
Дело № 5-1026/398/2023
УИД: 77MS0398-01-2023-002529-40
ПОСТАНОВЛЕНИЕ
по делу об административном правонарушении
17 ноября 2023 года г. Москва, Голиковский пер., д. 10, стр. 1
Мировой судья судебного участка № 398 района Замоскворечье города Москвы Суслова А.Д., рассмотрев в открытом судебном заседании дело
об административном правонарушении по ч.1 ст.13.11 Кодекса Российской Федерации об административных правонарушениях (далее – КоАП РФ) в отношении Образовательного частного учреждения высшего образования «Наименование» (Название), ОГРН ____, дата присвоения ОГРН 25.11.2002, ИНН ______________, КПП ___________, место регистрации: _____, г. Москва, ул. __________, д. ____, сведений о привлечении ранее к административной ответственности материалы дела не содержат,
Установил:
06 января 2023 года в 10 часов 50 минут по адресу: _______, г. Москва, ул. ___________, д.___, Название осуществило обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, совершив тем самым административное правонарушение, ответственность за которое предусмотрена ч. 1 ст. 13.11 Кодекса Российской Федерации об административных правонарушениях.
Управлением Роскомнадзора по Центральному федеральному округу в ходе мониторинга средств массовой информации на Интернет-ресурсе https:// обнаружен факт наличия базы данных (2500 строк) "Название" (далее оператор), содержащей персональные данные пользователей оператора в объеме: фамилия, имя, отчество, адрес, номер телефона, адрес электронной почты. В Роскомнадзор поступили уведомления оператора № 6085678 от 19 июня 2023 года № 6086893 от 20 июня 2023 года о факте неправомерной или случайной передачи данных. Из уведомлений следует что предполагаемой причиной, повлекшей нарушение прав субъектов персональных данных, повлекшей нарушение прав субъектов персональных данных, является уязвимость в моделе vote «Битрикс» официального сайта. Инцидент произошел вследствие post запросов к уязвимым скриптам лицензионного программного обеспечения сайта ПСТГУ с иностранных IP адресов.
Таким образом, Название допущено нарушение требований ч. 1 ст. 6 ФЗ от 27.07.2006 года N 152-ФЗ "О персональных данных" в части предоставления неправомерного доступа к базе данных, содержащих персональные данные пользователей оператора.
Представитель Название по доверенности ФИО в судебном заседании вину Название в совершении административного правонарушения не признал, просил прекратить производство по делу в связи с истечением срока давности привлечения к административной ответственности на основании ст. 45, п. 6 ч. 1, ст. 24.5 КоАП РФ, размещенный файл Университету не принадлежит, университет не создавал и не размещал данный файл, не передавал ни сам файл, ни содержащуюся в нем информацию.
В судебном заседании в качестве свидетеля допрошен ведущий специалист-эксперт Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Центральному Федеральному округу ФИО1, права и обязанности, предусмотренные ст. 25.6 КоАП РФ, свидетель предупрежден об ответственности за дачу заведомо ложных показаний по ст. 17.9 Кодекса РФ об административных правонарушениях и по ст. 17.7 Кодекса РФ об административных правонарушениях за отказ или уклонение от исполнения обязанностей, предусмотренных с. 2 ст. 25.6 Кодекса РФ об административных правонарушениях, который пояснил, что неприязненных отношений к Название не испытывает, повода для оговора не имеет, пояснил суду что Роскомнадзором зафиксировано на Интернет-ресурсе факт наличия базы данных Название, содержащей персональные данные пользователей оператора. Дата публикации 06 января 2023 года. В Роскомнадзор от Название поступили уведомления, подтверждающие передачу персональных данных.
Суд, выслушав представителя Название, исследовав письменные материалы дела, приходит к выводу о том, что вина Название в совершении им правонарушения, предусмотренного ч. 1 ст. 13.11 КоАП РФ, подтверждается совокупностью собранных и исследованных по делу доказательств, а именно: протоколом № АП-77/09/1281 об административном правонарушении от 05 октября 2023 года, отражающим сам факт и событие административного правонарушения, предусмотренного ч. 1 ст. 13.11 КоАП РФ (л.д. 1-6); уведомлением о факте неправомерной или случайной передачи персональных данных (л.д. 9-10, 11-12), распечатками с сайта (л.д. 13-18), и иными материалами дела.
Достоверность и допустимость вышеуказанных доказательств у суда сомнений не вызывает, поскольку они не противоречивы и согласуются между собой, составлены в соответствии с требованиями КоАП РФ и объективно фиксируют фактические обстоятельства дела. Протокол об административном правонарушении составлен в соответствии с требованиями КоАП РФ. Права лица, в отношении которого составлен протокол, соблюдены.
Ответственность по ч. 1 ст. 13.11 КоАП РФ наступает за обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработку персональных данных, несовместимую с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния.
В соответствии с п. 1 ст. 3 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Согласно п. 2 ст. 3 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
В соответствии с п. 3 ст. 3 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Согласно ч. 1 ст. 6 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом.
Как установлено судом и следует из материалов дела, в Роскомнадзор от Название поступили уведомления о факте неправомерной или случайной передачи персональных данных, повлекших нарушение прав субъектов персональных данных, от 19 июня 2023 года, от 20 июня 2023 года (л.д. 9-12).
Согласно указанным уведомлениям, зафиксировано предоставление неправомерной или случайной передачи данных. Из уведомлений следует что предполагаемой причиной, повлекшей нарушение прав субъектов персональных данных, является уязвимость в моделе vote «Битрикс» официального сайта. Инцидент произошел вследствие post запросов к уязвимым скриптам лицензионного программного обеспечения сайта ПСТГУ с иностранных IP адресов.
Таким образом, сам факт неправомерной или случайной передачи персональных данных пользователей сервиса является обработкой персональных данных, что в настоящем случае образует состав административного правонарушения, предусмотренного ч. 1 ст. 13.11 КоАП РФ.
Объективная сторона правонарушений по ч. 1 ст. 13.11 КоАП РФ состоит в нарушении норм федерального законодательства, регулирующих вопросы работы с информацией о гражданах (персональными данными).
Субъективная сторона правонарушения характеризуется умыслом или неосторожностью.
С учетом изложенных обстоятельств, доводы представителя об отсутствии вины Название в передаче данных, отсутствии состава и событие правонарушения, суд отклоняет, так как имел место несанкционированный доступ со стороны неустановленных третьих лиц.
В данном случае оператор не обеспечил конфиденциальность переданной ему информации и допустил обработку (передачу) вверенной ему информации в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, при этом факт несанкционированного доступа к данным о пользователях в данном случае не имеет значения для квалификации содеянного по ч. 1 ст. 13.11 КоАП РФ.
Оценив в совокупности собранные по делу доказательства, суд признает их достоверными и достаточными для признания Название виновным в совершении административного правонарушения, а действия Название квалифицирует по ч. 1 ст. 13.11 КоАП РФ, как обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных.
Оснований для освобождения от административной ответственности, применения положений ст. 2.9 КоАП РФ, а также переквалификации действий Название суд не усматривает.
Обстоятельств, влекущих безусловное прекращение производства по настоящему делу - не установлено.
Вопреки доводам об истечении срока давности привлечения к административной ответственности, срок давности привлечения лица, к административной ответственности за совершенное правонарушение - не истек.
Согласно части 1 статьи 4.5 Кодекса Российской Федерации об административных правонарушениях срок давности привлечения к административной ответственности за совершение административного правонарушения, предусмотренного статьей 13.11 Кодекса Российской Федерации об административных правонарушениях, составляет один год.
В силу части 2 статьи 4.5 Кодекса Российской Федерации об административных правонарушениях при длящемся административном правонарушении сроки, предусмотренные частью 1 настоящей статьи, начинают исчисляться со дня обнаружения административного правонарушения.
В пункте 14 постановления Пленума Верховного Суда Российской Федерации от 24 марта 2005 года N 5 разъяснено, что длящимся является такое административное правонарушение (действие или бездействие), которое выражается в длительном непрекращающемся невыполнении или ненадлежащем выполнении предусмотренных законом обязанностей.
Из приведенных положений закона следует, что состав правонарушения, предусмотренного частью 1 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях, является длящимся, основания для возбуждения дела об административном правонарушении, выявлены 06 сентября 2023 года, соответственно, срок давности привлечения к ответственности начал исчисляться с 06 сентября 2023 года (с момента выявления) и по состоянию на дату рассмотрения дела (17 ноября 2023 года) не истек. Дата размещения статьи, содержащей персональные данные, для исчисления срока давности привлечения к ответственности правового значения не имеет.
Обстоятельств, смягчающих и отягчающих административную ответственность Название, судом не установлено.
При назначении наказания суд учитывает характер совершенного административного правонарушения, конкретные обстоятельства дела, имущественное и финансовое положение юридического лица, отсутствие смягчающих и отягчающих административную ответственность Название обстоятельств, и считает необходимым назначить Название наказание в виде административного штрафа.
На основании вышеизложенного, руководствуясь статьями 29.9-29.11 Кодекса Российской Федерации об административных правонарушениях, мировой судья
Постановил:
Признать "Название" виновным в совершении административного правонарушения, предусмотренного ч. 1 ст. 13.11 Кодекса Российской Федерации об административных правонарушениях, и назначить ему наказание в виде административного штрафа в размере 60 000 (шестьдесят тысяч) рублей.
Штраф подлежит перечислению по реквизитам:
Сведения об оплате штрафа (соответствующую квитанцию из банка) необходимо представить в судебный участок №398 района Замоскворечье города Москвы по адресу: г. Москва, ул. Голиковский пер, 10, стр. 1, либо направить по электронной почте: mirsud398@ums-mos.ru.
Разъяснить, что в соответствии с ч. 1 ст. 32.2 КоАП РФ административный штраф должен быть уплачен в полном размере лицом, привлеченным к административной ответственности, не позднее шестидесяти дней со дня вступления постановления
о наложении административного штрафа в законную силу. При невыполнении указанных действий административный штраф взыскивается принудительно, а лицо, не уплатившее штраф, привлекается к административной ответственности по ч. 1 ст. 20.25 КоАП РФ.
Постановление может быть обжаловано в Замоскворецкий районный суд города Москвы через мирового судью судебного участка № 398 района Замоскворечье города Москвы в течение 10 суток со дня вручения или получения копии постановления.
Мировой судья А.Д. Суслова
Источник: https://mos-sud.ru/398/cases/admin/details/9e1004ba-2359-4bd9-bbe9-e53d0deb033c?documentMainArticle=13.11&publishingState=0083ce0&formType=fullForm
Цель обработки
Неожиданные решения
Часть 1 статьи 13.11 Кодекса РФ об АП
категорий:
Сбор персональных данных через сайт в отсутствие политики общества в отношении обработки
Оформление технического заключения с использованием персональных данных
Не опубликование на сайте политики и требований к защите
Невыполнение обязанности по размещению политики в отношении обработки персональных данных
Размещение в ГИС ЖКХ в общедоступном просмотре персональных данных
Распространение сведений о частной жизни субъекта путем размещения на сайте
Публикация в газете статьи, содержащей персональные данные субъекта без его согласия
Размещение персональных данных на сайте
Опубликование на сайте суда информации о субъекте
Не представлены документы, подтверждающие наличие собственных баз данных,отсутствует политика
Отсутствие на сайте детского сада политики
Размещение персональных данных в сети "ВКонтакте"
Несоответствие согласия на обработку персональных данных ч.4 ст.9 ФЗ "О персональных данных"
Оформление договора купли-продажи сим-карты без согласия субъекта