, имя, отчество, адрес, номер телефона, адрес электронной почты. Таким образом, Администрация нарушила требования ч.1 ст.6, ст.7 и ст.10.1 Закона о персональных данных в части предоставления неправомерного доступа к базе данных оператора, содержащей персональные данные лиц, направивших обращения в соответствии с Федеральным законом от 02.05.2006 «О порядке рассмотрения обращений граждан Российской Федерации» в адрес оператора.

 При рассмотрении дела представитель  Администрации по доверенности ФИО, факт правонарушения оспаривала, пояснив, что факт утечки персональных данных на 481 гражданина не подтвердился, поскольку никто из граждан с жалобами не обращался, при этом не отрицала факт взлома страницы сайта Администрации 30.03.2023, однако проблема была устранена 04.04.2023, путем обновления программного обеспечения и антивирусной программы, с 2018 года обновления не производились в связи с отсутствием финансов. Просила прекратить производство по делу за отсутствием состава административного правонарушения, либо назначить Администрации штраф в размере менее минимального размера административного штрафа, предусмотренного ч.1 ст.13.11 КоАП РФ, представила пояснения.

 Выслушав представителя лица, привлекаемого к административной ответственности, допросив свидетелей, исследовав письменные материалы дела, мировой судья приходит к следующему.

 В соответствии со ст.24.1 КоАП РФ задачами производства по делам об административных правонарушениях является всестороннее, полное, объективное и своевременное выяснение обстоятельств каждого дела, разрешение его в соответствии с

 Согласно ч.ч.1,2 ст.26.2 КоАП РФ доказательствами по делу об административном правонарушении являются любые фактические данные, на основании которых судья, в производстве которого находится дело, устанавливает наличие или отсутствие события административного правонарушения, виновность лица, привлекаемого к административной ответственности, а также иные обстоятельства, имеющие значение для правильного разрешения дела. Эти данные устанавливаются протоколом об административном правонарушении, иными протоколами, предусмотренными настоящим Кодексом, объяснениями лица, в отношении которого ведется производство по делу об административном правонарушении, показаниями потерпевшего, свидетелей, заключениями эксперта, иными документами, а также показаниями специальных технических средств, вещественными доказательствами.

 В соответствии с частью 1 статьи 13.11 КоАП РФ обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи и статьей 17.13 настоящего Кодекса, если эти действия не содержат уголовно наказуемого деяния, влечет наложение административного штрафа на граждан в размере от двух тысяч до шести тысяч рублей; на должностных лиц - от десяти тысяч до двадцати тысяч рублей; на юридических лиц - от шестидесяти тысяч до ста тысяч рублей.

 На основании п.1 ст.3 Закона о персональных данных под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

 Согласно п.2 ст.3 Закона о персональных данных оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

 Согласно п.3 ст.3 Закона о персональных данных обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

 Случаи, при которых допускается обработка персональных данных субъекта, закреплены статьей 6 Закона о персональных данных. Обработка персональных данных на основании пункта 1 допускается с согласия субъекта персональных данных, а также при наличии иных оснований, установленных пунктами 2-11 части 1 статьи 6 Закона о персональных данных.

 Оператор обязан обеспечить конфиденциальность персональных данных. Так, согласно положениям статьи 7 Закона о персональных данных операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом.

 Согласно ст. 10.1 Закона о персональных данных согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

 Вина Администрации в совершении данного административного правонарушения подтверждается: <ОБЕЗЛИЧЕНО>.

 Вышеуказанные доказательства получены уполномоченными должностными лицами, с соблюдением установленного законом порядка и отнесены статьей 26.2 Кодекса Российской Федерации об административных правонарушениях  к числу доказательств по делу об административном правонарушении, они являются относимыми, допустимыми, а в своей совокупности - достаточными для установления вины Администрации в совершении административного правонарушения.

 Каких-либо нарушений, допущенных при получении вышеуказанных доказательств, и влекущих невозможность их использования, мировым судьей не установлено.

 В судебном заседании допрошена в качестве свидетеля начальник отдела по защите персональных данных Управления Роскомнадзора по Республике Карелия <ФИО1>, которая пояснила, что Администрация, выявив на своем сайте утечку персональных данных в отношении 481 физического лица, направила в адрес Роскомнадзора два уведомления и два письма с подтверждением данной утечки персональных данных, однако когда в адрес Администрации поступило от  Роскомнадзора уведомление о составлении протокола об административном правонарушении позиция Администрации поменялась, стали отрицать факт утечки персональных данных. В соответствии с положениями действующего законодательства факт утечки персональных данных является основанием для привлечения к административной ответственности независимо от причины их распространения.

 По инициативе представителя Администрации в судебном заседании допрошена в качестве свидетеля <ФИО2>, главный специалист управления делами Администрации, которая пояснила, что <ДАТА10> ей стало известно о взломе сайта Администрации, в дальнейшем специалисты восстановили работу на сайте. В силу закона уведомили должностное лицо о закрытии доступа на сайте и повторным уведомлением, через три дня, сообщили, что утечка данных не подтвердилась, поскольку не было жалоб от граждан. Причина взлома связана с уязвимостью программного обеспечения Битрикс устаревшей версии, которая не обновлялась с декабря 2018 года, и устаревшей версией антивирусной программы.

 В соответствии с частью 2 статьи 2.1 КоАП РФ юридическое лицо признается виновным в совершении административного правонарушения, если будет установлено, что у него имелась возможность для соблюдения правил и норм, за нарушение которых настоящим Кодексом или законами субъекта Российской Федерации предусмотрена административная ответственность, но данным лицом не были приняты все зависящие от него меры по их соблюдению.

 Согласно указанным уведомлениям от <ДАТА10> и <ДАТА8>, предполагаемой причиной, повлекшей нарушение прав субъектов персональных данных является несанкционированный доступ, связанный с уязвимостями программного обеспечения сайта. Данная ситуация возникла впоследствии инцидента, произошедшего <ДАТА5>, неизвестными лицами был взломан сайт.

 Таким образом, сам факт утечки персональных данных пользователей сервиса Администрации является обработкой персональных данных, что в настоящем случае образует состав административного правонарушения, предусмотренного ч.1 ст.13.11 КоАП РФ.

 Объективная сторона правонарушений по ч.1 ст.13.11 КоАП РФ состоит в нарушении норм федерального законодательства, регулирующих вопросы работы с информацией о гражданах (персональными данными).

 Субъективная сторона правонарушения характеризуется умыслом или неосторожностью.

 С учетом изложенных обстоятельств, доводы представителя Администрации об отсутствии вины в передаче данных пользователей, отсутствии состава и событие правонарушения, суд отклоняет, так как имел место несанкционированный доступ со стороны неустановленных третьих лиц.

 В данном случае оператор не обеспечил конфиденциальность переданной ему информации и допустил обработку (передачу) вверенной ему информации в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, при этом факт несанкционированного доступа к данным о пользователях в данном случае не имеет значения для квалификации содеянного по ч.1 ст.13.11 КоАП РФ.

 По результатам исследования письменных доказательств и показаний свидетелей, мировой судья приходит к выводу о том, что Администрацией не приняты все зависящие от нее меры по соблюдению вышеуказанных норм федерального законодательства в области обработки персональных данных, что привело к их распространению неограниченному кругу лиц.

 Доводы представителя Администрации о том, что на сайте размещена только публичная информация о деятельности Администрации и факт утечки персональных данных 481 физических лиц не подтвердился, в виду не обращения данных граждан с жалобами, не состоятельны, опровергается изученными материалами дела, показаниями свидетеля <ФИО1>.С. и  не ставят под сомнение законность и обоснованность порядка привлечения Администрации к административной ответственности, а также с учетом имеющихся доказательств не опровергают объективную сторону административного правонарушения, предусмотренного ч.1 ст.13.11 КоАП РФ.

 Также мировой судья, учитывает, что не обращение граждан с жалобой в Администрацию ввиду утечки их персональных данных не освобождает последнего от административной ответственности и не ставит под сомнение факт «взлома» и заражения вредоносными программами интернет-сайта https _________, в ходе которого неустановленными лицами был получен доступ к разделу интернет-сайта «Обращения граждан», где находились персональные данные 481 субъектов: фамилия, имя, отчество, адрес, номер телефона, адрес электронной почты.

 Иные доводы представителя Администрации ничем не подтверждены и не опровергают факт неправомерного доступа третьих лиц к персональным данным Администрации, поэтому мировой судья относится к ним критически и не принимает их во внимание, расценивает как избранный способ защиты лица, привлекаемого к административной ответственности с целью уйти от ответственности за совершенное административное правонарушение.

 При таких обстоятельствах мировой судья квалифицирует содеянное Администрацией по ч.1 ст.13.11 КоАП РФ, как обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи и статьей 17.13 настоящего Кодекса, если эти действия не содержат уголовно наказуемого деяния.

 Частью 1 статьи 3.1 КоАП РФ определено, что административное наказание является установленной государством мерой ответственности за совершение административного правонарушения и применяется в целях предупреждения совершения новых правонарушений, как самим правонарушителем, так и другими лицами.

 Срок давности привлечения к административной ответственности, установленный статьей 4.5 Кодекса Российской Федерации об административных правонарушениях, не истек.

 Обстоятельств, исключающих производство по делу, а также оснований для освобождения от административной ответственности, не имеется.

 Оснований для признания совершенного административного правонарушения малозначительным мировой судья не усматривает, исходя из следующего.

 В соответствии со ст. 2.9 КоАП РФ при малозначительности совершенного административного правонарушения судья, орган, должностное лицо, уполномоченные решить дело об административном правонарушении, могут освободить лицо, совершившее административное правонарушение, от административной ответственности и ограничиться устным замечанием.

 Малозначительным административным правонарушением является действие или бездействие, хотя формально и содержащее признаки состава административного правонарушения, но с учетом характера совершенного правонарушения и роли правонарушителя, размера вреда и тяжести наступивших последствий не представляющее существенного нарушения охраняемых общественных правоотношений. Такие обстоятельства, как, например, личность и имущественное положение привлекаемого к ответственности лица, добровольное устранение последствий правонарушения, возмещение причиненного ущерба, не являются обстоятельствами, характеризующими малозначительность правонарушения. Они в силу частей 2 и 3 статьи 4.1 КоАП РФ учитываются при назначении административного наказания. (п. 21 Постановление Пленума Верховного Суда РФ "О некоторых вопросах, возникающих у судов при применении Кодекса Российской Федерации об административных правонарушениях" от 24 марта 2005 года N 5). Состав административного правонарушения, предусмотренного ч.1 ст.13.11 КоАП РФ, образуется вне зависимости от формы вины оператора, с момента совершения виновным действий (бездействия), нарушающих установленный законом порядок обработки персональных данных. При этом наступления общественно опасных последствий для привлечения лица к административной ответственности не требуется. Совершенное правонарушение посягает на установленный законом порядок обработки персональных данных. В данном случае существенная угроза охраняемым общественным отношениям заключается в пренебрежительном отношении Администрации к исполнению своих обязанностей, предусмотренных Законом о персональных данных. Исполнение и соблюдение требований Закона о персональных данных, в том числе в части своевременного направления в адрес Роскомнадзора уведомления о случае неправомерной передачи персональных данных и принятия мер по устранению последствий такого инцидента является обязанностью оператора. Освобождение от административной ответственности ввиду малозначительности совершенного административного правонарушения допустимо лишь в исключительных случаях, поскольку иное способствовало бы формированию атмосферы безнаказанности и было бы несовместимо с принципом неотвратимости ответственности правонарушителя (Постановление Конституционного Суда Российской Федерации от 14 февраля 2013 N 4-П и Определение Конституционного Суда Российской Федерации от 03 июля 2014 года N 1552-О). Таких исключительных обстоятельств мировым судьей не установлено.Характер совершенного правонарушения, связанного с распространением значительного числа сведений (481 субъектов персональных данных: фамилия, имя, отчество, адрес, номер телефона, адрес электронной почты), составляющих персональные данные граждан, объект посягательства и существенность угрозы охраняемым отношениям в сфере персональных данных, не позволяют отнести совершенное в настоящем случае правонарушение к категории малозначительных.

 Оснований для прекращения производства по делу не имеется.

 При назначении Администрации наказания мировой судья учитывает характер совершенного административного правонарушения, имущественное и финансовое положение юридического лица, а также обстоятельства смягчающие и отягчающие административную ответственность.

 Обстоятельством, смягчающим административную ответственность Администрации является добровольное устранение выявленных нарушений, добровольное сообщение лицом, совершившим административное правонарушение, в орган, уполномоченный осуществлять производство по делу об административном правонарушении, о совершенном административном правонарушении.

 Обстоятельств, отягчающих административную ответственность Администрации, не установлено. Сведения о привлечении Администрации ранее к административной ответственности за совершение однородных административных правонарушении в материалах дела отсутствуют.

 С учетом взаимосвязанных положений ч.3 ст.3.4 и ч.1 ст.4.1.1 КоАП РФ возможность замены наказания в виде административного штрафа предупреждением допускается при наличии совокупности всех обстоятельств, указанных в названных нормах Кодекса.

 В рассматриваемом случае не следует, что имеются условия, предусмотренные указанными нормами права, при которых допускается замена административного штрафа предупреждением, учитывая, что вменяемое Администрации административное правонарушение представляет угрозу охраняемым общественным отношениям в сфере обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных.

 Вопреки ходатайству представителя Администрации, положения части 3.2 статьи 4.1 КоАП РФ, о применении которых просит последний, в данном случае неприменимы, поскольку кроме наличия исключительных обстоятельств, указанная норма допускает назначение штрафа менее минимального предусмотренного соответствующей статьей, только в случае, если минимальный размер административного штрафа для юридических лиц составляет не менее ста тысяч рублей. В данном же случае санкцией части 1 статьи 13.11 КоАП РФ минимальный размер штрафа для юридических лиц составляет шестьдесят тысяч рублей.

 Вместе с тем, при назначении наказания в виде штрафа, мировой судья находит возможным назначить его в минимальном размере, предусмотренном для юридических лиц за данное правонарушение.

 Руководствуясь ст.ст.29.9-29.11, 30.3 КоАП РФ, мировой судья

постановил:

 Администрацию Кондопожского муниципального района признать виновным в совершении административного правонарушения, предусмотренного частью 1 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях, и назначить административное наказание в виде административного штрафа в размере 60000 (шестидесяти тысяч) рублей.

Штраф подлежит оплате по следующим реквизитам: УФК по Республике Карелия (ГКУ РК «Центр обеспечения деятельности мировых судей», 185005, Республика Карелия, г.Петрозаводск, наб. Гюллинга, д. 13, л/с 04062025300), ИНН 1001347568, КПП 100101001, ОГРН 1201000002939, Единый казначейский счет Управления 40102810945370000073, Отделение-НБ Республика Карелия Банка России//УФК по Республике Карелия г. Петрозаводск, БИК 018602104, Казначейский счет для учета и распределения поступлений: 03100643000000010600, КБК 82211601133010000140, ОКТМО 86615000, УИН 0411926400010000001531003. Квитанцию об уплате штрафа необходимо предоставить в канцелярию судебного участка № 2 Кондопожского района Республики Карелия (кабинет № 3).

В случае неуплаты административного штрафа в шестидесятидневный срок со дня вступления данного постановления в законную силу, лицо, не уплатившее штраф, может быть подвергнуто административному наказанию по части 1 статьи 20.25 Кодекса Российской Федерации об административных правонарушениях в виде штрафа в двукратном размере суммы неуплаченного административного штрафа, но не менее одной тысячи рублей.

 Постановление может быть обжаловано в Кондопожский городской суд Республики Карелия в течение 10 суток со дня вручения или получения копии постановления через мирового судью судебного участка № 2 Кондопожского района Республики Карелия.

Мировой судья                                                    А.В.  <ФИО3>

Источник: https://kondopoga2.kar.msudrf.ru/modules.php?name=sud_delo&op=sd&number=34459189&case_number=31166227&delo_id=1500001