Дело № 05-1182/157/2023

УИД 77MS0157-01-2023-002680-78

ПОСТАНОВЛЕНИЕ

по делу об административном правонарушении

Резолютивная часть постановления оглашена 05.09.2023 года.

Постановление составлено в окончательной форме 05.09.2023 года.

05 сентября 2023 года                                                      г. Москва

Мировой судья судебного участка № 157 района Хорошево-Мневники г. Москвы Ширяева И.В. (судебный участок расположен по адресу: 123154, г. Москва, бульвар генерала Карбышева, дом 18), с участием ведущего специалиста эксперта Управления Роскомнадзора по Центральному федеральному округу ФИО, защитников юридического лица ФИО1, ФИО2, рассмотрев в открытом судебном заседании материалы дела об административном правонарушении, предусмотренном ч. 1 ст. 13.11 Кодекса Российской Федерации об административных правонарушениях в отношении  ООО «Название» (ОГРН: , Дата присвоения ОГРН: , ИНН: , КПП: ), расположенного по адресу: г. Москва, __________, д. _, стр. _, пом. _, комн. __,,

УСТАНОВИЛ:

09.06.2023 в 21 час. 27 мин. ООО «Название» (ИНН ____________, ОГРН ______________) по адресу: г. Москва, __________, д. __, стр. _, пом.  _, комн. __, допустил неправомерную или случайную передачу (предоставление,  распространение, доступ) персональных данных,  повлекшее нарушение прав субъектов персональных данных клиентов оператора,  в электронные  средства  массовой информации (__________________________________) в количестве 522 000 строк,  содержащие  персональные данные клиентов,  в объеме: фамилия,  имя,  отчество,  дата рождения, номер телефона,  адрес электронной почты,  то есть  осуществил обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, за исключением случаев, предусмотренных ч.2 настоящей статьи и статьей 17.13 настоящего Кодекса, при этом действия не содержат уголовно наказуемого деяния, то есть ООО «Название» совершено административное правонарушение, ответственность за которое предусмотрена ч. 1 ст. 13.11 Кодекса Российской Федерации об административных правонарушениях.

Ведущий специалист эксперт Управления Роскомнадзора по Центральному федеральному округу ФИО1 в судебном заседании поддержал протокол об административном правонарушении.

 Защитник юридического лица ООО «Название» по доверенности ФИО2 в судебное заседание явилась, вину признала, ходатайствовала о замене штрафа на предупреждение, поскольку наказание в виде предупреждения соответствует характеру допущенного нарушения и степени вины ООО, либо просила назначить минимальное наказание, предусмотренное санкцией данной статьи.

Защитник юридического лица ООО «Название» по доверенности ФИО3 в судебном заседании пояснил, что ООО «Название» инициировано   внутренне расследование произошедшего, закрыло доступ к управлению сайтом.

Согласно статье 3  Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных) под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

под обработкой персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

В соответствии с частью 2 статьи 5  Закона о персональных данных обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей.

В силу пункта 1 части 1 статьи 6  Закона о персональных данных обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных названным Федеральным законом. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.

В соответствии со ст.7  Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

В судебном заседании установлено.

Управление Роскомнадзора по Центральному федеральному округ (далее - Управление) на основании пункта 3 Положения об Управлении Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Центральному федеральному округу,
утвержденного приказом Роскомнадзора от 25.01.2016 № 38, осуществляет функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных на территории Москвы Московской области. Роскомнадзором в ходе мониторинга электронных средств массовой информации на
интернет-ресурсах: ______,______ выявлен факт наличия базы данных (522 0ОО строк) ООО «Название» (далее также Оператор), содержащей персональные данные клиентов Оператора, в объеме: фамилия, имя, отчество, дата рождения, номер телефона, адрес электронной почты.
 В Роскомнадзор во исполнение требований части 3.1 статьи 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Закон о персональных данных) поступило уведомления Оператора от 10.06.2023 № 6078247 и от 12.06.2023 №6079498 о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных. Согласно Уведомлению о факте неправомерной или случайной передачи персональных данных Оператора причиной, повлекшей инцидент, является несанкционированный доступ внешнего пользователя, связанный с уязвимостями программного обеспечения CMS1C-Битрикс. В соответствии с пунктом 1 статьи 3 Закона о персональных данных под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). В связи с чем содержание скомпрометированной базы данных относится к персональным данным клиентов Оператора. По смыслу пункта 1 статьи 3 Закона о персональных данных ООО «Название» является оператором, осуществляющим обработку персональных данных, на деятельность которого распространяются требования Закона о персональных данных в полном объеме. Согласно пункту 3 статьи 3 Закона о персональных данных обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление,изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Случаи, при которых допускается обработка персональных данных субъекта, закреплены статьей 6 Закона о персональных данных. Обработка персональных данных на основании пункта 1 допускается с согласия субъекта персональных данных, а также при наличии иных оснований, установленных пунктами 2-11 части 1 статьи 6 Закона о персональных данных. Более того, оператор обязан обеспечить конфиденциальность персональных данных.

 Так, согласно положениям статьи 7 Закона о персональных данных операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом. Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения в сети Интернет, установлены статьей 10.1 Закона о персональных данных.

 Так, исключительным основанием обработки персональных данных, разрешенных субъектом персональных данных для распространения, является согласие субъекта персональных данных, которое оформляется отдельно от иных согласий. Требования к содержанию указанного согласия установлены Приказом Роскомнадзора от 24.02.2021 № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения». В соответствии с частью 5 статьи 6 Закона о персональных данных в случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором. На основании изложенного в действиях Оператора выявлено нарушение требований части 1 статьи 6, статьи 7 и статьи 10.1 Закона о персональных данных в части предоставления неправомерного доступа к базе данных Оператора, содержащей персональные данные клиентов Оператора, повлекшего за собой распространение персональных данных клиентов неограниченному кругу лиц. Положениями части 1 статьи 13.11 КоАП РФ предусмотрена административная ответственность за обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи и статьей 17.13 КоАП РФ, если эти действия не содержат уголовно наказуемого деяния.
  Выявленное правонарушение не подпадает под действие положений части 2 статьи 13.11 КоАП РФ, так как обработка персональных данных клиентов Оператора не требует согласия в письменной форме в соответствии с законодательством Российской Федерации. Действия Оператора в указанном случае не содержат в себе признаков уголовно наказуемого деяния, а также не содержат в себе состав административного правонарушения по ст.17.13 КоАП РФ.
 В соответствии с п.1 ч.3.5 ст. 28.1 КоАП РФ, без проведения контрольных (надзорных) мероприятий во взаимодействии с контролируемым лицом орган, осуществляющий функции по контролю и надзору в сфере связи, информационных технологий и массовых коммуникаций, может возбуждать дела об административных правонарушениях, предусмотренных ч.ч. 1 - 2.1 и 4 ст. 13.11 (в случае поступления от физического или юридического лица, совершившего административное правонарушение, данных, подтверждающих наличие события административного правонарушения).

 Совершение ООО «Название» административного правонарушения, предусмотренного ч. 1 ст. 13.11 КоАП РФ, подтверждается следующими имеющимися в материалах дела доказательствами, исследованными в судебном заседании:

- протоколом об административном правонарушении от 20.07.2022 № АП-77/09/922, составленным в соответствии с требованиями ст. 28.2 КоАП РФ, должностным лицом органа, уполномоченного составлять протоколы об административных правонарушениях,

- уведомлением  о факте  неправомерной или случайной  передачи (предоставления,  распространения, доступа) персональных данных,  повлекшей нарушение прав субъектов персональных данных от 10.06.2023;

- копией приказа о переводе на другую работу № 107/9 от 01.04.2022;

-актом осмотра интернет-страниц ________________, ________________________ ;

- распечатками сканов,

- выпиской из ЕГРЮЛ.

 Данные доказательства являются последовательными, добытыми полномочным на то должностным лицом и процессуально закрепленными с соблюдением требований Кодекса Российской Федерации об административных правонарушениях, в связи с чем, оснований сомневаться в их достоверности у мирового судьи не имеется.

 Административная ответственность по ч. 1 ст. 13.11 КоАП РФ предусмотрена за обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработку персональных данных, несовместимой с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи и статьей 17.13 настоящего Кодекса, если эти действия не содержат уголовно наказуемого деяния, и влечет наложение административного штрафа на граждан в размере от двух тысяч до шести тысяч рублей; на должностных лиц - от десяти тысяч до двадцати тысяч рублей; на юридических лиц - от шестидесяти тысяч до ста тысяч рублей.

 Согласно части 1 статьи 4.1.1.  Кодекса Российской Федерации об административных правонарушениях замена административного наказания в виде административного штрафа предупреждением возможна являющимся субъектами малого и среднего предпринимательства лицам, осуществляющим предпринимательскую деятельность без образования юридического лица, и юридическим лицам, а также их работникам за впервые совершенное административное правонарушение, выявленное в ходе осуществления государственного контроля (надзора), муниципального контроля, в случаях, если назначение административного наказания в виде предупреждения не предусмотрено соответствующей статьей раздела II  указанного Кодекса или закона субъекта Российской Федерации об административных правонарушениях, административное наказание в виде административного штрафа подлежит замене на предупреждение при наличии обстоятельств, предусмотренных частью 2 статьи 3.4  названного Кодекса, за исключением случаев, предусмотренных частью 2 данной статьи.

 В соответствии с частью 2 статьи 3.4 указанного Кодекса предупреждение устанавливается за впервые совершенные административные правонарушения при отсутствии причинения вреда или возникновения угрозы причинения вреда жизни и здоровью людей, объектам животного и растительного мира, окружающей среде, объектам культурного наследия (памятникам истории и культуры) народов Российской Федерации, безопасности государства, угрозы чрезвычайных ситуаций природного и техногенного характера, а также при отсутствии имущественного ущерба.

 С учетом взаимосвязанных положений части 2 статьи 3.4 и и части 1 статьи 4.1.1 Кодекса Российской Федерации об административных правонарушениях возможность замены наказания в виде административного штрафа предупреждением допускается при наличии совокупности всех обстоятельств, указанных в части 2 статьи 3.4  названного Кодекса.

 Вместе с тем, в рассматриваемом случае такой совокупности обстоятельств не имеется, следовательно, оснований для замены административного штрафа предупреждением суд не имеется.

 В соответствии со ст. 2.4 КоАП РФ административной ответственности подлежит должностное лицо в случае совершения им административного правонарушения в связи с неисполнением либо ненадлежащим исполнением своих служебных обязанностей.

 Обстоятельств, смягчающих либо отягчающих административную ответственность, мировым судьей не установлено.

 При назначении наказания суд учитывает характер совершенного административного правонарушения, данные о личности, а также конкретные обстоятельства дела, в связи с чем, назначает наказание в виде штрафа в минимальном размере, предусмотренном санкцией ч. 1 ст. 13.11 КоАП РФ.

 На основании изложенного, руководствуясь ст.ст. 23.1, 29.9-29.11 Кодекса РФ об административных правонарушениях, мировой судья

ПОСТАНОВИЛ:

 Признать юридическое лицо ООО «Название» виновным в совершении административного правонарушения, предусмотренного ч. 1 ст. 13.11 Кодекса Российской Федерации об административных правонарушениях, и назначить ему административное наказание в виде административного штрафа в размере 60 000 (шестидесяти тысяч) рублей.

Получатель платежа: Получатель УФК по г. Москве  (Департамент по обеспечению деятельности мировых судей города Москвы л/с 04732805000), ИНН: 7704236196, КПП: 770401001, ОКТМО: 45374000, Банк получателя платежа: ГУ Банка России по ЦФО//УФК по г. Москве г. Москва, БИК: 004525988, Расчетный счет: 03100643000000017300, Корреспондентский счет: 40102810545370000003, УИН: 0356140805011821572300160, КБК: 80511601133010000140, Назначение платежа: Штраф. Номер дела 05-1182/157/2023, постановление от 05.09.2023 по Ст. 13.11, Ч.1 КоАП РФ в отношении ООО "Название". Судебный участок № 157 тел.: +7(499)197-07-72, +7(499)197-05-73, +7(495)609-90-74.

Разъяснить, что в соответствии со ст. 32.2 КоАП РФ административный штраф должен быть уплачен лицом, привлеченным к административной ответственности, не позднее 60 дней со дня вступления постановления о наложении административного штрафа в законную силу либо со дня истечения срока отсрочки или срока рассрочки, предусмотренных статьей 31.5 КоАП РФ.

Квитанцию об оплате административного штрафа необходимо предоставить в судебный участок №157 района Хорошево-Мневники города Москвы, как документ, подтверждающий исполнение судебного постановления.

Постановление может быть обжаловано в Хорошевский районный суд г. Москвы через мирового судью судебного участка № 157 района Хорошево - Мневники г. Москвы в течение десяти суток со дня вручения или получения копии постановления.

Мировой судья                                                      И.В. Ширяева  

Источник:     https://mos-sud.ru/157/cases/admin/details/fd03848d-ef6c-422a-844d-d0c95d748fa7?documentMainArticle=13.11&publishingState=0083ce0&formType=fullForm