Решение по административному делу

            Дело № 5-1/2023

ПОСТАНОВЛЕНИЕ

о назначении административного наказания

г. Йошкар-Ола                                                    12 января 2023 года

 И.о. мирового судьи судебного участка №9 Йошкар-Олинского судебного района Республики Марий Эл - мировой судья судебного участка № 7 Йошкар-Олинского судебного района Республики Марий Эл Геройменко Н.А., рассмотрев в открытом судебном заседании материалы дела об административном правонарушении, предусмотренном ч.1 ст.13.11 Кодекса Российской Федерации об административных правонарушениях, в отношении Публичного акционерного общества «ТНС энерго Марий Эл», <ОБЕЗЛИЧЕНО>, 

УСТАНОВИЛ:

 Публичное акционерное общество «ТНС энерго Марий Эл» (далее - ПАО «ТНС энерго Марий Эл») 25 июля 2022 года по адресу: Республика
Марий Эл, г.Йошкар-Ола, ул.Йывана Кырли, д.21 В, допустило обработку  персональных данных, предоставив неправомерный доступ к информационным системам персональных данных ПАО «ТНС энерго Марий Эл», что повлекло за собой распространение персональных данных клиентов ПАО «ТНС энерго Марий Эл», таких как адрес электронной почты, ИНН, неограниченному кругу лиц путем их размещения в сети интернет по адресам № _, нарушив требования ч.1 ст.6 Федерального закона от 27 июля 2006 года №152 ФЗ «О персональных данных».

 Представитель Управления Роскомнадзора по Приволжскому федеральному округу <ФИО1>, лицо, составившее протокол об административном правонарушении <ФИО2> поддержали протокол об административном правонарушении по изложенным в нем основаниям, указав на наличие в действиях ПАО «ТНС энерго Марий Эл» события и состава административного правонарушения, на доказанность вины в его совершении. Пояснили, что адрес электронной  почты, ИНН относятся к персональным данным, обратив внимание на порядок и условия получения адреса электронной почты, предполагающий регистрацию с участием физического лица, невозможность получения адреса электронной почты, идентичного ранее полученному другим пользователем. Уникальные имена пользователей электронной почты, такие как № и другие, содержат указание на имя, фамилию, год рождения физического лица, которые совпадают с именем, фамилией пользователя услуг. В рамках проведения проверки  был представлен договор возмездного оказания услуг, заключенный между ПАО «ТНС энерго Марий Эл» и ООО «Медиа Страйк», в соответствии с п.2.1.6 указанного договора заказчик поручает и оплачивает, а исполнитель обязуется оказать заказчику работы, услуги по технической поддержке и хостингу сайта, оболочек личных кабинетов физических и юридических лиц, системы обработки обращений, сайтов сервисных услуг, что свидетельствует о том, что действия ООО «Медиа Страйк» являются действиями по обработке персональных данных, а именно их хранению, что является поручением  по обработке персональных данных, при этом ответственность за действия указанного лица перед субъектом несет оператор, осуществляющий обработку персональных данных, на которого возложена ответственность за нарушение порядка и условий обработки персональных данных.

 В судебных заседаниях представители ПАО «ТНС энерго Марий Эл»  ФИО, ФИО пояснили, что не признают вину Общества в совершении вменяемого административного правонарушения в связи с тем, что неустановленные лица осуществили  неправомерный доступ к электронному ресурсу ПАО ГК «ТНС энерго», в состав которого входит ПАО «ТНС энерго Марий Эл», действия неустановленными лицами осуществлялись  без ведома и согласия ПАО «ТНС энерго Марий Эл». Между ПАО «ТНС энерго Марий Эл» и ООО «Медиа Страйк» заключен договор  возмездного оказания услуг <НОМЕР> от 28 апреля 2022 года по обеспечению работ, услуг по технической поддержке и хостингу сайта, оболочек личных кабинетов физических и юридических лиц, системы обработки обращений, сайтов, сервисных услуг. При неправомерном  доступе к электронному ресурсу ПАО ГК «ТНС энерго» были получены данные для доступа на ресурс ПАО «ТНС энерго Марий Эл», владельцем и администратором которого является ООО «Медиа Страйк». ПАО «ТНС энерго Марий Эл» не совершено действий, которые могли бы нарушить требования закона, обработка персональных данных осуществляется на законных основаниях. Предоставление доступа к информационным системам  персональных данных не является  обработкой персональных данных. Адрес электронной почты, ИНН без иных данных не позволяют без дополнительных сведений идентифицировать субъекта персональных данных. Указанные обстоятельства свидетельствует об отсутствии в действиях ПАО «ТНС энерго Марий Эл» события и состава административного правонарушения. Кроме того, ПАО «ТНС энерго Марий Эл» предприняты все необходимые меры для прекращения распространения информации, попавшей в открытый доступ, а именно информация  о хакерской атаке была незамедлительно передана ПАО ГК «ТНС энерго» в Национальный Координационный центр по компьютерным инцидентам, направлено обращение в ГУ МВД России по г.Москве, проводятся координационные мероприятия с ООО «Медиа Страйк» в целях предотвращения атак на электронные ресурсы, производится смена паролей пользователей,  проведена закупка межсетевого экрана с функцией  средства обнаружения вторжений, между ПАО «ТНС энерго Марий Эл» и ООО «КСБ-СОФТ» заключен договор о передаче неисключительных пользовательских прав на программы для ЭВМ и поставке средств защиты информации, ежемесячно проводится проверка нелегитимных изменений в состоянии доменных учетных записей. В случае, если суд усмотрит состав и событие административного правонарушения просили признать его малозначительным или заменить  наказание в виде административного штрафа предупреждением.

 Выслушав представителя Управления Роскомнадзора по Приволжскому федеральному округу <ФИО1>, лицо, составившее протокол об административном правонарушении <ФИО2>, представителей ПАО «ТНС энерго Марий Эл» ФИО, ФИО1, исследовав материалы дела, мировой судья приходит к следующему.

 В соответствии с ч.1 ст.13.11 КоАП РФ обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи и статьей 17.13 настоящего Кодекса, если эти действия не содержат уголовно наказуемого деяния, влечет наложение административного штрафа на граждан в размере от двух тысяч до шести тысяч рублей; на должностных лиц - от десяти тысяч до двадцати тысяч рублей; на юридических лиц - от шестидесяти тысяч до ста тысяч рублей.

 В соответствии с п. 1 ст. 3 Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных» персональные данные- любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3).

 Условия, допускающие обработку персональных данных, закреплены в ч.1 ст.6 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».

 Мировым судьей установлено, что Управлением Роскомнадзора по Приволжскому федеральному округу в период с 18 октября 2022 года по 1 ноября 2022 года была проведена внеплановая документарная проверка в отношении ПАО «ТНС энерго Марий Эл» с целью исполнения  поручения Заместителя Председателя Правительства Российской Федерации от 12 октября 2022 года <НОМЕР>  о проведении контрольно-надзорного мероприятия по факту неправомерного доступа неограниченного круга лиц к персональным данным клиентов ПАО «ТНС энерго Марий Эл», что подтверждается решением о проведении внеплановой документарной проверки ПАО «ТНС энерго Марий Эл» от 14 октября 2022 года

 Согласно акту внеплановой документарной проверки от 1 ноября 2022 года <НОМЕР> в ходе проверки установлено, что в сети «Интернет» по адресам № обнаружена информация о продаже данных клиентов ПАО «ТНС энерго Марий Эл», а именно адреса электронной почты и ИНН.

 В рамках проведения проверки ПАО «ТНС энерго Марий Эл» представлен Перечень персональных данных, обрабатываемых в ПАО «ТНС энерго Марий Эл», утвержденный приказом директора от 21 мая 2019 года <НОМЕР>, согласно которому для обработки персональных данных клиентов  используется ИСПДн «Расчеты с потребителями», в состав которой входят программный комплекс «СТЕК-Энерго ЮЛ» и программный комплекс «СТЕК-Энерго ФЛ».

 Данные о субъектах, размещенные в сети «Интернет» по адресам <НОМЕР>, совпадают с данными, содержащимися в ИСПДн «Расчеты с потребителями».

 Доводы представителей ПАО «ТНС энерго Марий Эл» о том, что совокупность информации, размещенной в сети «Интернет» по адресам <Номер >, не позволяет отнести ее к персональным данным, относящимся к определенному физическому лицу, мировой судья признает находит несостоятельными. Согласно письму Минкомсвязи России от 7 июля 2017 года №П11-15054-ОГ «О разъяснении норм федерального законодательства» адреса электронной почты могут быть признаны персональными данными в случаях, когда такая информация относится к прямо или косвенно определенному или определяемому физическому лицу.

 Принимая во внимание, что порядок и условия присвоения адреса электронной почты, которые не предполагают наличие возможности получения адреса электронной почты, идентичного, ранее полученному другим пользователем, а также то, что ИНН относится  к числу идентификаторов, который сам по себе однозначно определяет физическое лицо, адрес электронной почты и ИНН являются уникальными идентификаторами физического лица и являются персональными данными, позволяющими идентифицировать  конкретное физическое лицо.

 Согласно п. 2 ст. 3 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» оператором является государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

 Таким образом, ПАО «ТНС энерго Марий Эл» является оператором, осуществляющим обработку персональных данных.

 В соответствии с ч.1 ст.18.1 Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных» оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами.

 Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных (ч.1 ст.19 Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных»).

 Правовых оснований для обработки персональных данных, выразившейся в предоставлении неправомерного доступа к информационным системам персональных данных путем их размещения в сети «Интернет» по адресам <НОМЕР> у ПАО «ТНС энерго Марий Эл» не имелось.

 Фактические обстоятельства административного правонарушения и вина и вина ПАО «ТНС энерго Марий Эл» в его совершении подтверждаются совокупностью собранных и исследованных судом доказательств, отвечающих принципам относимости, допустимости и достаточности, а именно: копией решения о проведении внеплановой документарной проверки ПАО «ТНС энерго Марий Эл» от 14 октября 2022 года, копией акта внеплановой документарной проверки в отношении ПАО «ТНС энерго Марий Эл» <НОМЕР>, справкой о результатах внеплановой документарной проверки ПАО «ТНС энерго Марий Эл» на соответствие обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, предписанием об устранении выявленного нарушения от 1 ноября 2022 года, выпиской из ЕГРЮЛ в отношении ПАО «ТНС энерго Марий Эл», скриншотами электронных карточек, скриншотами в сети «Интернет» по адресам <НОМЕР>, копией договора  возмездного оказания услуг <НОМЕР>, заключенного между ПАО «ТНС энерго Марий Эл» и ООО «Медиа Страйк», протоколом об административном правонарушении от 11 ноября 2022 года <НОМЕР>, который составлен в установленном законом порядке, уполномоченным на то должностным лицом.

 Доводы представителей ПАО «ТНС энерго Марий Эл» об отсутствии события и состава административного правонарушения в связи с тем, что ПАО «ТНС энерго Марий Эл» не совершало действий, направленных на предоставление неправомерного доступа к данным потребителей, действия  по размещению адресов электронной почты и ИНН потребителей были совершены неустановленными лицами путем противоправного доступа к данным клиентов ПАО «ТНС энерго Марий Эл», между ПАО «ТНС энерго Марий Эл» и ООО «Медиа Страйк» заключен договор  возмездного оказания услуг, по условиям которого ООО «Медиа Страйк» оказывает ПАО «ТНС энерго Марий Эл» работы, услуги по технической поддержке и хостингу сайта, оболочек личных кабинетов физических и юридических лиц, системы обработки обращений, сайтов сервисных услуг», мировой судья находит несостоятельными, поскольку ответственность за действия  третьего лица перед субъектом персональных данных несет ПАО «ТНС энерго Марий Эл», как оператор, который должен  был обеспечить правовые основания обработки персональных данных, в связи с  чем несет ответственность за нарушение порядка и условий  обработки персональных данных.

 Таким образом, мировой судья приходит к выводу о доказанности вины ПАО «ТНС энерго Марий Эл» в совершении административного правонарушения, предусмотренного ч.1 ст.13.11 КоАП РФ.

 При назначении административного наказания мировой судья учитывает обстоятельства, характер и степень общественной опасности совершенного правонарушения, отсутствие причиненного ущерба и вредных последствий для жизни и здоровья граждан в результате его совершения, имущественное и финансовое положение юридического лица, совершение подобного административного правонарушения впервые, отсутствие обстоятельств, смягчающих и отягчающих административную ответственность.

 В соответствии со ст.3.1 КоАП РФ административное наказание является установленной государством мерой ответственности за совершение административного правонарушения и применяется в целях предупреждения совершения новых правонарушений как самим правонарушителем, так и другими лицами.

 Назначение административного наказания должно основываться на данных, подтверждающих действительную необходимость применения к лицу, в отношении которого ведется производство по делу об административном правонарушении, в пределах нормы, предусматривающей ответственность за административное правонарушение, именно той меры государственного принуждения, которая с наибольшим эффектом достигала бы целей административного наказания, а также ее соразмерность в качестве единственно возможного способа достижения справедливого баланса публичных и частных интересов в рамках административного судопроизводства.

 Таким образом, установление административного наказания, определение его размера в каждом конкретном случае должно основываться на принципах справедливости наказания, его соразмерности совершенному правонарушению.

 Согласно ч.1 ст.4.1.1 КоАП РФ за впервые совершенное административное правонарушение, выявленное в ходе осуществления государственного контроля (надзора), муниципального контроля, в случаях, если назначение административного наказания в виде предупреждения не предусмотрено соответствующей статьей раздела II настоящего Кодекса или закона субъекта Российской Федерации об административных правонарушениях, административное наказание в виде административного штрафа подлежит замене на предупреждение при наличии обстоятельств, предусмотренных частью 2 статьи 3.4 настоящего Кодекса, за исключением случаев, предусмотренных частью 2 настоящей статьи. К случаям, указанным в ч.2 ст.4.1.1 КоАП РФ правонарушение, совершенное ПАО «ТНС энерго Марий Эл», не относится.

 В соответствии с ч.2 ст.3.4 КоАП РФ предупреждение устанавливается за впервые совершенные административные правонарушения при отсутствии причинения вреда или возникновения угрозы причинения вреда жизни и здоровью людей, объектам животного и растительного мира, окружающей среде, объектам культурного наследия (памятникам истории и культуры) народов Российской Федерации, безопасности государства, угрозы чрезвычайных ситуаций природного и техногенного характера, а также при отсутствии имущественного ущерба.

 Согласно ч.3 ст.3.4 КоАП РФ в случаях, если назначение административного наказания в виде предупреждения не предусмотрено соответствующей статьей раздела II настоящего Кодекса или закона субъекта Российской Федерации об административных правонарушениях, административное наказание в виде административного штрафа подлежит замене на предупреждение в соответствии со статьей 4.1.1 настоящего Кодекса.

 Принимая во внимание, совершение ПАО «ТНС энерго Марий Эл» подобного правонарушения впервые, учитывая фактические обстоятельства и характер совершенного административного правонарушения, действия, предпринятые и предпринимаемые ПАО «ТНС энерго Марий Эл» после совершения административного правонарушения, отсутствие отягчающих административную ответственность обстоятельств, отсутствие причинения вреда или возникновения угрозы причинения вреда жизни и здоровью людей, объектам животного и растительного мира, окружающей среде, объектам культурного наследия (памятникам истории и культуры) народов Российской Федерации, безопасности государства, угрозы чрезвычайных ситуаций природного и техногенного характера, а также отсутствие имущественного ущерба, мировой судья приходит к выводу о возможности замены наказания ПАО «ТНС энерго Марий Эл» в виде административного штрафа предупреждением.

 Оснований для признания совершенного ПАО «ТНС энерго Марий Эл» правонарушения малозначительным и освобождения его от административной ответственности в соответствии со ст.2.9 КоАП РФ мировым судьей не установлено.

Неустранимых сомнений в виновности лица не имеется. Срок давности привлечения к ответственности не истек.

Руководствуясь ст. 29.9, 29.10, 29.11 КоАП РФ, мировой судья

ПОСТАНОВИЛ:

 Признать Публичное акционерное общество «ТНС энерго Марий Эл» виновным в совершении административного правонарушения, предусмотренного ч.1 ст.13.11 КоАП РФ, и назначить ему административное наказание в виде предупреждения.

 Постановление может быть обжаловано и/или опротестовано в Йошкар-Олинский городской суд Республики Марий Эл в течение 10 суток со дня вручения или получения копии постановления через мирового судью судебного участка № 9 Йошкар-Олинского судебного района Республики Марий Эл либо непосредственно в вышестоящий суд, уполномоченный рассматривать жалобу.

         Мировой судья                                               Н.А. Геройменко

Мотивированное постановление составлено 13 января 2023 года.

Источник: https://9yo.mari.msudrf.ru/modules.php?name=sud_delo&op=sd&number=1641925&delo_id=1500001