Судебная практика

ВОСЬМОЙ КАССАЦИОННЫЙ СУД ОБЩЕЙ ЮРИСДИКЦИИ

№ 16-7266/2023

П О С Т А Н О В Л Е Н И Е

г. Кемерово                                                              21 декабря 2023 г.

Судья Восьмого кассационного суда общей юрисдикции Безденежных Д.А., рассмотрев жалобу защитника ФИО, действующего в интересах акционерного общества «Наименование «Сибирь», на вступившие в законную силу постановление мирового судьи 1-го судебного участка судебного района г. Оби Новосибирской области от 28 апреля 2023г., решение судьи Обского городского суда Новосибирской области от 26 сентября 2023г. вынесенные в отношении акционерного общества «Наименование «Сибирь» (далее – АО «Наименование «Сибирь», Общество) по делу об административном правонарушении, предусмотренном ч.1 ст.13.11 КоАП РФ,

установил:

постановлением мирового судьи 1-го судебного участка судебного района г. Оби Новосибирской области от 28 апреля 2023г., оставленным без изменения решением судьи Обского городского суда Новосибирской области от 26 сентября 2023г., АО «Наименование «Сибирь» признано виновным в совершении административного правонарушения, предусмотренного ч. 1 ст.13.11 КоАП РФ, с назначением административного наказания с применением ч.1 ст.4.1.1 КоАП РФ в виде предупреждения.

В жалобе защитник ФИО просит постановление и решение отменить, производство по делу прекратить, приводя доводы о незаконности обжалуемых актов.

Проверив материалы дела, доводы жалобы, прихожу к следующему выводу.

В соответствии с ч.1 ст.13.11 КоАП РФ обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи и статьей 17.13 настоящего Кодекса, если эти действия не содержат уголовно наказуемого деяния, - влечет наложение административного штрафа на граждан в размере от двух тысяч до шести тысяч рублей; на должностных лиц - от десяти тысяч до двадцати тысяч рублей; на юридических лиц - от шестидесяти тысяч до ста тысяч рублей.

В силу ст.7 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон «О персональных данных») операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Согласно ст.3 названного Федерального закона персональными данными признается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Обработкой персональных данных является любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Из материалов дела следует, в период с 17 января 2023 г. по 30 января 2023 г. Управлением Роскомнадзора по Сибирскому федеральному округу проведена внеплановая выездная проверка в отношении АО «Наименование «Сибирь» с целью исполнения поручения заместителя Председателя Правительства Российской Федерации от 30 декабря 2022 г. №ДЧ-П10-2293 8, на основании Постановления Правительства Российской Федерации от 29 июня 2021 г. №1046 «О федеральном государственном контроле (надзоре) за обработкой персональных данных».

В соответствии с уведомлением от 14 декабря 2022 г. АО «Наименование «Сибирь» 8 декабря 2022 г. в 04:45 был установлен факт неправомерного доступа к персональным данным клиентов в объеме 50000 субъектов персональных данных в объеме: фамилия, имя, пол, дата рождения, паспорт РФ, данные заграничного паспорта, адрес электронной почты, номер мобильного телефона, адрес места жительства, данные визы. Предполагаемые причины, повлекшие нарушение прав субъектов персональных данных - попытка получения несанкционированного доступа к личным кабинетам субъектов персональных данных на ресурсе httрs://<данные изъяты> с использованием пары «логин-пароль» из доступных (скомпрометированных) в сети Интернет баз данных с утечками. Предположительно, утечка произошла вследствие использования субъектами персональных данных одинаковых паролей и логинов на различных интернет- ресурсах.

15 декабря 2022 г. в 16:33 по результатам внутреннего расследования АО «Наименование «Сибирь» в Роскомнадзор поступило новое Уведомление оператора о факте неправомерной или случайной передачи (предоставлении, распространении, доступе), повлекшей нарушение прав субъектов персональных данных (номер ).

В ходе проверки Оператором также представлена пояснительная записка по инциденту несанкционированного доступа от 18 января 2023 г. (исх. от 18.01.2023 ) и акт по результатам служебного расследования по факту инцидента информационной безопасности, связанного с получением неправомерного доступа ПДН клиентов (субъектов ПДН) АО «Наименование «Сибирь» от 15 декабря 2022 г., из которых следует, что 08.12.2022 инженер отдела сетевой безопасности при ежедневном анализе трафика <данные изъяты> обнаружил зловредную активность на сайте компании httрs://<данные изъяты>. Период атаки с 04:45 до 8:00 МСК. Всего запросов в атаке 2 162 202. По 47621 учетным записям был зафиксирован успешный вход. Геораспределенная атака осуществлялась с IP адресов множества стран. Факт допущенного неправомерного доступа к персональным данным клиентов, зарегистрированных на сайте <данные изъяты> оператором в лице АО «Наименование «Сибирь» подтвержден.

В соответствии с ч.1 ст.18.1 Федерального закона «О персональных данных» оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами.

В соответствии с п.1 ст. 3 Федерального закона «О персональных данных» под персональными данными понимается информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). В связи с чем, содержание скомпрометированной базы данных относиться к персональным данным пользователей и клиентов АО «Наименование «Сибирь».

В силу положений п.1 ст.3 Федерального закона «О персональных данных» АО «Наименование «Сибирь» является Оператором, осуществляющим обработку персональных данных, на деятельность которого распространяются требования Закона о персональных данных в полном объеме.

По результатам внеплановой проверки в действиях АО «Наименование «Сибирь» выявлено нарушение требований ч.1 ст. 6 и ст. 7 Федерального закона «О персональных данных».

Указанные обстоятельства подтверждаются протоколами об административном правонарушении, решением и уведомлением о проведении внеплановой выездной проверки в отношении АО «Наименование «Сибирь», актом внеплановой выездной проверки, справкой о результатах внеплановой выездной проверки, уведомлениями о факте неправомерной или случайной передачи персональных данных, выпиской из ЕГРЮЛ.

Перечисленным доказательствам, в совокупности с другими материалами дела, мировой судья дал правильную оценку и обоснованно признал АО «Наименование «Сибирь» виновным в совершении административного правонарушения, предусмотренного ч.1 ст.13.11 КоАП РФ.

Доводы жалобы являются несостоятельными. В ходе рассмотрения данного дела об административном правонарушении в соответствии с требованиями ст. 24.1 КоАП РФ были всесторонне, полно, объективно и своевременно выяснены обстоятельства данного дела; в соответствии со ст. 26.1 КоАП РФ установлены наличие события административного правонарушения, лицо, его совершившее, виновность указанного лица в совершении административного правонарушения, иные обстоятельства, имеющие значение для правильного разрешения дела.

Факт нарушения АО «Наименование «Сибирь», являющегося оператором персональных данных, требований ч.1 ст. 6 и ст. 7 Федерального закона «О персональных данных», нарушение порядка и условий обработки персональных данных, повлекшее неправомерный доступу неустановленных лиц к персональным данным клиентов Общества, подтверждается материалами дела, поэтому выводы о наличии в его действиях состава административного правонарушения, предусмотренного ч.1 ст.13.11 КоАП РФ, являются верными.

Вопреки доводов жалобы, протокол об административном правонарушении содержит все необходимые сведения, предусмотренные ч.2 ст.28.2 КоАП РФ, в том числе указание на конкретные нормы, за нарушение которых установлена административная ответственность, и обоснованно принят в качестве допустимого доказательства по делу.

Приведенные доводы жалобы об отсутствии состава административного правонарушения, поскольку Общество не совершало действий, направленных на распространение, передачу сведений третьим лицам, аналогичны доводам, которые были предметом судебной проверки, обоснованно опровергнуты по мотивам, изложенным в постановлениях. При этом все представленные доказательства оценены на предмет допустимости, достоверности, относимости и достаточности, по правилам ст. 26.11 КоАП РФ, в их совокупности.

Оснований не согласиться с выводами предыдущих судебных инстанций не имеется.

Постановление по делу об административном правонарушении соответствует требованиям ч.1 ст. 29.10 КоАП РФ.

Жалоба на постановление по делу об административном правонарушении рассмотрена судьей городского суда в порядке, предусмотренном ст.30.6 КоАП РФ.

Нарушений процессуальных требований КоАП РФ не допущено, нормы материального права применены правильно.

Таким образом, оснований для удовлетворения жалобы и отмены принятых по делу судебных актов не имеется.

Руководствуясь ст.ст. 30.13 и 30.17 КоАП РФ, судья

                                              постановил:

постановление мирового судьи 1-го судебного участка судебного района г. Оби Новосибирской области от 28 апреля 2023г., решение судьи Обского городского суда Новосибирской области от 26 сентября 2023г. вынесенные в отношении акционерного общества «Наименование «Сибирь» по делу об административном правонарушении, предусмотренном ч.1 ст.13.11 КоАП РФ, оставить без изменения, жалобу защитника ФИО - без удовлетворения.

Судья:                                                                     Д.А. Безденежных

Источник: https://8kas.sudrf.ru/modules.php?name=sud_delo&srv_num=1&name_op=doc&number=28026342&delo_id=2550001&new=0&text_number=1 

Решение по административному делу

Дело № 5- 672/2019-1

Поступило  17.09.2019

                                         ПОСТАНОВЛЕНИЕ                                                                       

 г. Обь  Новосибирской области                                      23.09.2019 г.

 Мировой судья  1-го  судебного участка судебного района города  Оби  Новосибирской области  Прибытков С.Г.,

рассмотрев дело об административном правонарушении,  предусмотренном  ст. 13.11 ч.2    Кодекса РФ об  административных правонарушениях,  в  отношении АО «Название «Сибирь»,  ИНН _________, место нахождения: __________, Новосибирская область, г. Обь, ________________,

                                              УСТАНОВИЛ:

25.06.2019 г.  заместителем Новосибирского транспортного прокурора вынесено постановление о возбуждении дела об административном правонарушении в отношении АО «Название «Сибирь»  по  ч. 2 ст. 13.11 КоАП РФ — обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных.

В качестве оснований для привлечения к административной ответственности данного  юридического  лица  в постановлении о возбуждении дела об  административном правонарушении указано, что  в ходе проверки обращения гр. ФИО1 установлено, что заявитель зарегистрирован в Программе лояльности АО «Название «Сибирь»  на сайте авиакомпании ему открыт личный кабинет. В ходе прокурорской проверки факты, изложенные ФИО в обращении, нашли свое подтверждение - в личном кабинете ФИО1 действительно размещалась информация о бронированиях, пассажирских перевозках пассажиров АО «Название «Сибирь», оформленных не на заявителя. Владельцем домена "_____"  является АО «Название «Сибирь», что следует из ответа. Следовательно, АО «Название «Сибирь» является оператором персональных данных пассажиров, планирующих, либо заключивших с ним договор воздушной перевозки. Из ответа АО «Название «Сибирь» от 18.06.2019 на запрос прокуратуры от 14.06.2019 следует, что в личном кабинете ФИО1 была размещена информация пассажиров: фи, фи1, фи2, фи3, фи4, фи5, фи6, фи7, фи8, иных пассажиров.  При этом фи 21.06.2019 на запрос прокуратуры от 20.06.2019 сообщила, что перевозила детей, с указанными фамилиями (за исключением фамилия). На официальном сайте АО «Название «Сибирь» у ФИО имеется личный кабинет. В него поступает информация о бронированиях ФИО, о перевозках посредством рейсов АО «Название «Сибирь», иная информация, включающая ее персональные данные и данные ее попутчиков.  ФИО АО «Название «Сибирь» согласия на размещение упомянутой выше информации (персональных данных) в личный кабинет заявителя не давала, сама в личный кабинет ФИО1 свои персональные данные и данные попутчиков не размещала. При входе в личный кабинет на сайте АО «Название «Сибирь» она использует свой компьютер. Компьютерами, находящимися в публичных местах при этом она не пользуется. Свои персональные данные (сведения о бронированиях, маршрутные квитанции) в социальных сетях не размещает.

В ходе судебного заседания представитель Новосибирской транспортной прокуратуры постановление о возбуждении дела об административном правонарушении поддержал по указанным выше основаниям, полагал, что данное правонарушение  совершено в форме бездействия и является длящимся, поэтому срок давности привлечения к административной ответственности истекает 21.09.2019.

Представитель АО «Название «Сибирь»  в судебном заседании вину в совершении указанного правонарушения не признал,  пояснив, что ФИО1 с 11.07.2018 зарегистрирован в Программе лояльности АО «Название «Сибирь» на сайте авиакомпании ему открыт личный кабинет.  С момента создания до 16 января 2019 учетная запись ФИО1 не использовалась. С 16 января 2019 зафиксировано более 750 фактов использования личного кабинета. Вход и действия под учетной записью в личном кабинете проводились со следующих городов: Краснодар, Новосибирск, Москва, Санкт-Петербург (вывод был сделан из принадлежности IP-адресов). Вход в личный кабинет осуществлялся как гражданином ФИО, так и ФИО5, который выступает как попутчик. Интенсивность использования обоими личного кабинета - соразмерна. Устройство, с использованием которого осуществляется вход в личный кабинет, начиная с 01.01.2019 также использовалось для входа более чем в 10 иных личных кабинетов, отличающихся от личного кабинета ФИО1. В результате проведенной проверки было установлено, что в личном кабинете ФИО1, действительно, имелась информация о бронированиях, оформленных не на заявителя. Однако, АО «Название «Сибирь» как собственник домена "______" не осуществляло размещение в личном кабинете ФИО1 персональные данные третьих лиц. Также в рамках проверенной информации сотрудникам компании не удалось найти фактов, подтверждающих наличие технического сбоя со стороны сайта. Учитывая особенности сервиса, информация о бронировании третьих лиц могла появиться в личном кабинете ФИО1 вследствие его собственных намеренных действий или в случае намеренного либо ненамеренного распространения им своих регистрационных данных в программе лояльности __ Priority. Так, информация о бронированиях третьих лиц была добавлена в личный кабинет ФИО1 в то же самое время, когда в личном кабинете ФИО1 был выполнен вход (после 2-3 секунд с момента входа в личный кабинет). При этом вход в личный кабинет был осуществлен с одного устройства. По записям в базе видно, что с данного устройства  также осуществлялся вход в разные личные кабинеты. Возможно, что использовался общественный компьютер, доступ к которому имеется у неопределенного круга лиц. Также обращение о появлении в личном кабинете информации о бронированиях третьих лиц поступило только от ФИО1 На протяжении всего времени работы сервиса онлайн-регистрации ни от одного клиента не поступало сообщений о наличии в их личных кабинетах информации о бронированиях третьих лиц. Странным также кажется то обстоятельство, что несмотря на активное использование личного кабинета, ФИО было осуществлено только одно единственное бронирование. Кроме того, представитель АО «Название «Сибирь» полагал, что данное правонарушение может быть совершено только в форме действия и срок давности привлечения к административной ответственности составляет три месяца  с момента совершения правонарушения, на момент рассмотрения настоящего дела указанный срок истек.

В ходе рассмотрения дела в судебном заседании  мировым судьей было установлено  следующее.

На сайте авиакомпании ФИО открыт личный кабинет. В личном кабинете ФИО1 действительно размещалась информация о бронированиях, пассажирских перевозках пассажиров АО «Название «Сибирь», оформленных не на заявителя. Владельцем домена "___" является АО «Название «Сибирь», следовательно, АО «Название «Сибирь» является оператором персональных данных пассажиров, планирующих, либо заключивших с ним договор воздушной перевозки. Из ответа АО «Название «Сибирь» от 18.06.2019 на запрос прокуратуры от 14.06.2019 следует, что в личном кабинете ФИО1 была размещена информация  о пассажирах, которые не давали свое согласие на её размещение.

В силу ст.24 Конституции Российской Федерации, сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.

Частью 1 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее - N 152-ФЗ) определено, что персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

К таким данным могут быть отнесены: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, сведения о воздушных перевозках, о их стоимости, паспортные данные, другая информация.

Оператор - юридическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (ч. 2 ст. 3 N 152-ФЗ).

По общему правилу, обработка персональных данных допускается с согласия субъекта персональных данных (п.1 ч.1 ст.6 Закона о персональных данных).

В соответствии с ч. 1 ст. 9 Закона о персональных данных согласие субъекта на обработку его персональных данных должно быть конкретным, информированным и сознательным.

Частью 2 ст.13.11 КоАП РФ установлена административная ответственность за обработку персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработку персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных.

Согласно ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

-  под обработкой персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

-  под распространением персональных данных понимаются действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

-  под предоставлением персональных данных понимаются действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

В связи с этим из прямого указания закона объективная сторона административного правонарушения может быть совершена только в форме действия.

В соответствии с ч. 1 ст. 4.5 КоАП РФ срок давности привлечения к административной ответственности за совершение административных правонарушений, предусмотренных ст. 13.11 КоАП РФ, составляет три месяца со дня совершения такого правонарушения.

Таким образом, на момент рассмотрения дела об административном правонарушении, предусмотренном  ч.2  ст. 13.11 КоАП РФ,  в отношении АО «Название «Сибирь» срок давности привлечения к административной ответственности истек.

В силу  пункта 6 части 1 статьи 24.5 Кодекса Российской Федерации об административных правонарушениях истечение срока давности привлечения к административной ответственности является обстоятельством, исключающим производство по делу об административном правонарушении.

Исходя из положений  статьи 4.5 и  пункта 6 части 1 статьи 24.5 Кодекса Российской Федерации об административных правонарушениях, по истечении установленных сроков давности привлечения к административной ответственности вопрос о виновности лица, в отношении которого возбуждено производство по делу, обсуждаться не может.

На основании изложенного, руководствуясь пунктом 6 части 1 статьи 24.5 Кодекса Российской Федерации об административных правонарушениях,  мировой судья

ПОСТАНОВИЛ:

производство по делу об административном правонарушении, предусмотренном ч. 2 ст. 13.11  Кодекса Российской Федерации об административных правонарушениях, в отношении АО «Название «Сибирь»  прекратить на основании  пункта 6 части 1 статьи 24.5 КоАП РФ.                

Постановление может быть обжаловано в течение 10 суток с момента получения копии постановления в Обской городской суд Новосибирской  области через мирового судью.

                   Мировой судья             подпись               С.Г. Прибытков

Копия верна.

Постановление не вступило в законную силу   23.09.2019 г.

Мировой судья                                   С.Г. Прибытков

Источник: http://1ob.nsk.msudrf.ru/modules.php?name=sud_delo&op=sd&number=34612216&delo_id=1500001 

Информация по делу
Статьи
ч.1 ст.13.11 КоАП РФ
Суд
Восьмой кассационный суд общей юрисдикции
Судья
Безденежных Д.А.
Дата решения
2023-12-21
Категории
Разглашение
Обязанность оператора
Часть 1 статьи 13.11 Кодекса РФ об АП
Другие дела из подобных
категорий:

Обжалование решения Роскомнадзора об отказе в возбуждении дела об АП

Размещение в "Вайбер" справки о судимости

Невыполнение образовательной организацией некоторых обязанностей, предусмотренных законом

Не принятие мер по утверждению документов, регламентирующих обработку персональных данных

Утечка данных в результате наличия уязвимости в одном из публичных сервисов компании

Направление уведомления о проверке с приложением графика, содержащего персональные данные

Оператор не обеспечил сохранность персональных данных, что повлекло случайный к ним доступ

Размещение на сайте плана проверок физических лиц с их персональными данными

Использование баз данных,находящихся за пределами территории РФ, после привлечения к ответственности

Непринятие мер по выполнению обязанностей, предусмотренных ФЗ "О персональных данных"

Публикация в газете статьи, содержащей персональные данные субъекта без его согласия

Не приняты организационные меры к определению политики в отношении персональных данных посетителей отеля

Наличие в сети "Интернет" базы данных вследствие уязвимости системы

Обработка персональных данных несовместимая с целями сбора персональных данных, а также без согласия

Размещение поста в социальной сети "ВКонтакте", содержащего персональные данные субъекта