Дело № 5-961/398/2023

УИД: 77MS0398-01-2023-002395-54

ПОСТАНОВЛЕНИЕ

по делу об административном правонарушении

16 октября 2023 года                                                 г. Москва, Голиковский пер., д. 10, стр. 1

Мировой судья судебного участка № 398 района Замоскворечье города Москвы Суслова А.Д., рассмотрев в открытом судебном заседании дело
об административном правонарушении по ч.1 ст.13.11 Кодекса Российской Федерации об административных правонарушениях (далее – КоАП РФ) в отношении ООО «Название», ОГРН _________, дата присвоения ОГРН 26.09.2002, ИНН ___________,   КПП _________, место регистрации: _________________, сведений о привлечении ранее к административной ответственности материалы дела не содержат,

Установил:

  29 мая 2023 года в 10 часов 30 минут по адресу: ______________ ООО «Название» осуществило обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, совершив тем самым административное правонарушение, ответственность за которое предусмотрена ч.1 ст.13.11 Кодекса Российской Федерации об административных правонарушениях.

  Управлением Роскомнадзора по Центральному федеральному округу в ходе мониторинга в сети «Интернет» обнаружена информация о размещении базы данных работников, соискателей ООО «Название» в объеме: фамилия, имя, отчество, возраст, гражданство, номер телефона, вакансия, на которую претендует соискатель, статус анкета соискателя. Управлением Роскомнадзора в период с 21 августа 2023 года по  01 сентября 2023 года проведена внеплановая выездная проверка в отношении оператора, в ходе которой установлено что оператором допущены нарушения требований ч.1 ст.6, ст.7, ст.10.1 Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных» в части предоставления неправомерного доступа к ИСПДн «Название», повлекшего за собой распространение персональных данных работников, соискателей Оператора неограниченному кругу лиц путем размещения в сети Интернет по адресам: http://https://.  Данные о субъектах, размещенные в сети Интернет по указанному адресу, совпадают с данными, содержащимися в ИСПДн «Название».

  Таким образом, ООО «Название» допущено нарушение требований ч. 1 ст.6 ФЗ от 27.07.2006 года N152-ФЗ "О персональных данных" в части предоставления неправомерного доступа к базе данных ИСПДн «Название», содержащую персональные данные работников и соискателей Оператора.

  Представитель ООО «Название» извещенный о дате, времени и месте рассмотрения дела надлежащим образом, в судебное заседание не явился, причин неявки не сообщил, об отложении слушания дела не ходатайствовал.

 В силу ч.2 ст.25.1 КоАП РФ дело об административном правонарушении может быть рассмотрено в отсутствии лица в случае, если имеются данные о надлежащем извещении лица о месте и времени рассмотрения дела, и если от лица не поступило ходатайство об отложении рассмотрения дела либо если такое ходатайство оставлено без удовлетворения.

  При таких обстоятельствах, учитывая, что ООО «Название» извещено надлежащим образом о судебном заседании, ходатайство об отложении рассмотрения дела в суд не поступало, мировой судья считает возможным рассмотреть дело в отсутствие ООО «Название» по имеющимся в распоряжении суда доказательствам.

  В судебном заседании в качестве свидетеля допрошен ведущий специалист-эксперт Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Центральному Федеральному округу ФИО, права и обязанности, предусмотренные ст.25.6 КоАП РФ, свидетель предупрежден об ответственности за дачу заведомо ложных показаний по ст.17.9 Кодекса РФ об административных правонарушениях и по ст.17.7 Кодекса РФ об административных правонарушениях за отказ или уклонение от исполнения обязанностей, предусмотренных с. 2 ст.25.6 Кодекса РФ об административных правонарушениях, который пояснил, что работает в должности ведущего специалиста-эксперта Управления Роскомнадзора,  неприязненных отношений к ООО «Название» не испытывает, повода для оговора не имеет, пояснил суду что 29 мая 2023 года ООО «Название» в Роскомнадзор были поданы уведомления о факте неправомерной передачи данных, на основании указанных уведомлений Центральным аппаратом Роскомнадзора вынесено решение о проведении внеплановой выездной проверки, было сделано два выезда. После проведения проверки 01 сентября 2023 года составлен акт проверки в отношении ООО «Название», которым зафиксировано предоставление неправомерного доступа к ИСПДн «Название», повлекшего за собой распространение персональных данных работников, соискателей Оператора неограниченному кругу лиц путем размещения в сети Интернет по адресам: http://,https://. ООО «Название» выдано предписание об устранении недостатков, которое на настоящий момент обществом не исполнено.     

 Суд, исследовав письменные материалы дела, приходит к выводу о том, что вина  СПАО «Ингосстрах» в совершении им правонарушения, предусмотренного ч.1 ст. 13.11 КоАП РФ, подтверждается совокупностью собранных и исследованных по делу доказательств, а именно: протоколом №АП-77/09/1219 об административном правонарушении от 21 сентября 2023 года, отражающим сам факт и событие административного правонарушения, предусмотренного ч. 1 ст. 13.11 КоАП РФ (л.д. 1-5); актом внеплановой выездной проверки от 01 сентября 2023 года (л.д. 6-10); предписанием об устранении нарушения (л.д. 11-12); решением о проведении внеплановой выездной проверки от 14 августа 2023 года (л.д. 13-17); протоколом опроса в рамках внеплановой выездной проверки от 28 августа 2023 года (л.д. 18-19); протоколом выезда от 21 августа 2023 года (л.д. 20-21, 22-23); протоколом осмотра информационной системы от 28 августа 2023 года (л.д. 24-27); распечатками с сайта (л.д. 28-35); уведомлением о проведении проверки от 17 августа 2023 года (л.д. 36, 41); решением прокурора о результатах рассмотрения заявления (л.д. 37-38, 42-43);  уведомлением от 29 мая 2023 года о факте случайной передачи персональных данных (л.д. 44-45, 46-47); распечатками с сайта (л.д. 48-56); справкой (л.д. 61-68); и иными материалами дела.

Достоверность и допустимость вышеуказанных доказательств у суда сомнений не вызывает, поскольку они не противоречивы и согласуются между собой, составлены в соответствии с требованиями КоАП РФ и объективно фиксируют фактические обстоятельства дела. Протокол об административном правонарушении составлен в соответствии с требованиями КоАП РФ. Права лица, в отношении которого составлен протокол, соблюдены.

Ответственность по ч.1 ст.13.11 КоАП РФ наступает за обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработку персональных данных, несовместимую с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния.

В соответствии с п. 1 ст. 3 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Согласно п. 2 ст. 3 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»  оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

В соответствии с п. 3 ст. 3 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»  обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Согласно ч. 1 ст. 6 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом.

Как установлено судом и следует из материалов дела, в Роскомнадзор от ООО «Название» поступили уведомления о факте неправомерной или случайной передачи персональных данных, повлекших нарушение прав субъектов персональных данных, от 29 мая 2023 года, дата и время выявления инцидента 29 мая 2023 года (л.д. 44-47). 

Согласно указанным уведомлениям, зафиксировано предоставление неправомерного доступа к ИСПДн «Название», повлекшего за собой распространение персональных данных работников, соискателей Оператора неограниченному кругу лиц.

Протоколом осмотра от 28 августа 2023 года в рамках внеплановой выездной проверки в отношении ООО «Название» с участием представителя ООО «Название» установлено что 29 мая 2023 года по сообщениями СМИ установлен факт несанкционированного доступа к персональным данным пользователей сайта оператора, а именно к системе  ИСПДн «Название» (л.д. 26).

Актом  внеплановой выездной проверки от 01 сентября 2023 года, составленным Управлением Роскомнадзора в отношении ООО «Название» установлен факт предоставления неправомерного доступа к ИСПДн «Название», повлекшего за собой распространение персональных данных работников, соискателей Оператора неограниченному кругу лиц путем размещения в сети Интернет по адресам: http:/, https://.  Данные о субъектах, размещенные в сети Интернет по указанному адресу, совпадают с данными, содержащимися в ИСПДн «Название», данное нарушение подтверждается данными содержащимися в ИСПДн «Название» (л.д. 6-9).

Таким образом, сам факт утечки персональных данных пользователей сервиса наименование организации является обработкой персональных данных, что в настоящем случае образует состав административного правонарушения, предусмотренного ч.1 ст. 13.11 КоАП РФ.

Объективная сторона правонарушений по ч.1 ст.13.11 КоАП РФ состоит в нарушении норм федерального законодательства, регулирующих вопросы работы с информацией о гражданах (персональными данными).

Субъективная сторона правонарушения характеризуется умыслом или неосторожностью.

С учетом изложенных обстоятельств, доводы представителя ООО «Название» об отсутствии вины ООО «Название» в передаче данных,  отсутствии состава и событие правонарушения, суд отклоняет, так как имел место несанкционированный доступ со стороны неустановленных третьих лиц.

В данном случае оператор не обеспечил конфиденциальность переданной ему информации и допустил обработку (передачу) вверенной ему информации в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, при этом факт несанкционированного доступа к данным о пользователях в данном случае не имеет значения для квалификации содеянного по ч. 1 ст. 13.11 КоАП РФ.

Оценив в совокупности собранные по делу доказательства, суд признает их достоверными и достаточными для признания ООО «Название» виновным в совершении административного правонарушения, а  действия ООО «Название»  квалифицирует по ч. 1 ст. 13.11 КоАП РФ, как обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных.

Оснований для освобождения от административной ответственности, применения положений ст.2.9 КоАП РФ, а также переквалификации действий ООО «Название» суд не усматривает.

Обстоятельств, влекущих безусловное прекращение производства по настоящему делу - не установлено, срок давности привлечения лица, к административной ответственности за совершенное правонарушение - не истек.

Обстоятельств, смягчающих и отягчающих административную ответственность  ООО «Название», судом не установлено.

При назначении наказания суд учитывает характер совершенного административного правонарушения, конкретные обстоятельства дела, имущественное и финансовое положение юридического лица, отсутствие смягчающих и отягчающих административную ответственность  ООО «Название» обстоятельств, и считает необходимым назначить ООО «Название» наказание в виде административного штрафа.

На основании вышеизложенного, руководствуясь статьями 29.9-29.11 Кодекса Российской Федерации об административных правонарушениях, мировой судья

Постановил:

Признать ООО «Название»  виновным в совершении административного правонарушения, предусмотренного ч. 1 ст. 13.11 Кодекса Российской Федерации об административных правонарушениях, и назначить ему наказание в виде административного штрафа в размере 60 000 (шестьдесят тысяч) рублей.

Штраф подлежит перечислению по реквизитам:

Получатель платежа: Получатель УФК по г. Москве  (Департамент по обеспечению деятельности мировых судей города Москвы л/с 04732805000), ИНН: 7704236196, КПП: 770401001, ОКТМО: 45374000, Банк получателя платежа: ГУ Банка России по ЦФО//УФК по г. Москве г. Москва, БИК: 004525988, Расчетный счет: 03100643000000017300, Корреспондентский счет: 40102810545370000003, УИН: 0356140805009613982301921, КБК: 80511601133010000140, Назначение платежа: Штраф. Номер дела 05-0961/398/2023, постановление от 16.10.2023 по Ст. 13.11, Ч.1 КоАП РФ в отношении ООО "Название". Судебный участок № 398 тел.: +7(495)951-24-18, +7(495)951-24-92, +7(495)609-90-74.

Сведения об оплате штрафа (соответствующую квитанцию из банка) необходимо представить в судебный участок №398 района Замоскворечье города Москвы по адресу: г. Москва, ул. Голиковский пер, 10, стр.1, либо направить по электронной почте: mirsud398@ums-mos.ru.

Разъяснить, что в соответствии с ч. 1 ст. 32.2 КоАП РФ административный штраф должен быть уплачен в полном размере лицом, привлеченным к административной ответственности, не позднее шестидесяти дней со дня вступления постановления о наложении административного штрафа в законную силу. При невыполнении указанных действий административный штраф взыскивается принудительно, а лицо, не уплатившее штраф, привлекается к административной ответственности по ч. 1 ст. 20.25 КоАП РФ.

Постановление может быть обжаловано в Замоскворецкий районный суд города Москвы через мирового судью судебного участка № 398 района Замоскворечье города Москвы в течение 10 суток со дня вручения или получения копии постановления.

Мировой судья                                                         А.Д. Суслова

Источник: https://mos-sud.ru/398/cases/admin/details/6106b190-9b65-4ac9-9009-b61edb847b3f?documentMainArticle=13.11&publishingState=0083ce0&formType=fullForm