Дело №5-392/2025-164

УИД 78MS0163-01-2025-000358-03

П О С Т А Н О В Л Е Н И Е

03 апреля 2025 года                                                    Санкт-Петербург

Резолютивная часть постановления объявлена 03 апреля 2025 года.

Полный текст постановления изготовлен 03 апреля 2025 года.

Мировой судья  судебного участка №164 Санкт-Петербурга Елена Евгеньевна Дворянинова,  

с участием защитника юридического лица  Белана И. И., действующего на основании доверенности №1/25 от 31.03.2025 г.,

с участием специалиста-эксперта Управления Роскомнадзора по Северо-Западному федеральному округу    Федорова Д. А., представившего удостоверение №14685,

 рассмотрев в материалы дела об административном правонарушении в  отношении    юридического лица  ЗАО  «ТОРГОВЫЕ ДОМА НЕВИС», расположенного по адресу: Санкт-Петербург,  ул. ___, д.__, ИНН , ОГРН , к административной ответственности ранее не привлекавшегося, в совершении правонарушения, предусмотренного  ч.1 ст. 13.11   КоАП РФ,                        

У С Т А Н О В И Л:

Юридическое лицо  ЗАО  «ТОРГОВЫЕ ДОМА НЕВИС» совершило обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи и статьей 17.13 настоящего Кодекса, если эти действия не содержат уголовно наказуемого деяния, а именно:

ЗАО  «ТОРГОВЫЕ ДОМА НЕВИС»  по месту своего нахождения, по адресу: Санкт-Петербург,  ул. ___, д.-,  являясь оператором, осуществляющим обработку персональных данных,  25.08.2024 00 часов 00 минут  в нарушение требований п.1 ч.1 ст.6, ст.7 и ч.1 ст.10.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» предоставило неправомерный доступ к информационным системам персональных данных, что повлекло за собой распространение неограниченному кругу лиц персональных данных в объеме: фамилия, имя, отчество, номер телефона, адрес доставки - клиентов, сведения об образовании, трудовой стаж, владение иностранными языками - соискателей вакансий, путем их размещения на Интернет-ресурсе по адресу ****** то есть ЗАО  «ТОРГОВЫЕ ДОМА НЕВИС» совершило административное правонарушение, предусмотренное   ч.1 ст. 13.11   КоАП РФ.

 В судебном заседании защитник, после разъяснения ему прав, предусмотренных ст.25.5 КоАП РФ, отвода суду не заявлял, заявил ходатайство о приобщении к материалам дела объяснений, изложенных в письменном виде, а также копии документов: договора №266448/24 от 15.10.2024 г. на оказание услуг по удаленной защите веб-сайтов, ответа на обращение Роскомнадзора от 03.10.2024  г., уведомления о факте неправомерной или случайной передачи персональных данных от 03.10.2024 г.. Определением суда ходатайство удовлетворено. Защитник, согласившись дать объяснения, пояснил, что ЗАО «Торговые дома НЕВИС» не знало о возможной утечке информации, путем несанкционированного взлома сайта общества, до получения письма Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций от компании партнера, поскольку юридическое лицо не имело технической возможности установить факт утечки сведений ли предотвратить такую утечку. 03.10.2024 г. ЗАО «Торговые дома НЕВИС» сообщало в Роскомнадзор, что указанный инцидент предположительно мог возникнуть во время сбоя в работе сайта, имевшего место 26.08.2024 г и сообщило о направлении в Роскомнадзор соответствующего уведомления о потенциальном инциденте, о возможности которого, юридическому лицу стало известно только после получения письма Роскомнадзор от партнера ООО «АПТЕКИ НЕВИС» 03.10.2024г. Также в уведомлении ЗАО  «ТОРГОВЫЕ ДОМА НЕВИС»  сообщило о принятых мерах по усилению информационной безопасности в целях недопущения подобных инцидентов. ЗАО  «ТОРГОВЫЕ ДОМА НЕВИС»  не подтверждало факта передачи данных а лишь предположило возможность утечки,   поскольку  при проверки сайта никаких нарушений ЗАО  «ТОРГОВЫЕ ДОМА НЕВИС»  не было выявлено. Защитник пояснил, что ЗАО  «ТОРГОВЫЕ ДОМА НЕВИС» указало дату возможного инцидента - 26.08.2024 г. Однако в протоколе дата совершения правонарушения указана как 03.10.2024 г..  то есть протокол содержит искаженные сведения о фактических обстоятельствах совершения предполагаемого правонарушения. Кроме того, ответственность по ч. 1 ст. 13.11 КоАП РФ наступает за активные действия оператора, выражающиеся в неправомерной передаче персональных данных субъектов. Вместе с тем, в процессе рассмотрения дела об административном правонарушении, данные обстоятельства установлены не были. Предполагаемо зафиксированный факт доступа на веб-сайт ЗАО  «ТОРГОВЫЕ ДОМА НЕВИС»  не свидетельствует, что в отношении персональных данных клиентов неустановленными лицами производилась их обработка, а именно сбор, запись, извлечение или удаление, а подтверждает только наличие такой возможности. ЗАО  «ТОРГОВЫЕ ДОМА НЕВИС» не получало писем и жалоб от субъектов персональных данных о каком-либо нанесенном им вреде. При этом, после получения выше указанного письма, ЗАО  «ТОРГОВЫЕ ДОМА НЕВИС»  был заключен Договор №266448/24 на оказание услуг по удаленной защите веб-сайтов, в соответствии с которым была обеспечена защита веб-ресурсов от DDoS-атак. Защитник просил прекратить производство по делу об административном правонарушении, в виду отсутствия состава правонарушения либо признав малозначительность совершенного административного правонарушения. В случае привлечения Общества к административной ответственности, в соответствии с ч. 1. ст.4.1.1. КоАП РФ, просил заменить наказание в виде административного штрафа на предупреждение.

В судебном заседании специалист-эксперт Управления Роскомнадзора по Северо-Западному федеральному округу основания привлечения  ЗАО  «ТОРГОВЫЕ ДОМА НЕВИС», указанные в протоколе об административном правонарушении № АП-78/12/13 от 15.01.2025 г.    поддержал, пояснил, что протокол был составлен на основании поступивших в Управление Роскомнадзора по Северо-Западному федеральному округу 09.12.2024 материалов из Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее - Роскомнадзор) для принятия мер реагирования в порядке, установленном ст. 28.1  КоАП РФ, в отношении ЗАО "Торговые дома Невис" По результатам анализа поступивших материалов было выявлено, что Оператором допущено нарушение требований п. 1 ч. 1 ст. 6, ст. 7, ч. 1 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Закон) в части предоставления неправомерного доступа к информационным системам персональных данных, повлекшего за собой распространение неограниченному кругу лиц персональных данных.

Суд, исследовав материалы дела,   суд считает что вина юридического лица ЗАО  «ТОРГОВЫЕ ДОМА НЕВИС» в совершении правонарушения, предусмотренного ч.1 ст.13.11 КоАП РФ, подтверждается:

- протоколом об административном правонарушении № АП-78/12/13 от 15.01.2025 г.   составленным  специалистом-экспертом Управления Роскомнадзора по Северо-Западному федеральному округу    об обстоятельствах совершенного юридическим лицом правонарушения,

- сообщением Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 13.09.2024 №08-379323, согласно которому в ходе мониторинга выявлен факт распространения базы данных, содержащей персональные данные,

- скриншотами мониторинга по адресу: ******

- иными представленными документами.   

Таким образом, анализируя представленные доказательства и оценивая их в совокупности, суд приходит к выводу, что вина ЗАО  «ТОРГОВЫЕ ДОМА НЕВИС» доказана, действия юридического лица правильно квалифицированы по ч.1 ст. 13.11 КоАП РФ, как обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи и статьей 17.13 настоящего Кодекса, если эти действия не содержат уголовно наказуемого деяния.

Согласно ст. 3 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции) совершаемые с персональными данными; под обработкой персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных; под распространением персональных данных понимаются действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

В силу части 1 статьи 6 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в случаях установленных в части 1 статьи 6 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных". Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом (статья 7 статьи 6 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных").

ЗАО  «ТОРГОВЫЕ ДОМА НЕВИС»   допущено нарушение требований части 1 статьи 6, статьи 7, статьи 10.1 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" в части предоставления неправомерного доступа к персональным данным сотрудников оператора, повлекшего за собой их распространение неограниченному кругу лиц путем размещения в сети Интернет.

В вину ЗАО  «ТОРГОВЫЕ ДОМА НЕВИС» вменяется совершение административного правонарушения 03.10.2024 г., поскольку ЗАО  «ТОРГОВЫЕ ДОМА НЕВИС»  03.10.2025 г. подготовило (направило 04.10.2025 г.) уведомление о произошедшем инциденте в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций. Однако судом установлено, что датой совершения правонарушения является дата размещения баз данных в сети Интернет, а именно 25.08.2025 г. Данное обстоятельство подтверждается объективным доказательствами - скриншотами мониторинга по адресу: *****

Доводы защитника суд расценивает как позицию защиты.

Судом установлено, что у юридического лица имелась реальная возможность обеспечить выполнение требований действующего законодательства, однако все действия по исполнению требований законодательства были предприняты юридическим лицом уже после произошедшей утечки базы персональных данных.. Однако ЗАО  «ТОРГОВЫЕ ДОМА НЕВИС» допущено нарушение требований части 1 статьи 6, статьи 7, статьи 10.1 Закона в части предоставления неправомерного доступа к персональным данным клиентов и работников оператора, повлекшего за собой их распространение неограниченному кругу лиц путем размещения в сети Интернет. Как пояснил защитник в судебном заседании и как установлено судом, согласно сообщению ЗАО  «ТОРГОВЫЕ ДОМА НЕВИС»   инцидент (сбой в работе сайта) случился 25.08.2024 г., однако, зная о случившимся инциденте, юридическое лицо никаких мер по защите информации не предприняло, в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций не сообщило. Как пояснил защитник, юридическое лицо не имело технической возможность установить факт утечки сведений ли предотвратить такую утечку.

В силу ч. 2ст. 2.1 КоАП РФ юридическое лицо признается виновным в совершении административного правонарушения, если будет установлено, что у него имелась возможность для соблюдения правил и норм, за нарушение которых названным Кодексом или законами субъекта Российской Федерации предусмотрена административная ответственность, но данным лицом не были приняты все зависящие от него меры по их соблюдению.

Таким образом, ЗАО  «ТОРГОВЫЕ ДОМА НЕВИС» имея возможность для соблюдения правил и норм,  не приняло все зависящие от него меры по их соблюдению, поскольку каких либо сведений о мерах, которые могли бы предотвратить утечку персональных данных, юридическим лицом не представлено, Договор №266448/24 на оказание услуг по удаленной защите веб-сайтов, в соответствии с которым была обеспечена защита веб-ресурсов от DDoS-атак заключен после совершения правонарушения. Кроме того, свои обязанности как оператора, осуществляющего обработку персональных данных, предусмотренные ч.3.1 ст.21  Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» ЗАО  «ТОРГОВЫЕ ДОМА НЕВИС» исполнило только 04.10.2024 г.

С учетом взаимосвязанных положений части 2 статьи 3.4 и части 1 статьи 4.1.1 Кодекса Российской Федерации об административных правонарушениях наказание в виде административного штрафа подлежит замене на предупреждение при наличии совокупности всех обстоятельств, указанных в части 2 статьи 3.4 названного кодекса.

В рассматриваемом случае такой совокупности обстоятельств не имеется, поскольку ЗАО  «ТОРГОВЫЕ ДОМА НЕВИС» установив возможные действия с базой данных (сайтом) со стороны третьих лиц 25.08.2024 г., свои обязанности как оператора, осуществляющего обработку персональных данных, предусмотренные ч.3.1 ст.21  Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»  выполнило только 04.10.2024 г.

Малозначительным совершенное ЗАО  «ТОРГОВЫЕ ДОМА НЕВИС» административное правонарушение не является, поскольку  охраняемым общественным правоотношениям в области информации и связи причинен   вред , суд также усматривает тяжесть последствий вследствие раскрытия персональных данных граждан.   

При назначении административного наказания суд учитывает характер совершенного правонарушения, личность виновного, его имущественное положение, смягчающие и отягчающие обстоятельства.

Смягчающих обстоятельств    в соответствии со ст. 4.2 КоАП РФ, отягчающих обстоятельств   в силу ст. 4.3 КоАП РФ судом не установлено.

На основании изложенного, руководствуясь ч.1 ст.13.11, ст. 29.10 КоАП РФ, судья,

П О С Т А Н О В И Л :

 Юридическое ЗАО  «ТОРГОВЫЕ ДОМА НЕВИС», расположенного по адресу: Санкт-Петербург,  ул. Торжковская, д.1а, ИНН 7814010561, ОГРН 1027807590997, признать виновным в совершении административного правонарушения, предусмотренного ч. 1 ст.13.44  КоАП РФ, назначить административное наказание – наложить  административный штраф в размере 60000  руб.

Реквизиты: УИН: 0321697201016301025000253

Получатель платежа: УФК по г. Санкт-Петербургу (Комитет по вопросам законности, правопорядка и безопасности)

ИНН: 7842005651КПП: 784201001Банк получателя: Северо-Западное ГУ Банка России//УФК по г. Санкт-Петербургу, г. Санкт-ПетербургБИК: 014030106р/ с: 03100643000000017200КБК: 81311601133010000140OKTМО: 40911000

Постановление может быть обжаловано и опротестовано в Приморский районный суд Санкт-Петербурга   в течение  10 дней со дня вручения или получения копии постановления через мирового судью судебного участка №164 Санкт-Петербурга.

Разъяснить положения ст.32.2 КоАП РФ, в соответствие с которыми административный штраф должен быть оплачен лицом, привлеченным к административной ответственности не позднее 60 дней со дня вступления постановления о наложении административного штрафа в законную силу. За неуплату административного штрафа предусмотрена административная ответственность по ст.20.25 КоАП РФ в виде наложения штрафа в двукратном размере.

Мировой судья                                                          Е. Е. Дворянинова

Источник: https://mirsud.spb.ru/cases/detail/164/?id=5-392%2F2025-164