Дело № 5-961/398/2023
УИД: 77MS0398-01-2023-002395-54
ПОСТАНОВЛЕНИЕ
по делу об административном правонарушении
16 октября 2023 года г. Москва, Голиковский пер., д. 10, стр. 1
Мировой судья судебного участка № 398 района Замоскворечье города Москвы Суслова А.Д., рассмотрев в открытом судебном заседании дело
об административном правонарушении по ч.1 ст.13.11 Кодекса Российской Федерации об административных правонарушениях (далее – КоАП РФ) в отношении ООО «Название», ОГРН _________, дата присвоения ОГРН 26.09.2002, ИНН ___________, КПП _________, место регистрации: _________________, сведений о привлечении ранее к административной ответственности материалы дела не содержат,
Установил:
29 мая 2023 года в 10 часов 30 минут по адресу: ______________ ООО «Название» осуществило обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, совершив тем самым административное правонарушение, ответственность за которое предусмотрена ч.1 ст.13.11 Кодекса Российской Федерации об административных правонарушениях.
Управлением Роскомнадзора по Центральному федеральному округу в ходе мониторинга в сети «Интернет» обнаружена информация о размещении базы данных работников, соискателей ООО «Название» в объеме: фамилия, имя, отчество, возраст, гражданство, номер телефона, вакансия, на которую претендует соискатель, статус анкета соискателя. Управлением Роскомнадзора в период с 21 августа 2023 года по 01 сентября 2023 года проведена внеплановая выездная проверка в отношении оператора, в ходе которой установлено что оператором допущены нарушения требований ч.1 ст.6, ст.7, ст.10.1 Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных» в части предоставления неправомерного доступа к ИСПДн «Название», повлекшего за собой распространение персональных данных работников, соискателей Оператора неограниченному кругу лиц путем размещения в сети Интернет по адресам: http://https://. Данные о субъектах, размещенные в сети Интернет по указанному адресу, совпадают с данными, содержащимися в ИСПДн «Название».
Таким образом, ООО «Название» допущено нарушение требований ч. 1 ст.6 ФЗ от 27.07.2006 года N152-ФЗ "О персональных данных" в части предоставления неправомерного доступа к базе данных ИСПДн «Название», содержащую персональные данные работников и соискателей Оператора.
Представитель ООО «Название» извещенный о дате, времени и месте рассмотрения дела надлежащим образом, в судебное заседание не явился, причин неявки не сообщил, об отложении слушания дела не ходатайствовал.
В силу ч.2 ст.25.1 КоАП РФ дело об административном правонарушении может быть рассмотрено в отсутствии лица в случае, если имеются данные о надлежащем извещении лица о месте и времени рассмотрения дела, и если от лица не поступило ходатайство об отложении рассмотрения дела либо если такое ходатайство оставлено без удовлетворения.
При таких обстоятельствах, учитывая, что ООО «Название» извещено надлежащим образом о судебном заседании, ходатайство об отложении рассмотрения дела в суд не поступало, мировой судья считает возможным рассмотреть дело в отсутствие ООО «Название» по имеющимся в распоряжении суда доказательствам.
В судебном заседании в качестве свидетеля допрошен ведущий специалист-эксперт Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Центральному Федеральному округу ФИО, права и обязанности, предусмотренные ст.25.6 КоАП РФ, свидетель предупрежден об ответственности за дачу заведомо ложных показаний по ст.17.9 Кодекса РФ об административных правонарушениях и по ст.17.7 Кодекса РФ об административных правонарушениях за отказ или уклонение от исполнения обязанностей, предусмотренных с. 2 ст.25.6 Кодекса РФ об административных правонарушениях, который пояснил, что работает в должности ведущего специалиста-эксперта Управления Роскомнадзора, неприязненных отношений к ООО «Название» не испытывает, повода для оговора не имеет, пояснил суду что 29 мая 2023 года ООО «Название» в Роскомнадзор были поданы уведомления о факте неправомерной передачи данных, на основании указанных уведомлений Центральным аппаратом Роскомнадзора вынесено решение о проведении внеплановой выездной проверки, было сделано два выезда. После проведения проверки 01 сентября 2023 года составлен акт проверки в отношении ООО «Название», которым зафиксировано предоставление неправомерного доступа к ИСПДн «Название», повлекшего за собой распространение персональных данных работников, соискателей Оператора неограниченному кругу лиц путем размещения в сети Интернет по адресам: http://,https://. ООО «Название» выдано предписание об устранении недостатков, которое на настоящий момент обществом не исполнено.
Суд, исследовав письменные материалы дела, приходит к выводу о том, что вина СПАО «Ингосстрах» в совершении им правонарушения, предусмотренного ч.1 ст. 13.11 КоАП РФ, подтверждается совокупностью собранных и исследованных по делу доказательств, а именно: протоколом №АП-77/09/1219 об административном правонарушении от 21 сентября 2023 года, отражающим сам факт и событие административного правонарушения, предусмотренного ч. 1 ст. 13.11 КоАП РФ (л.д. 1-5); актом внеплановой выездной проверки от 01 сентября 2023 года (л.д. 6-10); предписанием об устранении нарушения (л.д. 11-12); решением о проведении внеплановой выездной проверки от 14 августа 2023 года (л.д. 13-17); протоколом опроса в рамках внеплановой выездной проверки от 28 августа 2023 года (л.д. 18-19); протоколом выезда от 21 августа 2023 года (л.д. 20-21, 22-23); протоколом осмотра информационной системы от 28 августа 2023 года (л.д. 24-27); распечатками с сайта (л.д. 28-35); уведомлением о проведении проверки от 17 августа 2023 года (л.д. 36, 41); решением прокурора о результатах рассмотрения заявления (л.д. 37-38, 42-43); уведомлением от 29 мая 2023 года о факте случайной передачи персональных данных (л.д. 44-45, 46-47); распечатками с сайта (л.д. 48-56); справкой (л.д. 61-68); и иными материалами дела.
Достоверность и допустимость вышеуказанных доказательств у суда сомнений не вызывает, поскольку они не противоречивы и согласуются между собой, составлены в соответствии с требованиями КоАП РФ и объективно фиксируют фактические обстоятельства дела. Протокол об административном правонарушении составлен в соответствии с требованиями КоАП РФ. Права лица, в отношении которого составлен протокол, соблюдены.
Ответственность по ч.1 ст.13.11 КоАП РФ наступает за обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработку персональных данных, несовместимую с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния.
В соответствии с п. 1 ст. 3 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Согласно п. 2 ст. 3 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
В соответствии с п. 3 ст. 3 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Согласно ч. 1 ст. 6 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом.
Как установлено судом и следует из материалов дела, в Роскомнадзор от ООО «Название» поступили уведомления о факте неправомерной или случайной передачи персональных данных, повлекших нарушение прав субъектов персональных данных, от 29 мая 2023 года, дата и время выявления инцидента 29 мая 2023 года (л.д. 44-47).
Согласно указанным уведомлениям, зафиксировано предоставление неправомерного доступа к ИСПДн «Название», повлекшего за собой распространение персональных данных работников, соискателей Оператора неограниченному кругу лиц.
Протоколом осмотра от 28 августа 2023 года в рамках внеплановой выездной проверки в отношении ООО «Название» с участием представителя ООО «Название» установлено что 29 мая 2023 года по сообщениями СМИ установлен факт несанкционированного доступа к персональным данным пользователей сайта оператора, а именно к системе ИСПДн «Название» (л.д. 26).
Актом внеплановой выездной проверки от 01 сентября 2023 года, составленным Управлением Роскомнадзора в отношении ООО «Название» установлен факт предоставления неправомерного доступа к ИСПДн «Название», повлекшего за собой распространение персональных данных работников, соискателей Оператора неограниченному кругу лиц путем размещения в сети Интернет по адресам: http:/, https://. Данные о субъектах, размещенные в сети Интернет по указанному адресу, совпадают с данными, содержащимися в ИСПДн «Название», данное нарушение подтверждается данными содержащимися в ИСПДн «Название» (л.д. 6-9).
Таким образом, сам факт утечки персональных данных пользователей сервиса наименование организации является обработкой персональных данных, что в настоящем случае образует состав административного правонарушения, предусмотренного ч.1 ст. 13.11 КоАП РФ.
Объективная сторона правонарушений по ч.1 ст.13.11 КоАП РФ состоит в нарушении норм федерального законодательства, регулирующих вопросы работы с информацией о гражданах (персональными данными).
Субъективная сторона правонарушения характеризуется умыслом или неосторожностью.
С учетом изложенных обстоятельств, доводы представителя ООО «Название» об отсутствии вины ООО «Название» в передаче данных, отсутствии состава и событие правонарушения, суд отклоняет, так как имел место несанкционированный доступ со стороны неустановленных третьих лиц.
В данном случае оператор не обеспечил конфиденциальность переданной ему информации и допустил обработку (передачу) вверенной ему информации в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, при этом факт несанкционированного доступа к данным о пользователях в данном случае не имеет значения для квалификации содеянного по ч. 1 ст. 13.11 КоАП РФ.
Оценив в совокупности собранные по делу доказательства, суд признает их достоверными и достаточными для признания ООО «Название» виновным в совершении административного правонарушения, а действия ООО «Название» квалифицирует по ч. 1 ст. 13.11 КоАП РФ, как обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных.
Оснований для освобождения от административной ответственности, применения положений ст.2.9 КоАП РФ, а также переквалификации действий ООО «Название» суд не усматривает.
Обстоятельств, влекущих безусловное прекращение производства по настоящему делу - не установлено, срок давности привлечения лица, к административной ответственности за совершенное правонарушение - не истек.
Обстоятельств, смягчающих и отягчающих административную ответственность ООО «Название», судом не установлено.
При назначении наказания суд учитывает характер совершенного административного правонарушения, конкретные обстоятельства дела, имущественное и финансовое положение юридического лица, отсутствие смягчающих и отягчающих административную ответственность ООО «Название» обстоятельств, и считает необходимым назначить ООО «Название» наказание в виде административного штрафа.
На основании вышеизложенного, руководствуясь статьями 29.9-29.11 Кодекса Российской Федерации об административных правонарушениях, мировой судья
Постановил:
Признать ООО «Название» виновным в совершении административного правонарушения, предусмотренного ч. 1 ст. 13.11 Кодекса Российской Федерации об административных правонарушениях, и назначить ему наказание в виде административного штрафа в размере 60 000 (шестьдесят тысяч) рублей.
Штраф подлежит перечислению по реквизитам:
Получатель платежа: Получатель УФК по г. Москве (Департамент по обеспечению деятельности мировых судей города Москвы л/с 04732805000), ИНН: 7704236196, КПП: 770401001, ОКТМО: 45374000, Банк получателя платежа: ГУ Банка России по ЦФО//УФК по г. Москве г. Москва, БИК: 004525988, Расчетный счет: 03100643000000017300, Корреспондентский счет: 40102810545370000003, УИН: 0356140805009613982301921, КБК: 80511601133010000140, Назначение платежа: Штраф. Номер дела 05-0961/398/2023, постановление от 16.10.2023 по Ст. 13.11, Ч.1 КоАП РФ в отношении ООО "Название". Судебный участок № 398 тел.: +7(495)951-24-18, +7(495)951-24-92, +7(495)609-90-74.
Сведения об оплате штрафа (соответствующую квитанцию из банка) необходимо представить в судебный участок №398 района Замоскворечье города Москвы по адресу: г. Москва, ул. Голиковский пер, 10, стр.1, либо направить по электронной почте: mirsud398@ums-mos.ru.
Разъяснить, что в соответствии с ч. 1 ст. 32.2 КоАП РФ административный штраф должен быть уплачен в полном размере лицом, привлеченным к административной ответственности, не позднее шестидесяти дней со дня вступления постановления о наложении административного штрафа в законную силу. При невыполнении указанных действий административный штраф взыскивается принудительно, а лицо, не уплатившее штраф, привлекается к административной ответственности по ч. 1 ст. 20.25 КоАП РФ.
Постановление может быть обжаловано в Замоскворецкий районный суд города Москвы через мирового судью судебного участка № 398 района Замоскворечье города Москвы в течение 10 суток со дня вручения или получения копии постановления.
Мировой судья А.Д. Суслова
Источник: https://mos-sud.ru/398/cases/admin/details/6106b190-9b65-4ac9-9009-b61edb847b3f?documentMainArticle=13.11&publishingState=0083ce0&formType=fullForm
Неожиданные решения
Часть 1 статьи 13.11 Кодекса РФ об АП
категорий:
Размещение фото на сайте медицинского центра
Обработка персональных данных субъекта без его согласия в письменной форме
Письменная форма согласия работника не соответствует ч.4 ст.9 ФЗ "О персональных данных"
Формирование квитанции с указанием персональных данных в отсутствие договорных отношений
Открытие счета в банке на имя субъекта третьим лицом
Хранение документов, содержащих персональные данные, на территории двора, свободного для посещения
На официальном сайте учреждения в разделе «вопрос-ответ» размещены персональные данные заявителей
Отсутствие на сайте документов, определяющих политику
Неправомерный доступ к информационным системам персональных данных
В деятельности администрации выявлены нарушения
Нарушение нескольких статей федерального закона "О персональных данных"
Оформление договора купли-продажи сим-карты без согласия субъекта