Судебная практика

Уникальный идентификатор дела 77MS0425-01-2022-003815-70

Дело № 5-1728/2022

ПОСТАНОВЛЕНИЕ

 

город Москва                                                 12 декабря 2022 года

 

Резолютивная часть постановления объявлена 12 декабря 2022 года

         Полный текст постановления изготовлен 12 декабря 2022 года

 

Мировой судья судебного участка № 425 района Хамовники города Москвы (гор. Москва, Шелепихинское шоссе, д. 3, стр. 2) Пожиловский В.В., рассмотрев в открытом судебном заседании дело об административном правонарушении, предусмотренном ч. 1 ст. 13.11 Кодекса РФ об административных правонарушениях, в отношении юридического лица:

Наименование, ***, ранее не привлекавшегося к административной ответственности за административные правонарушения в области связи и информации

 

УСТАНОВИЛ:

"Наименование" допустило обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, при следующих обстоятельствах.

Управлением Роскомнадзора по Центральному федеральному округ в период с 18.10.2022 по 31.12.2022 была проведена внеплановая документарная проверка в отношении "Наименование" с целью исполнения поручения Заместителя предателя Правительства Российской Федерации от 12.10.2022 № ДЧ-П10-17250. По результатам внеплановой документарной проверки было выявлено, что "Наименование" допущено нарушение требований ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Закон) в части предоставления неправомерного доступа к информационным системам персональных данных (далее - ИСПДн) "Наименование", повлекшего за собой распространение персональных данных пользователей сервиса "Название" неограниченному кругу лиц путем их размещения на сайте в сети Интернет по адресу***, ***.

В сети «Интернет» по адресу ***, *** была обнаружена информация о размещении баз данных пользователей сервиса "Название".

По результатам анализа фрагментов указанной базы данных пользователей сервиса "Название" установлено наличие персональных данных в объеме: имя пользователя; электронная почта; имя; фамилия.

В рамках документарной проверки Оператором представлен Перечень персональных данных, обрабатываемых Оператором в информационных системах персональных данных и без использования средств автоматизации, утвержденный приказом директора "Наименование" от 18.10.2022.

Согласно вышеуказанному перечню персональных данных Оператором для обработки персональных данных такой категории субъектов, как пользователи сервиса Название, используется ИСПДн «Пользователи».

По результатам сопоставления информации, размещенной в сети интернет по адресу ***, *** и осмотра ИСПДн «Пользователи» (что подтверждается представленными скриншотами Оператором из ИСПДн «Пользователи»), было выявлено следующее.

Данные о субъектах, размещенные в сети Интернет по адресу ***, ***совпадают с данными, содержащимися в ИСПДн «Пользователи».

Данное нарушение подтверждается снимками экрана ИСПДн «Пользователи», отображающими сведения о следующих пользователях: ***, ***, ***, ***, ***.

Кроме того, в рамках внеплановой выездной проверки получены письменные объяснения Оператора по факту несанкционированного доступа к персональным данным пользователей сервиса "Название" (представлено письмо Оператора от 18.10.2022 № 2237786).

Согласно представленной информации службой информационной безопасности Оператора в рамках комплекса мероприятий по мониторингу подозрительных активностей в базах данных "Название" 14.06.2022 установлен несанкционированный доступ к персональным данным пользователей сервиса "Название".

По результатам проведения проверки Управлением установлено, что правовые основания предоставления доступа к информационным системам персональных данных "Наименование", повлекшего за собой распространение персональных данных пользователей сервиса "Название" неограниченному кругу лиц путем их размещения на сайте в сети Интернет по адресу ***, *** у "Наименование" отсутствуют.

Таким образом, "Наименование" допущено административное правонарушение, ответственность за которое установлена ч. 1 ст. 13.11 КоАП РФ.

Датой совершения выявленного правонарушения является дата обнаружения факта утечки персональных данных пользователей сервиса "Название".

Согласно письменным объяснениям от 18.10.2022 № 2237786, приложение 16, представленными в рамках внеплановой проверки, дата обнаружения Оператором факта утечки персональных данных пользователей сервиса "Название" 14.06.2022.

Защитники "Наименование" по доверенности ФИО и ФИО в судебное заседание явились, представили письменные пояснения по делу, указав, что должностным лицом не представлены доказательства вины "Наименование" в совершении правонарушения, предусмотренного ч. 1 ст. 13.11 КоАП РФ, поскольку имел место факт несанкционированного доступа персональных данных через аккаунт пользователя. Несмотря на все предпринимаемые меры со стороны "Наименование", злоумышленники смогли подобрать логин и пароль пользователя, а затем скачали персональные данные и разместили их на интернет ресурсах. Учитывая вышеуказанные обстоятельства, в действиях "Наименование" отсутствует состав и событие административного правонарушения, ввиду чего просили прекратить производство по делу.

В ходе судебного заседания в качестве свидетеля был допрошен главный специалист-эксперт отдела по защите прав субъектов персональных данных Управления Роскомнадзора по ЦФО Ц. В.А., который показал, что в рамках проведенной проверки в отношении "Наименование" было выявлено нарушение _____ требований ч. 1 ст. 6 Федерального закона «О персональных данных» в части распространения персональных данных пользователей сервиса "Название" неограниченному кругу лиц на сторонних сайтах, указанных в протоколе. В объяснениях АНО указало, что имел место несанкционированный доступ к персональным данным пользователей, в результате чего произошла утечка данных. Учитывая, что обязанность по защите персональных данных возложена на оператора персональных данных, в данном случае все возможные меры по защите персональных данных выполнены не были, Ц. В.А. составил в отношении "Наименование" протокол об административном правонарушении по ч. 1 ст. 13.11 КоАП РФ. 

Представитель Управления Роскомнадзора по ЦФО по доверенности С. В.А. в  судебном заседании пояснил, что административным органом путем мониторинга был выявлен факт размещения персональных данных пользователей сервиса Название. При сопоставлении данных на сторонних сайтах и данных, предоставленных Наименование в рамках проводимой проверки было установлено, что данные пользователей полностью совпадают. Учитывая, что оператор не принял достаточных мер по защите персональных данных, вследствие чего обнаружены персональные данные пользователей на сторонних ресурсах, органом был составлен протокол об административном правонарушении по ч. 1 ст. 13.11 КоАП РФ.

Суд, выслушав защитников Наименование ФИО и ФИО1, представителя Роскомнадзора С. В.А., допросив в качестве свидетеля главного специалиста-эксперта отдела по защите прав субъектов персональных данных Управления Роскомнадзора по ЦФО Ц. В.А., исследовав письменные материалы дела, считает, что вина "Наименование" в совершении административного правонарушения, предусмотренного ч. 1 ст. 13.11 Кодекса РФ об административных правонарушениях установлена в судебном заседании и объективно подтверждается совокупностью собранных по делу доказательств:

- протоколом об административном правонарушении № АП-77/08/1314 от 10.11.2022 (л.д. 2-6);

- актом внеплановой документарной проверки Наименование от 31.10.2022 (л.д. 7-11);

- предписанием от 31.10.2022 (л.д. 1213);

- справкой о результатах документарной проверки Наименование на соответствие обработки персональных данных требованиям законодательства РФ о персональных данных (л.д. 14-19);

- решением о проведении документарной проверки Наименование от 14.10.2022 (л.д. 20-22);

- перечнем персональных данных, обрабатываемых Наименование в информационных системах персональных данных средств автоматизации (л.д. 23-44);

- скриншотом с сайта Название (л.д. 45-54);

- запросом Управления Роскомнадзора по ЦФО в Наименование о предоставлении информации (л.д. 57-58);

-скриншотом (л.д. 59-60);

- сведениями ЕГРЮЛ Наименование (л.д. 61-68).

Оценивая собранные по делу доказательства в их совокупности, их достоверность, допустимость и достаточность сомнений у суда не вызывает, поскольку они непротиворечивы, согласуются между собой и соответствуют фактическим обстоятельствам дела.

Частью 1 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях предусмотрена административная ответственность за обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи и статьей 17.13 настоящего Кодекса, если эти действия не содержат уголовно наказуемого деяния.

Из части 1 статьи 24 Конституции Российской Федерации следует, что сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.

В силу ст.3 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» в целях настоящего Федерального закона используются следующие основные понятия:

1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

3) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

5) распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

В силу ч.1 ст.6  Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается, в случаях предусмотренных ч. 1 ст. 6 названного закона.

Согласно ч. 1 ст. 19 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

В силу приведённых положений обработка персональных данных включает в себя передачу (распространение, предоставление, доступ) персональных данных.

Из материалов дела следует, что сведения о пользователях "Наименование" стали доступны в информационно-коммуникационной сети Интернет неопределенному кругу лиц. Данный факт не оспаривался в ходе рассмотрения дела защитниками лица, привлекаемого к административной ответственности.

Доводы защитников о том, что вины Организации в передаче данных пользователей не имеется, так как имел место несанкционированный доступ со стороны неустановленных третьих лиц, ввиду чего отсутствует состав и событие правонарушения, суд не может принять во внимание, поскольку в данном случае оператор не обеспечил конфиденциальность переданной ему информации и допустил обработку (передачу) вверенной ему информации в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, при этом факт несанкционированного доступа к данным о пользователях в данном случае не имеет значения для квалификации содеянного по ч. 1 ст. 13.11 КоАП РФ.

Кроме того, суд обращает внимание, что достоверных и достаточных доказательств, подтверждающих несанкционированный доступ третьих лиц о пользователях сервиса "Название", за исключением письменных объяснений, суду не представлено.   

При таких обстоятельствах, суд приходит к выводу о том, что "Наименование" допустило обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных,  в связи с чем, действия юридического лица подлежат квалификации по ч. 1  ст. 13.11 Кодекса Российской Федерации об административных правонарушениях.

Обстоятельств, отягчающих и смягчающих административную ответственность Наименование, судом не установлено.

Оснований для применения положений ст. 2.9, ч. 4 ст. 2.1, ч. 3.2 ст. 4.1 Кодекса РФ об административных правонарушениях, не имеется.

При назначении наказания мировой судья учитывает характер совершенного административного правонарушения, имущественное и финансовое положение юридического лица, и считает возможным назначить наказание в виде штрафа.

На основании изложенного, руководствуясь ст.ст. 29.9-29.11 КоАП РФ,

ПОСТАНОВИЛ:

Признать "Наименование" виновным в совершении административного правонарушения, предусмотренного ч. 1 ст. 13.11 Кодекса РФ об административных правонарушениях и назначить административное наказание в виде штрафа в размере 60 000 (Шестидесяти тысяч) рублей.

Разъяснить, что в соответствии со статьей 32.2 Кодекса РФ об административных правонарушениях административный штраф должен быть уплачен лицом, привлеченным к административной ответственности, не позднее шестидесяти дней со дня вступления постановления о наложении административного штрафа в законную силу либо со дня истечения срока отсрочки или срока рассрочки, предусмотренных статьей 31.5 КоАП РФ.

В подтверждение оплаты административного штрафа платежное поручение (квитанция) должно быть представлено в судебный участок № 425 района Хамовники гор. Москвы по адресу: гор. Москва, Шелепихинское шоссе, д. 3, стр. 2, или направить на адрес электронной почты: mirsud425@ums-mos.ru, до истечения указанного срока.

 

Реквизиты для оплаты штрафа:

Получатель платежа: Получатель УФК по г. Москве  (Департамент по обеспечению деятельности мировых судей города Москвы л/с 04732805000), ИНН: 7704236196, КПП: 770401001, ОКТМО: 45374000, Банк получателя платежа: ГУ Банка России по ЦФО//УФК по г. Москве г. Москва, БИК: 004525988, Расчетный счет: 03100643000000017300, Корреспондентский счет: 40102810545370000003, УИН: 0356140805017284252209409, КБК: 80511601133010000140, Назначение платежа: Штраф. Номер дела 05-1728/425/2022, постановление от 12.12.2022 по Ст. 13.11, Ч.1 КоАП РФ в отношении АНО ДПО "ОБРАЗОВАТЕЛЬНЫЕ ТЕХНОЛОГИИ ЯНДЕКСА". Судебный участок № 425 тел.: +7(499)256-49-32.

 

Постановление может быть обжаловано в Хамовнический районный суд гор. Москвы в течение 10 суток со дня вручения или получения копии постановления через мирового судью.

 

  

   Мировой судья                                                  В.В. Пожиловский

 Источник: https://mos-sud.ru/425/cases/admin/details/b0b600f3-413b-4daf-bab3-61e141f57c38?formType=fullForm&caseNumber=&participant=АНО+ДПО+%22Образовательные+технологии+Яндекса%22&uid=&year=&caseDateFrom=&caseDateTo=&caseFinalDateFrom=&caseFinalDateTo=&judge=&codex=13.11&publishingState=&hearingRangeDateFrom=&hearingRangeDateTo=&sessionRoom=&sessionRangeTimeFrom=&sessionRangeTimeTo=&sessionType=&docsDateFrom=&docsDateTo=&documentStatus=&documentType= 

Информация по делу
Статьи
ч.1 ст.13.11 КоАП РФ
Суд
Мировой судья судебного участка № 425 района Хамовники города Москвы
Судья
Пожиловский В.В.
Дата решения
2022-12-12
Категории
Сайт
Распространение
Часть 1 статьи 13.11 Кодекса РФ об АП
Другие дела из подобных
категорий:

Распространение на сайте медицинской организации персональных данных работников без их согласия

Незаконная обработка персональных данных субъекта посредством направления смс-сообщений с предложением об оформлении кредита

Ответственным должностным лицом не приняты меры по опубликованию или обеспечению неограниченного доступа к документу, определяющему политику в отношении обработки персональных данных

Размещение на сайте муниципального органа персональных данных субъекта в объеме большем, чем установлено законодательством

Размещение на стенде протокола совещания, содержащего сведения о заболеваниях работников

Размещение реестра собственников дома на сайте

Размещение на доске почета персональных данных без согласия

На официальном сайте отсутствует информация, регламентирующая работу образовательного учреждения с персональными данными (не размещен документ, определяющий политику в отношении обработки персональных данных), а также сведения о реализуемых требованиях к защите персональных данных

Неуведомление Роскомнадзора об обработке персональных данных

Размещение фотографии в социальной сети "ВКонтакте"

Обработка персональных данных собственников МКД без их согласия

Опубликование в мессенджере выписки из ЕГРН

Осуществление звонка на мобильный телефон при наличии заявления о прекращении обработки персональных данных и звонков с коммерческими предложениями

Предоставление прокурору копий документов, содержащих персональные данные

Распространение персональных данных субъекта путём размещения на официальном интернет-сайте