СУДЕБНЫЙ УЧАСТОК №8 ЛЕНИНСКОГО СУДЕБНОГО РАЙОНА Г. КОСТРОМЫ

ул. Советская, д.120, каб.23, г. Кострома 156000

е-mail:__________

                                                                                                    Дело № 5-44/2022

Протокол <НОМЕР>

УИД 44MS0008-01-2021-003815-88

П О С Т А Н О В Л Е Н И Е

25 февраля 2022 года                                             г. Кострома

Мировой судья судебного участка № 8 Ленинского судебного района г. Костромы Удалова О.В., с участием представителей ПАО «Название» по доверенности ФИО1., ФИО2., представителя Управления Роскомнадзора по Костромской области ФИО.,

 рассмотрев в открытом судебном заседании материал об административном правонарушении, предусмотренном частью 1 статьи 13.11 КоАП РФ в отношении ПАО «Название», ИНН ____, ОГРН _____, юридический адрес: г. Кострома, __________, сведения о привлечении к административной ответственности за однородные правонарушения отсутствуют,

УСТАНОВИЛ:

В ходе осуществления мониторинга электронных средств массовой информации Управлением Роскомнадзора по Костромской области выявлен факт наличия публикации относительно возможной утечки персональных данных граждан, подавших заявки на кредитные продукты в ПАО «Название», включая ФИО, номера телефонов, паспортные данные, адрес проживания, семейное положение, ФИО и контакты родственников и другое, в нарушение требований пункта 3 статьи 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

В судебном заседании представитель ПАО «Название» по доверенности ФИО пояснила, что поскольку уполномоченный орган не конкретизирует за обработку персональных данных какого лица, привлекает Банк к административной ответственности, не имеется возможности предоставить согласие на обработку персональных данных конкретного клиента. Указала, что лицо, похитившее у Банка персональные данные <ФИО1>, было привлечено к уголовной ответственности по части 3 статьи 183 УК РФ - собирание сведений, составляющих коммерческую, налоговую или банковскую тайну, путем похищения документов, обмана, шантажа, принуждения, подкупа или угроз, а равно иным незаконным способом, группой лиц по предварительному сговору или организованной группой, а равно причинившие крупный ущерб или совершенные из корыстной заинтересованности. Таким образом, в действиях Банка не содержится признаков административного правонарушения, предусмотренных частью 1 статьи 13.11 КоАП РФ. Кроме того, считает, что срок давности привлечения к ответственности по статье 13.11 Кодекса Российской Федерации об административных правонарушениях, составляющий 1 год с момента совершения правонарушения истек, поскольку дата хищения у Банка персональных данных зафиксирована в мае 2020 года, соответственно срок привлечения к административной ответственности ПАО «Название» за правонарушение, предусмотренное частью 1 статьи 13.11 КоАП РФ, истек в мае 2021 года.

Представитель ФИО в судебном заседании пояснила, что Банку вменяется осуществление действий по обработке персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных. Целевой характер обработки подразумевает, что она должна ограничиваться достижением конкретной цели. Однако, каких-либо доказательств осуществления Банком действий по нецелевой обработке персональных данных не представлено. Считала, что уполномоченный орган подменяет понятия обработка персональных данных, в случаях, не предусмотренных законом, несовместимой с заявленными целями и хищение у Банка данных с целью их распространения третьим лицом. Персональные данные были переданы Банку для получения кредитных средств заявителями, которые подавали онлайн заявки на кредитные продукты Банка. Банк осуществляет обработку персональных данных только с целью заключения кредитных продуктов Банка. Кроме того, субъектом административного правонарушения по смыслу части 1 статьи 13.11 КоАП РФ, как квалифицирует деяние по распространению персональных данных Роскомнадзор, является лицо, незаконно распространившее персональные данные в сети интернет. Таким лицом, ПАО «Название» не является, так как не распространял в сети интернет никакие персональные данные. Указала, что административный орган не привел никаких доказательств факта распространения персональных данных, кроме неподтвержденной публикации в СМИ об утечке персональных данных. Обратила внимание суда, что данные в сети интернет были размещены не Банком и не от имени Банка. Согласно приговору <ОБЕЗЛИЧЕНО> от 01.12.2020  <ФИО1> не являясь сотрудником Банка с 27.11.2019 по 01.05.2020, в нарушение обязательства о неразглашении информации, незаконно получил и разместил в сети интернет персональные данные клиентов Банка, без разрешения на то от ПАО «Название». Таким образом, Уполномоченный орган не привел доказательств распространения Банком персональных данных в сети интернет, вместе с тем Роскомнадзор не указал, какие именно персональные данные Банк незаконно обрабатывал, персональные данные какого субъекта были обработаны. Считала, что в действиях Банка отсутствует состав административного правонарушения, предусмотренного частью 1 статьи 13.11 КоАП РФ, поскольку обнаружение ПАО «Название» совместно с Банком России инцидента с хищением персональных данных имело место в период с 27.11.2019 по 01.05.2020, то срок давности привлечения к административной ответственности истек 01.05.2021.  

В судебном заседании представитель Роскомнадзора по Костромской области ФИО пояснила, что в соответствии с Реестром операторов, осуществляющих обработку персональных данных, размещенном на официальном сайте Роскомнадзора (<ОБЕЗЛИЧЕНО>) ПАО «Название» является оператором, осуществляющим обработку персональных данных (реестровый номер <НОМЕР>). По представленной информации ПАО «Название» (исх. <НОМЕР> от 01.10.2021), 20 сентября 2021 года Общество выявило в свободном доступе базу данных анкет с данными граждан Российской Федерации, которые подавали онлайн заявки на кредитные продукты Общества, что с учетом положений пункта 3 статьи 3 Закона о персональных данных является обработкой персональных данных. Таким образом, ПАО «Название» подтвержден факт неправомерной обработки персональных данных в форме предоставления доступа без правовых оснований к базе данных, содержащей персональные данные граждан Российской Федерации, которые подавали онлайн заявки на кредитные продукты Общества, что является нарушением части 1 статьи 6 Закона о персональных данных. Таким образом, ПАО «Название» допущено административное правонарушение, ответственность за которое предусмотрена частью 1 статьи 13.11 КоАП РФ. Довод ПАО «Название» о том, что виновным в незаконном распространении персональных данных признан <ФИО1>, является несостоятельным, так как в соответствии с действующим законодательством Российской Федерации в сфере персональных данных ответственность за обработку персональных данных несет оператор - ПАО «Название». Причиной административного правонарушения явилось неисполнение оператором ПАО «Название», осуществляющим обработку персональных данных, обязанностей по исполнению обязательных требований законодательства в сфере персональных данных. Таким образом, ответственность за данное нарушение несет оператор ПАО «Название», осуществляющий обработку персональных данных. Кроме того, указала, что факт обнаружения в свободном доступе базы данных анкет с данными граждан Российской Федерации, которые подавали онлайн заявки на кредитные продукты Банка, был зафиксирован 20 сентября 2021 года, что подтверждается представленной ПАО «Название» информацией (исх. <НОМЕР> от 01.10.2021 года), тем самым была установлена дата совершения административного правонарушения. Следовательно, срок давности привлечения ПАО «Название» к административной ответственности не истек. 

Выслушав лиц, участвующих в деле, исследовав материалы дела, суд приходит к следующему.

Согласно статье 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом;

оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Согласно пункту 3 статьи 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

В силу пункта 1 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:

1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

3) обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;

3.1) обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее - исполнение судебного акта);

4) обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;

5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

6) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

7) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом  "О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон "О микрофинансовой деятельности и микрофинансовых организациях", либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

8) обработка персональных данных необходима для осуществления профессиональной деятельности  журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;

9) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;

9.1) обработка персональных данных, полученных в результате обезличивания персональных данных, осуществляется в целях повышения эффективности государственного или муниципального управления, а также в иных целях, предусмотренных Федеральным законом от 24 апреля 2020 года N 123-ФЗ "О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации - городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона "О персональных данных" и Федеральным законом от 31 июля 2020 года N 258-ФЗ "Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации", в порядке и на условиях, которые предусмотрены указанными федеральными законами;

11) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

В соответствии со статьей 7 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Согласно части 1 статьи 13.11 КоАП РФ обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2  настоящей статьи и статьей 17.13  настоящего Кодекса, если эти действия не содержат уголовно наказуемого деяния, - влечет наложение административного штрафа на граждан в размере от двух тысяч до шести тысяч рублей; на должностных лиц - от десяти тысяч до двадцати тысяч рублей; на юридических лиц - от шестидесяти тысяч до ста тысяч рублей.

Как следует из материалов дела, в ходе осуществления мониторинга электронных средств массовой информации Управлением Роскомнадзора по Костромской области выявлен факт наличия публикации относительно возможной утечки персональных данных граждан, подавших заявки на кредитные продукты в ПАО «Название», включая ФИО, номера телефонов, паспортные данные, адрес проживания, семейное положение, ФИО и контакты родственников и другое.

Управлением Роскомнадзора по Костромской области  в адрес ПАО «Название» был направлен запрос о предоставлении информации по существу доводов, изложенных в публикации.

По представленной информации ПАО «Название», 20 сентября 2021 года Общество обнаружило в свободном доступе базу данных анкет с данными граждан Российской Федерации, которые подавали онлайн заявки на кредитные продукты Общества. Данные сведения предоставлены за подписью заместителя Председателя Правления <ФИО2>

Таким образом, факт совершения ПАО «Название» административного правонарушения, ответственность за которое предусмотрена частью 1 статьи 13.11 КоАП РФ, и виновность ПАО «Название» в его совершении подтверждаются материалами дела, а именно: протоколом об административном правонарушении от 24.11.2021, сведениями ПАО «Название» <НОМЕР> от 01.10.2021, выпиской из ЕГРЮЛ и иными материалами дела.

Не доверять протоколу об административном правонарушении, другим материалам дела, у суда оснований не имеется, поскольку они последовательны и согласуются с материалами дела.

Оценивая все представленные доказательства с точки зрения достоверности, относимости, допустимости, а в совокупности - достаточности, суд полагает, что вина ПАО «Название» в совершении административного правонарушения, предусмотренного частью 1 статьи 13.11 КоАП РФ, доказана, каких - либо сомнений в его виновности у суда нет.

Смягчающих административную ответственность обстоятельств судом не установлено.

Обстоятельств, отягчающих административную ответственность судом не установлено.

Оснований для прекращения производства по делу об административном правонарушении и признании правонарушения малозначительным, не имеется.

В силу статьи 3.1 КоАП РФ, целью административного наказания является предупреждение совершения новых правонарушений, как самим правонарушителем, так и другими лицами. Следовательно, установление административного наказания и определение его размера в каждом конкретном случае должно основываться на принципах справедливости наказания, его соразмерности совершенному правонарушению.

В соответствии с частью  1 статьи 4.1.1 КоАП РФ некоммерческим организациям, а также являющимся субъектами малого и среднего предпринимательства лицам, осуществляющим предпринимательскую деятельность без образования юридического лица, и юридическим лицам, а также их работникам за впервые совершенное административное правонарушение, выявленное в ходе осуществления государственного контроля (надзора), муниципального контроля, в случаях, если назначение административного наказания в виде предупреждения не предусмотрено соответствующей статьей раздела II настоящего Кодекса или закона субъекта Российской Федерации об административных правонарушениях, административное наказание в виде административного штрафа подлежит замене на предупреждение при наличии обстоятельств, предусмотренных частью 2 статьи 3.4 настоящего Кодекса, за исключением случаев, предусмотренных частью 2 настоящей статьи.

В силу части 2 статьи 3.4 КоАП РФ предупреждение устанавливается за впервые совершенные административные правонарушения при отсутствии причинения вреда или возникновения угрозы причинения вреда жизни и здоровью людей, объектам животного и растительного мира, окружающей среде, объектам культурного наследия (памятникам истории и культуры) народов Российской Федерации, безопасности государства, угрозы чрезвычайных ситуаций природного и техногенного характера, а также при отсутствии имущественного ущерба.

Санкция части 1 статьи 13.11 КоАП РФ не предусматривает наказание в виде предупреждения, однако, условия, предусмотренные КоАП РФ для назначения предупреждения юридическому лицу вместо штрафа имеют место.

Суд полагает возможным применить положения части 1 статьи 4.1.1 КоАП РФ и заменить наказание в виде административного штрафа на предупреждение, поскольку ПАО «Название» административное правонарушение совершено впервые и выявлено в ходе осуществления государственного контроля (надзора), при этом оно не повлекло причинение вреда или возникновение угрозы причинения вреда жизни и здоровью людей, объектам животного и растительного мира, окружающей среде, объектам культурного наследия (памятникам истории и культуры) народов Российской Федерации, безопасности государства, угрозы чрезвычайных ситуаций природного и техногенного характера, а также имущественного ущерба.

Руководствуясь статьями  29.9, 29.10 КоАП РФ, суд

ПОСТАНОВИЛ:

Признать юридическое лицо ПАО «Название» виновным в совершении административного правонарушения, предусмотренного частью 1 статьи 13.11 КоАП РФ и подвергнуть административному наказанию с применением положений статьи 4.1.1 КоАП РФ в виде предупреждения

Постановление может быть обжаловано в Ленинский районный суд г. Костромы в течение 10 суток со дня вручения или получения копии настоящего постановления путем подачи жалобы через мирового судью судебного участка №8 Ленинского судебного района г. Костромы.

Мировой судья судебного участка  №8

Ленинского судебного района г. Костромы    /подпись/   О.В. Удалова

Копия верна: мировой судья                                      О.В. Удалова

Источник: https://8.kst.msudrf.ru/modules.php?name=sud_delo&op=sd&number=52665976&case_number=50322277&delo_id=1500001