Судебная практика

1 инстанция: Рогова А.В.

2 инстанция: Вишнякова Н.Е., Егорова Ю.Г., Щербакова А.В. (докладчик)

УИД 

Дело 

Дело №2-5887/2022

О П Р Е Д Е Л Е Н И Е

5 декабря 2023 года                                                        город Москва

Судебная коллегия по гражданским делам Второго кассационного суда общей юрисдикции в составе:

председательствующего Курлаева Л.И.,

судей Шамрай М.С., Иванова Т.С.

рассмотрела в открытом судебном заседании гражданское дело по исковому заявлению ФИО1 к обществу с ограниченной ответственностью «Яндекс.Еда», обществу с ограниченной ответственностью «Яндекс» о защите персональных данных, компенсации морального вреда,

по кассационной жалобе общества с ограниченной ответственностью «Яндекс.Еда» на решение Замоскворецкого районного суда от ДД.ММ.ГГГГ и апелляционное определение судебной коллегии по гражданским делам Московского городского суда от ДД.ММ.ГГГГ.

Заслушав доклад судьи Курлаевой Л.И., судебная коллегия по гражданским делам Второго кассационного суда общей юрисдикции

У С ТА Н О В И Л А:

Истец ФИО1 обратился в суд с иском к ответчикам ООО «Яндекс», ООО «Яндекс.Еда», в котором просил признать незаконными действия, выраженные в непринятии необходимых и достаточных мер для обеспечения конфиденциальности персональных данных, обязать ответчиков опубликовать в течение 30 календарных дней с момента вступления решения суда на веб-сайте https://yandex.ru/, https://eda.vandex.ru. а также в мобильном приложении «Яндекс.Еда - заказ продуктов» в Google Play и Арр Store информацию о принятых мерах по обеспечению сохранности персональных данных после произошедшей утечки, а также улучшению контроля за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных, взыскать с ответчиков солидарно компенсацию морального вреда в размере 100 000 руб.

В обоснование заявленных требований указано, что «Яндекс.Еда» является сервисом для заказа быстрой доставки еды из ресторанов и продуктов из магазинов через мобильные приложения или веб-сайт, работает в 170 городах России. Администратором сервиса является ООО «Яндекс.Еда». В марте 2022 года служба информационной безопасности сервиса выявила утечку информации, в результате которой в сети Интернет были опубликованы и выложены на сайте https://saverudata.org/ личные данные пользователей. Впоследствии истец обнаружил свои данные в виде имени и фамилии, номера телефона, адреса места жительства, а также адрес электронной почты в открытом доступе в сети Интернет. Разглашенные сведения позволяют однозначно идентифицировать истца, являются его персональными данными.

По утверждению истца, ответчики не предприняли всех возможных организационных и технических мер для обеспечения конфиденциальности его персональных данных, что привело к их распространению в сети Интернет.

Решением Замоскворецкого районного суда от ДД.ММ.ГГГГ, оставленным без изменения апелляционным определением судебной коллегии по гражданским делам Московского городского суда от ДД.ММ.ГГГГ, иск ФИО1 удовлетворен частично.

Взыскана с ООО «Яндекс.Еда» в пользу ФИО1 компенсация морального вреда в размере 5 000 руб.

В удовлетворении остальной части исковых требований отказано.

В кассационной жалобе ООО «Яндекс.Еда», поданной во Второй кассационный суд общей юрисдикции, кассатор просит отменить судебные постановления как вынесенные с нарушениями норм материального и процессуального права.

Лица, участвующие в деле в судебное заседание не явились, о месте и времени слушания дела извещены надлежащим образом, что подтверждается сведениями почтового идентификатора, телефонограммами, направлением извещений посредством электронной почты, кроме того, указанная информация размещена на официальном сайте Второго кассационного суда общей юрисдикции. На основании ч.5 ст.379.5 Гражданского процессуального кодекса Российской Федерации судебная коллегия находит возможным рассмотреть дело в отсутствие неявившихся лиц, оснований для отложения судебного разбирательства не усматривает.

Согласно ст. 379.7 Гражданского процессуального кодекса Российской Федерации основаниями для отмены или изменения судебных постановлений кассационным судом общей юрисдикции являются несоответствие выводов суда, содержащихся в обжалуемом судебном постановлении, фактическим обстоятельствам дела, установленным судами первой и апелляционной инстанций, нарушение либо неправильное применение норм материального права или норм процессуального права.

Изучив материалы дела, обсудив доводы кассационной жалобы, проверив по правилам ст. 379.6 Гражданского процессуального кодекса Российской Федерации в пределах доводов, содержащихся в кассационной жалобе, законность судебных постановлений, принятых судами первой и апелляционной инстанций, кассационный суд не находит предусмотренных ст.379.7 Гражданского процессуального кодекса Российской Федерации оснований для удовлетворения жалобы.

Как следует из материалов дела, ФИО1 является пользователем сервиса «Яндекс.Еда».

Авторизация пользователей сервиса осуществляется по номеру телефона.Персональные данные пользователей сервиса обрабатываются для исполнения договора, стороной которого является субъект персональных данных.

Согласно пункту 3.6 Пользовательского соглашения сервиса «Яндекс.Еда» пользователь соглашается с тем, что ООО «Яндекс.Еда» вправе хранить персональную информацию пользователя не менее трех лет с даты исполнения рестораном и/или доставщиком соответствующего заказа, оформленного с использованием сервиса «Яндекс.Еда».

В марте 2022 года пользователи указанного сервиса получили электронное уведомление от службы поддержки сервиса «Яндекс.Еда» (love@eda.yandex.ru), в котором сообщилось, что Служба информационной безопасности Яндекс Еды выявила внутреннюю утечку данных о заказах в сервисе, в результате которого в сеть Интернет попали номера телефонов клиентов и техническая информация о заказах.

ДД.ММ.ГГГГ ГСУ СК РФ возбуждено уголовное дело в отношении неустановленных лиц по признакам преступлений, предусмотренных ч.1 ст.137, ч.З ст.272, ч.2 ст.273 Уголовного кодекса Российской Федерации.

Постановлением от ДД.ММ.ГГГГ ООО «Яндекс.Еда» признано потерпевшим по данному уголовному делу, установлено, что не позднее ДД.ММ.ГГГГ неустановленные лица, используя технические устройства с доступом в информационно-телекоммуникационную сеть Интернет и компьютерные программы, заведомо предназначенные для несанкционированного копирования компьютерной информации и нейтрализации средств защиты компьютерной информации, совершили DDos-атаки на сервис «Яндекс.Еда», после чего в этот же день распространили в сети Интернет на странице, расположенной по веб-адресу: https://saverudata.org/map/, незаконно полученные сведения о частной жизни пользователей сервиса «Яндекс.Еда», доступные неопределенному кругу лиц, чем причинили вред деловой репутации ООО «Яндекс.Еда».

Постановлением мирового судьи судебного участка  района Замоскворечье <адрес> от ДД.ММ.ГГГГ, оставленным без изменения ДД.ММ.ГГГГ, ООО «Яндекс.Еда» признано виновным в совершении административного правонарушения, предусмотренного ч.1 ст. 13.11 КоАП РФ.

Как следует из постановления, ООО «Яндекс.Еда» осуществляет свою деятельность с нарушением требований законодательства в сфере связи, информационных технологий и массовых коммуникаций, а именно: в результате недобросовестных действий сотрудника ООО «Яндекс.Еда» в сеть попала база заказов, содержащая данные о пользователях, содержащие, в том числе, их персональные данные: имя, адрес заказа (адрес места жительства), номер телефона, сведения о заказе пользователя. Данные нарушения выявлены в ходе мониторинга электронных СМИ Роскомнадзором ДД.ММ.ГГГГ.

Судом достоверно установлен факт совершения административного правонарушения и виновность ООО «Яндекс.Еда» в утечке персональных данных (обработке персональных данных) пользователей сервиса.

В подтверждение доводов о нарушении персональных данных, истцом представлены сведения с открытых источников о размещении общедоступной информации в отношении истца; фамилия, имя, телефон, адрес регистрации истца и фактического пребывания истца, по которому проживают его близкие родственники.

Разрешая спор, суд первой инстанции руководствовался ч. 1 ст. 150, ст. 151 Гражданского кодекса Российской Федерации, ст. 3, п. 1 ч. 1 ст. 6, ст. 7, ст. 17, ч. 2 ст. 24 Федерального закона от ДД.ММ.ГГГГ № 152-ФЗ «О персональных данных» (далее - Закон о персональных данных).

Удовлетворяя исковые требования частично, суд первой инстанции исходил из того, что ответчиком не был обеспечен необходимый уровень защищенности персональных данных пользователей сервиса, в результате чего персональные данные истца были разглашены неограниченному кругу лиц в отсутствие какого-либо согласия истца.

Суд признал сведения из открытых источников (скриншоты) допустимым доказательством, поскольку ответчиком не представлено доказательств, опровергающих совпадение информации, содержащейся в сети Интернет, и информации, содержащейся в базе данных о клиентах ответчика.

Учитывая характер нарушения прав истца, объем причиненных истцу нравственных страданий, требования разумности и справедливости, суд определил размер денежной компенсации морального вреда в размере 5 000 руб., взыскав указанную сумму с ответчика ООО «Яндекс.Еда» в пользу истца, в остальной части требования отказал.При этом суд первой инстанции указал, что истец имеет право на возмещение морального вреда, поскольку факт нарушения ответчиком норм действующего законодательства РФ в отношении истца как пользователя сервиса «Яндекс.Еда» установлен и подтвержден представленными по делу доказательствами, в результате чего истцу был причинен моральный вред, который подлежит денежной компенсации.

С выводами суда первой инстанции согласился суд апелляционной инстанции.

Проверив материалы дела, обсудив доводы кассационной жалобы, Судебная коллегия по гражданским делам Второго кассационного суда общей юрисдикции приходит к выводу, что жалоба не подлежит удовлетворению, поскольку суды правильно применили нормы материального и процессуального права. Выводы судов первой и апелляционной инстанций соответствуют фактическим обстоятельствам дела и имеющимся в деле доказательствам.

Доводы кассационной жалобы были предметом исследования судов первой и апелляционной инстанций и им была дана правильная оценка.

В соответствии с ч. 1 ст. 23 Конституции Российской Федерации каждый имеет право на неприкосновенность частной жизни, личную и семейную <данные изъяты>, защиту своей чести и доброго имени.

В силу ч. 1 ст. 24 Конституции Российской Федерации сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускается.

Отношения, связанные с обработкой персональных данных физических лиц, а также с обеспечением защиты: прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную <данные изъяты> регулируются Федеральным законом № 152-ФЗ «О персональных данных».

Согласно п. 1 ст. 3 Закона о персональных данных персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, 2 использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Закона о персональных данных).

В соответствии с п.5 ст.3 Федерального закона № 152-ФЗ «О персональных данных» под распространением персональных данных понимаются действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

В соответствии с п.6 ст.3 указанного Федерального закона под предоставлением персональных данных понимаются действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Согласно п. 1 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.

В соответствии с частью 2 статьи 24 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных настоящим Федеральным законом, а также требований к защите персональных данных, установленных в соответствии с настоящим Федеральным законом, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков

В соответствии с частью 1 статьи 150 Гражданского кодекса Российской Федерации жизнь и здоровье, достоинство личности, личная неприкосновенность, честь и доброе имя, деловая репутация, неприкосновенность частной жизни, личная и семейная <данные изъяты>, право свободного передвижения, выбора места пребывания и жительства, право на имя, право авторства, иные личные неимущественные права и другие нематериальные блага, принадлежащие гражданину от рождения или в силу закона, неотчуждаемы и непередаваемы иным способом.

Согласно ст. 151 Гражданского кодекса Российской Федерации если гражданину причинен моральный вред (физические или нравственные страдания) действиями, нарушающими его личные неимущественные права, либо посягающими на принадлежащие гражданину другие нематериальные блага, а также в других случаях, предусмотренных законом, суд может возложить на нарушителя обязанность денежной компенсации указанного вреда. При определении размера компенсации морального вреда суд принимает во внимание степень вины нарушителя и иные заслуживающие внимания обстоятельства. Суд должен также учитывать степень физических и нравственных страданий, связанных с индивидуальными особенностями лица, которому причинен вред.

Приведенные выше нормы материального права применены судами первой и апелляционной инстанций правильно.

Суд первой и апелляционной инстанций пришли к обоснованному к выводу о том, что ответчиком ООО «Яндекс.Еда» не был обеспечен необходимый уровень защищенности персональных данных пользователей сервиса, в результате чего персональные данные истца были разглашены неограниченному кругу лиц в отсутствие какого-либо согласия истца, вследствие этого истцу был причинен моральный вред, который подлежит денежной компенсации.

Пленум Верховного Суда Российской Федерации в постановлении от 15 июня 2010 г. № 16 "О практике применения судами Закона Российской Федерации "О средствах массовой информации" указал на то, что федеральными законами не предусмотрено каких-либо ограничений в способах доказывания факта распространения сведений через телекоммуникационные сети (в том числе, через сайты в сети "Интернет"), поэтому при разрешении вопроса о том, имел ли место такой факт, суд в силу статей 55 и 60 ГПК РФ вправе принимать любые средства доказывания, предусмотренные процессуальным законодательством.

Результаты оценки доказательства и мотивы, по которым суд пришел к такому выводу, подробно изложены в обжалованных судебных постановлениях, оснований не согласиться с которым судебная коллегия не усмотрела.

Доводы ответчика ООО «Яндекс.Еда» о том, что суд не дал оценки постановлению о признании ответчика потерпевшим по уголовному делу, обоснованно отклонены судебной коллегией, поскольку обязанность ответчика сохранять персональные данные клиентов возложена на ответчика в силу закона (ст. 7 Федерального закона о персональных данных).

Из положений норм Закона о персональных данных следует, что на администратора домена, как оператора, возложена обязанность по обеспечению конфиденциальности собираемых и обрабатываемых им персональных данных.

Только в том случае, если утечка данных произошла по вине пользователя, то оператор освобождается от ответственности. Таковых сведений ответчик суду не предоставил. При этом использование и распространение персональных данных субъекта осуществляется оператором только с согласия субъекта, а истец такового согласия не давал.

Суд кассационной инстанции приходит к выводу, что судами первой и апелляционной инстанций правильно определены правоотношения, возникшие между сторонами по настоящему делу, а также закон, подлежащий применению, в полном объеме определены и установлены юридически значимые обстоятельства. Исходя из установленных судами первой и апелляционной инстанций фактических обстоятельств дела, суды правильно применили нормы материального права.

В соответствии с ч.3 ст.390 Гражданского процессуального кодекса Российской Федерации кассационный суд общей юрисдикции не вправе устанавливать или считать доказанными обстоятельства, которые не были установлены либо были отвергнуты судом первой или апелляционной инстанции, предрешать вопросы о достоверности или недостоверности того или иного доказательства, преимуществе одних доказательств перед другими.

Таким образом, оценка доказательств относится к полномочиям судов первой и апелляционной инстанций. Доводы кассационной жалобы аналогичны доводам, которые были предметом исследования и оценки судов первой и апелляционной инстанций, и им дана надлежащая правовая оценка в обжалуемых судебных постановлениях, они направлены на переоценку собранных по делу доказательств и не опровергают правильность выводов суда по существу спора. Выводы суда, содержащиеся в судебных постановлениях, не противоречат фактическим обстоятельствам дела, установленным судами первой и апелляционной инстанции.

Нарушений норм материального или процессуального права, указанных в ст.379.7 Гражданского процессуального кодекса Российской Федерации, при разрешении настоящего спора судом допущено не было, в связи с чем оснований для отмены обжалуемых судебных постановлений в кассационном порядке не имеется.

Руководствуясь статьями 379.6, 390, 390.1 Гражданского процессуального кодекса Российской Федерации, судебная коллегия по гражданским делам Второго кассационного суда общей юрисдикции

О П Р Е Д Е Л И Л А:

решение Замоскворецкого районного суда от ДД.ММ.ГГГГ и апелляционное определение судебной коллегии по гражданским делам Московского городского суда от ДД.ММ.ГГГГ оставить без изменения, кассационную жалобу общества с ограниченной ответственностью «Яндекс.Еда» - без удовлетворения.

Председательствующий

Судьи

Источник: https://2kas.sudrf.ru/modules.php?name=sud_delo&srv_num=1&name_op=doc&number=10929449&delo_id=2800001&new=2800001&text_number=1 

Информация по делу
Статьи
ч.1 ст.13.11 КоАП РФ
Суд
Второй кассационный суд общей юрисдикции
Судья
Курлаев Л.И.
Дата решения
2023-12-05
Категории
Разглашение
Обязанность оператора
Часть 1 статьи 13.11 Кодекса РФ об АП
Другие дела из подобных
категорий:

Обработка персональных данных третьих лиц, предоставляемых потенциальным клиентом

Условиями Договора не предусмотрено обязательство банка о соблюдении конфиденциальности полученных персональных данных и обеспечении безопасности персональных данных при их обработке

Обработка персональных данных субъекта в отсутствие согласия

Не исполнение УК требований законодательства о персональных данных

Предоставление персональных данных субъектов без согласия

В типовой форме анкеты, оформляемой при приеме на работу, отсутствуют обязательные сведения

Наличие базы данных организации, содержащий персональные данные пользователей интернет-ресурса

Передача персональных данных без согласия; отсутствие документов, подтверждающих уничтожение

Опубликование на сайте учреждения персональных сведений о супруге и несовершеннолетних детях

Пост с раскрытием персональных данных в социальной сети

Запрос банком кредитного досье без согласия на обработку персональных данных

Невыполнение Оператором обязанности по соблюдению условий, обеспечивающих сохранность персональных данных

Не приняты меры по опубликованию или обеспечению неограниченного доступа к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных

Наличие базы данных клиентов на сторонних ресурсах

Утечка данных в результате хакерской атаки