Судебная практика

Дело № 5-1026/398/2023

УИД: 77MS0398-01-2023-002529-40

ПОСТАНОВЛЕНИЕ

по делу об административном правонарушении

17 ноября 2023 года                                                   г. Москва, Голиковский пер., д. 10, стр. 1

Мировой судья судебного участка № 398 района Замоскворечье города Москвы Суслова А.Д., рассмотрев в открытом судебном заседании дело
об административном правонарушении по ч.1 ст.13.11 Кодекса Российской Федерации об административных правонарушениях (далее – КоАП РФ) в отношении Образовательного частного учреждения высшего образования «Наименование» (Название), ОГРН ____, дата присвоения ОГРН 25.11.2002, ИНН ______________, КПП ___________, место регистрации: _____, г. Москва, ул. __________, д. ____, сведений о привлечении ранее к административной ответственности материалы дела не содержат,

Установил:

06 января 2023 года в 10 часов 50 минут по адресу: _______, г. Москва, ул. ___________, д.___, Название осуществило обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, совершив тем самым административное правонарушение, ответственность за которое предусмотрена ч. 1 ст. 13.11 Кодекса Российской Федерации об административных правонарушениях.

Управлением Роскомнадзора по Центральному федеральному округу в ходе мониторинга средств массовой информации на Интернет-ресурсе https:// обнаружен факт наличия базы данных (2500 строк) "Название" (далее оператор), содержащей персональные данные пользователей оператора в объеме: фамилия, имя, отчество, адрес, номер телефона, адрес электронной почты. В Роскомнадзор поступили уведомления оператора № 6085678 от 19 июня 2023 года   № 6086893 от 20 июня 2023 года о факте неправомерной или случайной передачи данных. Из уведомлений следует что предполагаемой причиной, повлекшей нарушение прав субъектов персональных данных, повлекшей нарушение прав субъектов персональных данных, является уязвимость в моделе vote «Битрикс» официального сайта.  Инцидент произошел вследствие post запросов к уязвимым скриптам лицензионного программного обеспечения сайта ПСТГУ с иностранных IP адресов.

  Таким образом, Название допущено нарушение требований ч. 1 ст. 6 ФЗ от 27.07.2006 года N 152-ФЗ "О персональных данных" в части предоставления неправомерного доступа к базе данных, содержащих персональные данные пользователей оператора.

  Представитель Название по доверенности ФИО в судебном заседании вину Название в совершении административного правонарушения не признал, просил прекратить производство по делу в связи с истечением срока давности привлечения к административной ответственности на основании ст. 45, п. 6 ч. 1, ст. 24.5 КоАП РФ, размещенный файл Университету не принадлежит, университет не создавал и не размещал данный файл, не передавал ни сам файл, ни содержащуюся в нем информацию.

  В судебном заседании в качестве свидетеля допрошен ведущий специалист-эксперт Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Центральному Федеральному округу ФИО1, права и обязанности, предусмотренные ст. 25.6 КоАП РФ, свидетель предупрежден об ответственности за дачу заведомо ложных показаний по ст. 17.9 Кодекса РФ об административных правонарушениях и по ст. 17.7 Кодекса РФ об административных правонарушениях за отказ или уклонение от исполнения обязанностей, предусмотренных с. 2 ст. 25.6 Кодекса РФ об административных правонарушениях, который пояснил, что неприязненных отношений к Название не испытывает, повода для оговора не имеет, пояснил суду что Роскомнадзором зафиксировано на Интернет-ресурсе  факт наличия базы данных Название, содержащей персональные данные пользователей оператора. Дата публикации 06 января 2023 года. В Роскомнадзор от Название поступили уведомления, подтверждающие передачу персональных данных.

 Суд, выслушав представителя Название, исследовав письменные материалы дела, приходит к выводу о том, что вина  Название в совершении им правонарушения, предусмотренного ч. 1 ст. 13.11 КоАП РФ, подтверждается совокупностью собранных и исследованных по делу доказательств, а именно: протоколом № АП-77/09/1281 об административном правонарушении от 05 октября 2023 года, отражающим сам факт и событие административного правонарушения, предусмотренного ч. 1 ст. 13.11 КоАП РФ (л.д. 1-6); уведомлением о факте неправомерной или случайной передачи персональных данных (л.д. 9-10, 11-12), распечатками с сайта (л.д. 13-18), и иными материалами дела.

Достоверность и допустимость вышеуказанных доказательств у суда сомнений не вызывает, поскольку они не противоречивы и согласуются между собой, составлены в соответствии с требованиями КоАП РФ и объективно фиксируют фактические обстоятельства дела. Протокол об административном правонарушении составлен в соответствии с требованиями КоАП РФ. Права лица, в отношении которого составлен протокол, соблюдены.

Ответственность по ч. 1 ст. 13.11 КоАП РФ наступает за обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработку персональных данных, несовместимую с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния.

В соответствии с п. 1 ст. 3 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Согласно п. 2 ст. 3 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»  оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

В соответствии с п. 3 ст. 3 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»  обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Согласно ч. 1 ст. 6 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом.

Как установлено судом и следует из материалов дела, в Роскомнадзор от Название поступили уведомления о факте неправомерной или случайной передачи персональных данных, повлекших нарушение прав субъектов персональных данных, от 19 июня 2023 года, от 20 июня 2023 года (л.д. 9-12). 

Согласно указанным уведомлениям, зафиксировано предоставление неправомерной или случайной передачи данных. Из уведомлений следует что предполагаемой причиной, повлекшей нарушение прав субъектов персональных данных, является уязвимость в моделе vote «Битрикс» официального сайта.  Инцидент произошел вследствие post запросов к уязвимым скриптам лицензионного программного обеспечения сайта ПСТГУ с иностранных IP адресов.

Таким образом, сам факт неправомерной или случайной передачи персональных данных пользователей сервиса является обработкой персональных данных, что в настоящем случае образует состав административного правонарушения, предусмотренного ч. 1 ст. 13.11 КоАП РФ.

Объективная сторона правонарушений по ч. 1 ст. 13.11 КоАП РФ состоит в нарушении норм федерального законодательства, регулирующих вопросы работы с информацией о гражданах (персональными данными).

Субъективная сторона правонарушения характеризуется умыслом или неосторожностью.

С учетом изложенных обстоятельств, доводы представителя  об отсутствии вины Название в передаче данных,  отсутствии состава и событие правонарушения, суд отклоняет, так как имел место несанкционированный доступ со стороны неустановленных третьих лиц.

В данном случае оператор не обеспечил конфиденциальность переданной ему информации и допустил обработку (передачу) вверенной ему информации в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, при этом факт несанкционированного доступа к данным о пользователях в данном случае не имеет значения для квалификации содеянного по ч. 1 ст. 13.11 КоАП РФ.

Оценив в совокупности собранные по делу доказательства, суд признает их достоверными и достаточными для признания Название  виновным в совершении административного правонарушения, а  действия Название  квалифицирует по ч. 1 ст. 13.11 КоАП РФ, как обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных.

Оснований для освобождения от административной ответственности, применения положений ст. 2.9 КоАП РФ, а также переквалификации действий  Название суд не усматривает.

Обстоятельств, влекущих безусловное прекращение производства по настоящему делу - не установлено.

 Вопреки доводам об истечении срока давности привлечения к административной ответственности, срок давности привлечения лица, к административной ответственности за совершенное правонарушение - не истек.

 Согласно части 1 статьи 4.5  Кодекса Российской Федерации об административных правонарушениях срок давности привлечения к административной ответственности за совершение административного правонарушения, предусмотренного статьей 13.11 Кодекса Российской Федерации об административных правонарушениях, составляет один год.

 В силу части 2 статьи 4.5 Кодекса Российской Федерации об административных правонарушениях при длящемся административном правонарушении сроки, предусмотренные частью 1 настоящей статьи, начинают исчисляться со дня обнаружения административного правонарушения.

  В пункте 14 постановления Пленума Верховного Суда Российской Федерации от 24 марта 2005 года N 5 разъяснено, что длящимся является такое административное правонарушение (действие или бездействие), которое выражается в длительном непрекращающемся невыполнении или ненадлежащем выполнении предусмотренных законом обязанностей.

 Из приведенных положений закона следует, что состав правонарушения, предусмотренного частью 1 статьи 13.11  Кодекса Российской Федерации об административных правонарушениях, является длящимся, основания для возбуждения дела об административном правонарушении, выявлены 06 сентября 2023 года, соответственно, срок давности привлечения к ответственности начал исчисляться с 06 сентября 2023 года (с момента выявления) и по состоянию на дату рассмотрения дела (17 ноября 2023 года) не истек. Дата размещения статьи, содержащей персональные данные, для исчисления срока давности привлечения к ответственности правового значения не имеет.

Обстоятельств, смягчающих и отягчающих административную ответственность  Название, судом не установлено.

При назначении наказания суд учитывает характер совершенного административного правонарушения, конкретные обстоятельства дела, имущественное и финансовое положение юридического лица, отсутствие смягчающих и отягчающих административную ответственность Название обстоятельств, и считает необходимым назначить Название  наказание в виде административного штрафа.

На основании вышеизложенного, руководствуясь статьями 29.9-29.11 Кодекса Российской Федерации об административных правонарушениях, мировой судья

Постановил:

Признать "Название" виновным в совершении административного правонарушения, предусмотренного ч. 1 ст. 13.11 Кодекса Российской Федерации об административных правонарушениях, и назначить ему наказание в виде административного штрафа в размере 60 000 (шестьдесят тысяч) рублей.

Штраф подлежит перечислению по реквизитам:

Сведения об оплате штрафа (соответствующую квитанцию из банка) необходимо представить в судебный участок №398 района Замоскворечье города Москвы по адресу: г. Москва, ул. Голиковский пер, 10, стр. 1, либо направить по электронной почте: mirsud398@ums-mos.ru.

Разъяснить, что в соответствии с ч. 1 ст. 32.2 КоАП РФ административный штраф должен быть уплачен в полном размере лицом, привлеченным к административной ответственности, не позднее шестидесяти дней со дня вступления постановления
о наложении административного штрафа в законную силу. При невыполнении указанных действий административный штраф взыскивается принудительно, а лицо, не уплатившее штраф, привлекается к административной ответственности по ч. 1 ст. 20.25 КоАП РФ.

Постановление может быть обжаловано в Замоскворецкий районный суд города Москвы через мирового судью судебного участка № 398 района Замоскворечье города Москвы в течение 10 суток со дня вручения или получения копии постановления.

 

Мировой судья                                                            А.Д. Суслова

 Источник: https://mos-sud.ru/398/cases/admin/details/9e1004ba-2359-4bd9-bbe9-e53d0deb033c?documentMainArticle=13.11&publishingState=0083ce0&formType=fullForm

Информация по делу
Статьи
ч.1 ст.13.11 КоАП РФ
Суд
Мировой судья судебного участка № 398 района Замоскворечье города Москвы
Судья
Суслова А.Д.
Дата решения
2023-11-17
Категории
Сайт
Цель обработки
Неожиданные решения
Часть 1 статьи 13.11 Кодекса РФ об АП
Другие дела из подобных
категорий:

Отсутствие в свободном доступе (в.т.ч. на сайте) Политики в отношении обработки персональных данных

Наличия базы данных в сети, содержащей персональные данные пользователей и клиентов Интернет-ресурса

Предложение услуг по телефону

Анкета соискателя не отвечает требованиям законодательства

Установление факта наличия базы данных в сети "Интернет"

На официальном сайте образовательного учреждения  размещена информация, содержащая избыточные персональные данные работников

Размещение «Реестра субъектов малого и среднего предпринимательства -получателей поддержки муниципального района" на сайте без обезличивания персональных данных

Отсутствие в свободном доступе (в.т.ч. на сайте) Политики в отношении обработки персональных данных

Множество нарушений в деятельности администрации

Несоблюдение Учреждением установленных законодательством РФ требований в области обработки персональных данных

Технические средства, с помощью которых осуществлялась деятельность официального сайта в сети «интернет», посредством которого осуществляется обработка персональных данных граждан Российской Федерации, располагались за пределами Российской Федерации

При наличии договора на оказание платных медицинских услуг персональные данные обрабатываются без письменного согласия

Обработка персональных данных граждан, пребывающих в гостинице

На сайте администрации размещен ответ на обращение, содержащий персональные данные

Размещение отчета с персональными данными учащихся и законных представителей