Судебная практика

Дело № 5-1026/398/2023

УИД: 77MS0398-01-2023-002529-40

ПОСТАНОВЛЕНИЕ

по делу об административном правонарушении

17 ноября 2023 года                                                   г. Москва, Голиковский пер., д. 10, стр. 1

Мировой судья судебного участка № 398 района Замоскворечье города Москвы Суслова А.Д., рассмотрев в открытом судебном заседании дело
об административном правонарушении по ч.1 ст.13.11 Кодекса Российской Федерации об административных правонарушениях (далее – КоАП РФ) в отношении Образовательного частного учреждения высшего образования «Наименование» (Название), ОГРН ____, дата присвоения ОГРН 25.11.2002, ИНН ______________, КПП ___________, место регистрации: _____, г. Москва, ул. __________, д. ____, сведений о привлечении ранее к административной ответственности материалы дела не содержат,

Установил:

06 января 2023 года в 10 часов 50 минут по адресу: _______, г. Москва, ул. ___________, д.___, Название осуществило обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, совершив тем самым административное правонарушение, ответственность за которое предусмотрена ч. 1 ст. 13.11 Кодекса Российской Федерации об административных правонарушениях.

Управлением Роскомнадзора по Центральному федеральному округу в ходе мониторинга средств массовой информации на Интернет-ресурсе https:// обнаружен факт наличия базы данных (2500 строк) "Название" (далее оператор), содержащей персональные данные пользователей оператора в объеме: фамилия, имя, отчество, адрес, номер телефона, адрес электронной почты. В Роскомнадзор поступили уведомления оператора № 6085678 от 19 июня 2023 года   № 6086893 от 20 июня 2023 года о факте неправомерной или случайной передачи данных. Из уведомлений следует что предполагаемой причиной, повлекшей нарушение прав субъектов персональных данных, повлекшей нарушение прав субъектов персональных данных, является уязвимость в моделе vote «Битрикс» официального сайта.  Инцидент произошел вследствие post запросов к уязвимым скриптам лицензионного программного обеспечения сайта ПСТГУ с иностранных IP адресов.

  Таким образом, Название допущено нарушение требований ч. 1 ст. 6 ФЗ от 27.07.2006 года N 152-ФЗ "О персональных данных" в части предоставления неправомерного доступа к базе данных, содержащих персональные данные пользователей оператора.

  Представитель Название по доверенности ФИО в судебном заседании вину Название в совершении административного правонарушения не признал, просил прекратить производство по делу в связи с истечением срока давности привлечения к административной ответственности на основании ст. 45, п. 6 ч. 1, ст. 24.5 КоАП РФ, размещенный файл Университету не принадлежит, университет не создавал и не размещал данный файл, не передавал ни сам файл, ни содержащуюся в нем информацию.

  В судебном заседании в качестве свидетеля допрошен ведущий специалист-эксперт Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Центральному Федеральному округу ФИО1, права и обязанности, предусмотренные ст. 25.6 КоАП РФ, свидетель предупрежден об ответственности за дачу заведомо ложных показаний по ст. 17.9 Кодекса РФ об административных правонарушениях и по ст. 17.7 Кодекса РФ об административных правонарушениях за отказ или уклонение от исполнения обязанностей, предусмотренных с. 2 ст. 25.6 Кодекса РФ об административных правонарушениях, который пояснил, что неприязненных отношений к Название не испытывает, повода для оговора не имеет, пояснил суду что Роскомнадзором зафиксировано на Интернет-ресурсе  факт наличия базы данных Название, содержащей персональные данные пользователей оператора. Дата публикации 06 января 2023 года. В Роскомнадзор от Название поступили уведомления, подтверждающие передачу персональных данных.

 Суд, выслушав представителя Название, исследовав письменные материалы дела, приходит к выводу о том, что вина  Название в совершении им правонарушения, предусмотренного ч. 1 ст. 13.11 КоАП РФ, подтверждается совокупностью собранных и исследованных по делу доказательств, а именно: протоколом № АП-77/09/1281 об административном правонарушении от 05 октября 2023 года, отражающим сам факт и событие административного правонарушения, предусмотренного ч. 1 ст. 13.11 КоАП РФ (л.д. 1-6); уведомлением о факте неправомерной или случайной передачи персональных данных (л.д. 9-10, 11-12), распечатками с сайта (л.д. 13-18), и иными материалами дела.

Достоверность и допустимость вышеуказанных доказательств у суда сомнений не вызывает, поскольку они не противоречивы и согласуются между собой, составлены в соответствии с требованиями КоАП РФ и объективно фиксируют фактические обстоятельства дела. Протокол об административном правонарушении составлен в соответствии с требованиями КоАП РФ. Права лица, в отношении которого составлен протокол, соблюдены.

Ответственность по ч. 1 ст. 13.11 КоАП РФ наступает за обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработку персональных данных, несовместимую с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния.

В соответствии с п. 1 ст. 3 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Согласно п. 2 ст. 3 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»  оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

В соответствии с п. 3 ст. 3 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»  обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Согласно ч. 1 ст. 6 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом.

Как установлено судом и следует из материалов дела, в Роскомнадзор от Название поступили уведомления о факте неправомерной или случайной передачи персональных данных, повлекших нарушение прав субъектов персональных данных, от 19 июня 2023 года, от 20 июня 2023 года (л.д. 9-12). 

Согласно указанным уведомлениям, зафиксировано предоставление неправомерной или случайной передачи данных. Из уведомлений следует что предполагаемой причиной, повлекшей нарушение прав субъектов персональных данных, является уязвимость в моделе vote «Битрикс» официального сайта.  Инцидент произошел вследствие post запросов к уязвимым скриптам лицензионного программного обеспечения сайта ПСТГУ с иностранных IP адресов.

Таким образом, сам факт неправомерной или случайной передачи персональных данных пользователей сервиса является обработкой персональных данных, что в настоящем случае образует состав административного правонарушения, предусмотренного ч. 1 ст. 13.11 КоАП РФ.

Объективная сторона правонарушений по ч. 1 ст. 13.11 КоАП РФ состоит в нарушении норм федерального законодательства, регулирующих вопросы работы с информацией о гражданах (персональными данными).

Субъективная сторона правонарушения характеризуется умыслом или неосторожностью.

С учетом изложенных обстоятельств, доводы представителя  об отсутствии вины Название в передаче данных,  отсутствии состава и событие правонарушения, суд отклоняет, так как имел место несанкционированный доступ со стороны неустановленных третьих лиц.

В данном случае оператор не обеспечил конфиденциальность переданной ему информации и допустил обработку (передачу) вверенной ему информации в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, при этом факт несанкционированного доступа к данным о пользователях в данном случае не имеет значения для квалификации содеянного по ч. 1 ст. 13.11 КоАП РФ.

Оценив в совокупности собранные по делу доказательства, суд признает их достоверными и достаточными для признания Название  виновным в совершении административного правонарушения, а  действия Название  квалифицирует по ч. 1 ст. 13.11 КоАП РФ, как обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных.

Оснований для освобождения от административной ответственности, применения положений ст. 2.9 КоАП РФ, а также переквалификации действий  Название суд не усматривает.

Обстоятельств, влекущих безусловное прекращение производства по настоящему делу - не установлено.

 Вопреки доводам об истечении срока давности привлечения к административной ответственности, срок давности привлечения лица, к административной ответственности за совершенное правонарушение - не истек.

 Согласно части 1 статьи 4.5  Кодекса Российской Федерации об административных правонарушениях срок давности привлечения к административной ответственности за совершение административного правонарушения, предусмотренного статьей 13.11 Кодекса Российской Федерации об административных правонарушениях, составляет один год.

 В силу части 2 статьи 4.5 Кодекса Российской Федерации об административных правонарушениях при длящемся административном правонарушении сроки, предусмотренные частью 1 настоящей статьи, начинают исчисляться со дня обнаружения административного правонарушения.

  В пункте 14 постановления Пленума Верховного Суда Российской Федерации от 24 марта 2005 года N 5 разъяснено, что длящимся является такое административное правонарушение (действие или бездействие), которое выражается в длительном непрекращающемся невыполнении или ненадлежащем выполнении предусмотренных законом обязанностей.

 Из приведенных положений закона следует, что состав правонарушения, предусмотренного частью 1 статьи 13.11  Кодекса Российской Федерации об административных правонарушениях, является длящимся, основания для возбуждения дела об административном правонарушении, выявлены 06 сентября 2023 года, соответственно, срок давности привлечения к ответственности начал исчисляться с 06 сентября 2023 года (с момента выявления) и по состоянию на дату рассмотрения дела (17 ноября 2023 года) не истек. Дата размещения статьи, содержащей персональные данные, для исчисления срока давности привлечения к ответственности правового значения не имеет.

Обстоятельств, смягчающих и отягчающих административную ответственность  Название, судом не установлено.

При назначении наказания суд учитывает характер совершенного административного правонарушения, конкретные обстоятельства дела, имущественное и финансовое положение юридического лица, отсутствие смягчающих и отягчающих административную ответственность Название обстоятельств, и считает необходимым назначить Название  наказание в виде административного штрафа.

На основании вышеизложенного, руководствуясь статьями 29.9-29.11 Кодекса Российской Федерации об административных правонарушениях, мировой судья

Постановил:

Признать "Название" виновным в совершении административного правонарушения, предусмотренного ч. 1 ст. 13.11 Кодекса Российской Федерации об административных правонарушениях, и назначить ему наказание в виде административного штрафа в размере 60 000 (шестьдесят тысяч) рублей.

Штраф подлежит перечислению по реквизитам:

Сведения об оплате штрафа (соответствующую квитанцию из банка) необходимо представить в судебный участок №398 района Замоскворечье города Москвы по адресу: г. Москва, ул. Голиковский пер, 10, стр. 1, либо направить по электронной почте: mirsud398@ums-mos.ru.

Разъяснить, что в соответствии с ч. 1 ст. 32.2 КоАП РФ административный штраф должен быть уплачен в полном размере лицом, привлеченным к административной ответственности, не позднее шестидесяти дней со дня вступления постановления
о наложении административного штрафа в законную силу. При невыполнении указанных действий административный штраф взыскивается принудительно, а лицо, не уплатившее штраф, привлекается к административной ответственности по ч. 1 ст. 20.25 КоАП РФ.

Постановление может быть обжаловано в Замоскворецкий районный суд города Москвы через мирового судью судебного участка № 398 района Замоскворечье города Москвы в течение 10 суток со дня вручения или получения копии постановления.

 

Мировой судья                                                            А.Д. Суслова

 Источник: https://mos-sud.ru/398/cases/admin/details/9e1004ba-2359-4bd9-bbe9-e53d0deb033c?documentMainArticle=13.11&publishingState=0083ce0&formType=fullForm

Информация по делу
Статьи
ч.1 ст.13.11 КоАП РФ
Суд
Мировой судья судебного участка № 398 района Замоскворечье города Москвы
Судья
Суслова А.Д.
Дата решения
2023-11-17
Категории
Сайт
Цель обработки
Неожиданные решения
Часть 1 статьи 13.11 Кодекса РФ об АП
Другие дела из подобных
категорий:

Сбор персональных данных через сайт в отсутствие политики общества в отношении обработки

Оформление технического заключения с использованием персональных данных

Неисполнение обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных

Не опубликование на сайте политики и требований к защите

Невыполнение обязанности по размещению политики в отношении обработки персональных данных

Размещение в ГИС ЖКХ в общедоступном просмотре персональных данных

Распространение сведений о частной жизни субъекта путем размещения на сайте

Публикация в газете статьи, содержащей персональные данные субъекта без его согласия

Размещение персональных данных на сайте

Опубликование на сайте суда информации о субъекте

Не представлены документы, подтверждающие наличие собственных баз данных,отсутствует политика

Отсутствие на сайте детского сада политики

Размещение персональных данных в сети "ВКонтакте"

Несоответствие согласия на обработку персональных данных ч.4 ст.9 ФЗ "О персональных данных"

Оформление договора купли-продажи сим-карты без согласия субъекта